Administración del acceso externo con la administración de derechos de Microsoft Entra

Use la característica de administración de derechos para administrar el ciclo de vida de identidad y acceso. Puede automatizar flujos de trabajo de solicitudes de acceso, asignaciones de acceso, revisiones y expiración. Los no administradores delegados utilizan la administración de derechos para crear paquetes de acceso a los que los usuarios externos, de otras organizaciones, pueden solicitar acceso. Los flujos de trabajo de aprobación única o de varias etapas se pueden configurar para evaluar solicitudes y aprovisionar a los usuarios con acceso limitado en el tiempo con revisiones periódicas. Usar la administración de derechos para el aprovisionamiento y desaprovisionamiento basados en directivas de cuentas externas.

Más información:

• ¿Qué es la administración de derechos?
• ¿Qué son los paquetes de acceso y qué recursos puedo administrar con ellos?
• ¿Qué es el aprovisionamiento?

Antes de empezar

Este artículo es el número 6 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.

Habilitar la administración de derechos

Los conceptos clave siguientes son importantes para comprender la Administración de derechos.

Paquetes de acceso

Un paquete de acceso es la base de la administración de derechos: agrupaciones de recursos regulados por directivas para que los usuarios colaboren en un proyecto o realicen otras tareas. Por ejemplo, un paquete de acceso podría incluir:

• Acceso a sitios de SharePoint
• Aplicaciones empresariales, incluidas las aplicaciones internas y software como servicio (SaaS) personalizadas, como Salesforce.
• Microsoft Teams
• Grupos de Microsoft 365

Catalogs

Los paquetes de acceso residen en catálogos. Cuando quiera agrupar los recursos relacionados y los paquetes de acceso y delegar su administración, cree un catálogo. En primer lugar, agregará recursos a un catálogo y luego podrá agregar recursos para acceder a los paquetes. Por ejemplo, puede crear un catálogo de finanzas y delegar su administración a un miembro del equipo de finanzas. Esa persona puede agregar recursos, crear paquetes de acceso y administrar la aprobación de acceso.

Más información:

• Creación y administración de un catálogo de recursos en la administración de derechos
• Delegación y roles en la administración de derechos
• Adición de recursos a un catálogo

En el diagrama siguiente se muestra un ciclo de vida de gobernanza típico de un usuario externo que obtiene acceso a un paquete de acceso con una expiración.

Acceso externo de autoservicio

Puede hacer que los paquetes de acceso estén disponibles, a través del portal Mi acceso de Microsoft Entra, para permitir que los usuarios externos soliciten acceso. Las directivas determinan quién puede solicitar un paquete de acceso. Ver Solicitud de acceso a un paquete de acceso en la administración de derechos.

Especifique quién tiene permiso para solicitar el paquete de acceso:

• Organizaciones conectadas
  • Ver Adición de una organización conectada en la administración de derechos
• Organizaciones conectadas configuradas
• Usuarios de organizaciones
• Usuarios miembros o invitados que están en el inquilino

Aprobaciones

Los paquetes de acceso pueden incluir la aprobación obligatoria para el acceso. Las aprobaciones pueden ser de una o varias fases y se determinan mediante directivas. Si los usuarios internos y externos necesitan acceder al mismo paquete, puede configurar directivas de acceso para categorías de organizaciones conectadas y para los usuarios internos.

Importante

Implemente procesos de aprobación para usuarios externos.

Expiration

Los paquetes de acceso pueden incluir una fecha de expiración o un número de días establecidos para el acceso. Cuando el paquete de acceso expira y el acceso finaliza, la capacidad para iniciar sesión del objeto de usuario invitado B2B que representa al usuario puede eliminarse o bloquearse. Le recomendamos que aplique la expiración de los paquetes de acceso para los usuarios externos. No todos los paquetes de acceso tienen expiraciones.

Importante

En el caso de los paquetes sin expiración, realice revisiones de acceso periódicas.

Revisiones de acceso

Los paquetes de acceso pueden requerir revisiones de acceso periódicas que requieren que el propietario del paquete o una persona designada certifique la necesidad continua de acceso de los usuarios. Ver Administración del acceso de los invitados con las revisiones de acceso.

