Tutorial: Administración del acceso a los recursos en la administración de derechos
Administrar el acceso a todos lol recursos que necesitan los empleados, como grupos, aplicaciones y sitios, es una función importante en las organizaciones. Querrá conceder a los empleados el nivel de acceso correcto que necesitan para ser productivos y eliminar su acceso cuando ya no se precise.
En este tutorial, trabajará para Woodgrove Bank como administrador de TI. Le han pedido que cree un paquete de recursos para una campaña de marketing que los usuarios internos puedan usar para realizar solicitudes de autoservicio. Las solicitudes no requerirán aprobación y el acceso del usuario expirará al cabo de 30 días. En este tutorial, los recursos de la campaña de marketing son simplemente la pertenencia a un único grupo, pero podrían ser una colección de grupos, aplicaciones o sitios de SharePoint Online.
En este tutorial, aprenderá a:
- Crear un paquete de acceso con un grupo como recurso
- Permitir que un usuario del directorio solicite acceso
- Demostrar cómo un usuario interno puede solicitar el paquete de acceso
Para ver una demostración paso a paso del proceso de implementación de la administración de derechos de Microsoft Entra, incluida la creación de su primer paquete de acceso, vea el siguiente video:
El resto de este artículo usa el centro de administración de Microsoft Entra para configurar y demostrar la administración de derechos.
Requisitos previos
Para usar la administración de derechos, debe tener una de las licencias siguientes:
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Licencia de Enterprise Mobility + Security (EMS) E5
Para obtener más información, consulte Requisitos de licencia.
Paso 1: Configuración de usuarios y grupos
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Un directorio de recurso tiene uno o más recursos para compartir. En este paso, creará un grupo denominado Recursos de marketing en el directorio de Woodgrove Bank que es el recurso de destino de la administración de derechos. También configurará un solicitante interno.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.
Creación de dos usuarios. Use los siguientes nombres u otros diferentes.
Nombre Rol del directorio Admin1 Al menos un administrador de gobernanza de identidades. Este usuario puede ser el usuario con el que ha iniciado sesión. Solicitante1 User Cree un grupo de seguridad de Microsoft Entra llamado Recursos de marketing con el tipo de pertenencia Asignado. Este grupo es el recurso de destino para la administración de derechos. El grupo debe estar vacío para comenzar.
Paso 2: Creación de un paquete de acceso
Un paquete de acceso es un conjunto de recursos que un equipo o proyecto necesita y se rige por directivas. Los paquetes de acceso se definen en contenedores llamados catálogos. En este paso, creará un paquete de acceso Campaña de marketing en el catálogo General.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Sugerencia
Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.
Ve a Gobernanza de identidades>Administración de derechos>Paquete de acceso.
En la página Paquetes de acceso, abre un paquete de acceso.
Al abrir el paquete de acceso, si ves Acceso denegado, asegúrate de que en tu directorio haya una licencia de Microsoft Entra ID P2 o Gobierno de Microsoft Entra ID.
Selecciona Nuevo paquete de acceso.
En la pestaña Básico, escribe el nombre Campaña de marketing y la descripción Acceso a los recursos de la campaña.
Deja la lista desplegable Catálogo establecida en General.
Selecciona Siguiente para abrir la pestaña Roles de recurso. En esta pestaña, selecciona los recursos y el rol de recurso que se incluirán en el paquete de acceso. Puedes optar por administrar el acceso a grupos y equipos, aplicaciones y sitios de SharePoint Online. En este escenario, selecciona Grupos y equipos.
En el panel Seleccionar grupos, busca y selecciona el grupo Recursos de marketing que creaste anteriormente.
De forma predeterminada, verás grupos dentro del catálogo general. Al seleccionar un grupo fuera del catálogo general, que puedes ver si activa la casilla Ver todo, se agrega al catálogo general.
Elige Seleccionar para agregar el usuario a la lista.
En la lista desplegable Rol, selecciona Miembro. Si seleccionas el rol Propietario, los usuarios podrán agregar o quitar otros miembros o propietarios. Para obtener más información sobre cómo seleccionar los roles adecuados para un recurso, lee Agregar roles de recursos.
Importante
Los grupos a los que se pueden asignar roles que se agregan a un paquete de acceso se indicarán mediante el subtipo Assignable to roles. Para obtener más información, consulta el artículo Creación de un grupo al que se pueden asignar roles. Ten en cuenta que una vez que un grupo al que se pueden asignar roles está presente en un catálogo de paquetes de acceso, los usuarios administrativos que pueden encargarse de la administración de derechos, incluidos los que tienen el rol Administrador global, Administrador de gobernanza de identidades y propietarios de catálogos, podrán controlar los paquetes de acceso en el catálogo, lo que les permite decidir a quién agregar a esos grupos. Si no ves el grupo de roles asignables que quieras o puedas agregar, asegúrate de tener el rol de Microsoft Entra y de administración de derechos requerido para esta operación. Quizá necesites pedirle a alguien con los roles necesarios que agregue el recurso al catálogo. Para obtener más información, consulta Roles necesarios para agregar recursos a un catálogo.
Nota:
Si usas grupos de pertenencia dinámica no verás ningún otro rol disponible además del propietario; Es así por diseño.
Selecciona Siguiente para abrir la pestaña Solicitudes. En esta pestaña, crearás una directiva de solicitud. Una directiva define las reglas o barreras para acceder a un paquete de acceso. Crearás una directiva que permite que un usuario específico del directorio del recurso solicite este paquete de acceso.
En la sección Usuarios que pueden solicitar acceso, selecciona Para los usuarios de tu directorio y luego Usuarios y grupos específicos.
Selecciona Agregar usuarios y grupos.