Antes de configurar la revisión, determine los siguientes criterios:

• Quién
  • Criterios para el acceso continuado
  • Revisores
• Con qué frecuencia
  • Las opciones integradas incluyen mensualmente, trimestralmente, cada dos años o anualmente.
  • Se recomienda realizar revisiones trimestrales, o más frecuentes, de los paquetes que admiten el acceso externo

Importante

Las revisiones de paquetes de acceso examinan el acceso concedido a través de la administración de derechos. Configurar otros procesos para revisar el acceso a usuarios externos, fuera de la administración de derechos.

Más información: Planeamiento de una implementación de revisiones de acceso de Microsoft Entra.

Usar la automatización de la administración de derechos

• Trabajar con la API de administración de derechos de Microsoft Entra
• accessPackage tipo de recurso
• Revisión de acceso de Microsoft Entra
• connectedOrganization tipo de recurso
• entitlementManagementSettings tipo de recurso

Recomendaciones de gobernanza de acceso externo

Procedimientos recomendados

Se recomiendan los siguientes procedimientos para controlar el acceso externo con la administración de derechos.

• En el caso de los proyectos con uno o más asociados comerciales, cree y use paquetes de acceso para incorporar y proporcionar acceso a los recursos.
  • Creación de un paquete de acceso en la administración de derechos
• Si tiene usuarios B2B en su directorio, puede asignarles paquetes de acceso.
• Puede asignar acceso en Azure Portal o con Microsoft Graph
  • Consulta, adición y eliminación de asignaciones para un paquete de acceso en la administración de derechos
  • Creación de un paquete de acceso en la administración de derechos

Gobernanza de identidades: configuración

Usar Gobernanza de identidades: configuración para quitar usuarios del directorio cuando los paquetes de acceso expiren. La siguiente configuración se aplica a los usuarios incorporados con la administración de derechos.

Delegar administración de catálogos y paquetes

Puede delegar la administración de catálogos y paquetes a los propietarios empresariales, que tienen más información sobre quién debe acceder. Ver Delegación y roles en la administración de derechos

Aplicar caducidad de los paquetes de acceso

Puede aplicar la expiración del acceso para los usuarios externos. Ver Cambio de la configuración del ciclo de vida para un paquete de acceso en la administración de derechos.

• Para la fecha de finalización de un paquete de acceso basado en proyecto, use En la fecha para establecer la fecha.
  • En caso contrario, se recomienda que la caducidad no supere los 365 días, a menos que se trate de un proyecto de varios años.
• Permita a los usuarios extender el acceso
  • Requiera la aprobación para conceder la extensión

Aplicar revisiones de paquetes de acceso de invitado

Puede aplicar revisiones de paquetes de acceso de invitado para evitar el acceso inadecuado de los invitados. Ver Administración del acceso de los invitados con las revisiones de acceso.

• Aplicar revisiones trimestrales
• En el caso de proyectos relacionados con el cumplimiento, establezca los revisores para que sean revisores, en lugar de la autorrevisión para usuarios externos.
  • Puede usar administradores de paquetes de acceso como revisores
• En el caso de los proyectos menos confidenciales, la autorrevisión de los usuarios reduce la carga de eliminar el acceso de los usuarios que ya no forman parte de la organización.

Más información: Gobernanza del acceso de los usuarios externos en la administración de derechos

Pasos siguientes

Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.

1. Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID

2. Detección del estado actual de la colaboración externa en su organización

3. Creación de un plan de seguridad para el acceso a recursos

4. Protección del acceso externo con grupos en Microsoft Entra ID y Microsoft 365

5. Realizar la transición a la colaboración controlada con Colaboración B2B de Microsoft Entra

6. Administrar el acceso externo con la administración de derechos de Microsoft Entra (Está aquí)

7. Administración del acceso externo a los recursos mediante directivas de acceso condicional

8. Control del acceso externo a los recursos en Microsoft Entra ID mediante etiquetas de confidencialidad

9. Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID

10. Conversión de cuentas de invitado locales en cuentas de invitado B2B de Microsoft Entra