En el panel Seleccionar usuarios y grupos, selecciona el usuario Requestor1 que creaste anteriormente.
Elige Seleccionar para agregar el usuario a la lista.
Desplázate hacia abajo hasta las secciones Aprobación y Habilitar solicitudes.
Deja Requerir aprobación establecido en No.
En Enable requests, haz clic en Sí para que este paquete de acceso se solicite tan pronto como se haya creado.
Si tu organización está configurada para recibir identificadores comprobados, hay una opción para configurar un paquete de acceso para requerir que los solicitantes proporcionen un identificador comprobado. Para obtener más información, consulta: configuración de las opciones de identificación verificada de un paquete de acceso en la administración de derechos (versión preliminar)
Haz clic en Siguiente para abrir la pestaña Información del solicitante.
En la pestaña Información del solicitante, podrás formular preguntas para recopilar más información del solicitante. Estas preguntas se muestran en el formulario de solicitud y pueden ser obligatorias u opcionales. También puedes especificar si el gerente de un empleado puede hacer la solicitud en su nombre o no, y si se requiere la aprobación en caso de que lo haga. Si la directiva permite a los gerentes hacer la solicitud en nombre de un empleado, el gerente respondería a las preguntas en nombre del empleado, y el empleado no las respondería. Para obtener más información sobre esta opción, consulta: Solicitud del paquete de acceso en nombre de otros usuarios (versión preliminar). En este escenario, no se le ha pedido que incluya información del solicitante del paquete de acceso, por lo que puede dejar estos cuadros vacíos. Haga clic en Siguiente para abrir la pestaña Ciclo de vida.
En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones. En la sección Expiración:
- Establezca Access package assignments expire en Number of days.
- Establezca Assignments expire after en 30 días.
- Mantenga el valor predeterminado de Los usuarios pueden solicitar una línea de tiempo específica en Sí.
- Establezca Exigir revisiones de acceso en Sí.
Omita el paso Extensiones personalizadas.
Seleccione Siguiente para abrir la pestaña Revisar y crear.
En la pestaña Revisar y Crear, seleccione Crear. Transcurridos unos instantes, verá una notificación que dice que el paquete de acceso se ha creado correctamente.
En el menú izquierdo del paquete de acceso Campaña de marketing, seleccione Información general.
Copie el vínculo del portal Mi acceso.
Este vínculo lo usará en el paso siguiente.
Paso 3: Solicitar acceso
En este paso, realizará los pasos como solicitante interno y solicitará acceso al paquete acceso. Los solicitantes envían sus solicitudes mediante un sitio conocido como el portal Mi acceso. El portal Mi acceso permite a los solicitantes enviar solicitudes de paquetes de acceso, ver los paquetes de acceso a los que ya tienen acceso y ver sus historiales de solicitudes. Cuando un nuevo invitado solicita un paquete de acceso en MyAccess, su idioma preferido se marca en función del idioma del explorador MyAccess en el momento de la solicitud. Esto permite a los nuevos invitados recibir comunicaciones por correo electrónico en un idioma que comprendan.
Rol necesario: solicitante interno
Cierre la sesión del centro de administración de Microsoft Entra.
En una nueva ventana del explorador, vaya al vínculo del portal Mi acceso que copió en el paso anterior.
Inicie sesión en el portal Mi acceso como Solicitante1.
Debería ver el paquete de acceso Campaña de marketing.
En el cuadro Justificación comercial, indique I'm working on the new marketing campaign.
Seleccione Submit (Enviar).
En el menú izquierdo, haga clic en Historial de solicitudes para comprobar que la solicitud se ha enviado. Para obtener más información, seleccione Ver.
Paso 4: Validación de que se ha asignado el acceso
En este paso, confirmará que se asignó el paquete de acceso al solicitante interno y que este es ahora miembro del grupo Recursos de marketing.
Cierre sesión en el portal Mi acceso.
Inicie sesión en el Centro de administración de Microsoft Entra como Admin1, que es al menos un Administrador de gobernanza de identidades.
Sugerencia
Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el propietario del catálogo y el administrador de paquetes de Access.
Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.
Busque y seleccione el paquete de acceso Campaña de marketing.
En el menú de la izquierda, seleccione Solicitudes.
Verá Solicitante1 y la directiva inicial con el estado Entregado.
Seleccione la solicitud para ver los detalles.
En el menú de navegación de la izquierda, seleccione Identidad.
Haga clic en Grupos y abra el grupo Recursos de marketing.
Seleccione Miembros.
Verá que Solicitante1 aparece como miembro.
Paso 5: Limpieza de recursos
En este paso, se quitarán los cambios realizados y se eliminará el paquete de acceso Campaña de marketing.
En el Centro de administración de Microsoft Entra, como mínimo, un Administrador de la gobernanza de identidades seleccione Gobernanza de identidades.
Abra el paquete de acceso Campaña de marketing.
Seleccione Asignaciones.
Para Solicitante1, seleccione los puntos suspensivos (...) y, a continuación, Quitar acceso. En el mensaje que aparece, seleccione Sí.
Tras unos momentos, el estado cambiará de Entregado a Expirado.
Seleccione Roles de recurso.
En Recursos de marketing, seleccione en el botón de puntos suspensivos (... ) y luego Eliminar rol de recurso. En el mensaje que aparece, seleccione Sí.
Abra la lista de paquetes de acceso.
En Campaña de marketing, seleccione el botón de puntos suspensivos (...) y Eliminar. En el mensaje que aparece, seleccione Sí.
En Identidad, elimine los usuarios que haya creado, como Requestor1 y Admin1.
Elimine el grupo Recursos de marketing.
Pasos siguientes
Avance al siguiente artículo para conocer los pasos del escenario común de administración de derechos.