Compartir a través de


Configuración de la comprobación de la separación de tareas de un paquete de acceso en la administración de derechos

En la administración de derechos puede configurar varias directivas con diferentes configuraciones para cada comunidad de usuarios que necesitará acceso mediante un paquete de acceso. Por ejemplo, es posible que los empleados solo necesiten la aprobación del administrador para obtener acceso a determinadas aplicaciones, pero los invitados procedentes de otras organizaciones pueden requerir un patrocinador y un jefe de departamento del equipo de recursos para obtener la aprobación. En las directivas para los usuarios que ya están en el directorio, puedes especificar el grupo determinado de usuarios para el que se puede solicitar acceso. Pero puede que tengas un requisito para evitar que los usuarios obtengan acceso excesivo. Para cumplir este requisito, querrás restringir aún más quién puede solicitar acceso en función del acceso que ya tenga el solicitante.

Con la configuración de separación de tareas en un paquete de acceso, puedes configurar que un usuario que sea miembro de un grupo o que ya tengas una asignación a un paquete de acceso no pueda solicitar otro paquete de acceso.

Experiencia myaccess para intentar solicitar acceso incompatible

Escenarios de separación de comprobaciones de obligaciones

Por ejemplo, tienes un paquete de acceso, Campaña de marketing, al que pueden solicitar acceso personas de la organización y de otras organizaciones para trabajar con el departamento de marketing de la organización mientras esa campaña está en marcha. Puesto que los empleados del departamento de marketing ya deben tener acceso a ese material de campaña de marketing, no quieres que los empleados del departamento de marketing soliciten acceso a ese paquete de acceso. O bien, es posible que ya tengas un grupo de pertenencia dinámica, Empleados del departamento de marketing, en el que están todos los empleados de marketing. Podrías indicar que el paquete de acceso no es compatible con el grupo de pertenencia dinámica. Entonces, si un empleado del departamento de marketing busca un paquete de acceso para solicitarlo, no podría solicitar acceso al paquete de acceso de la Campaña de marketing.

Supón también que tienes una aplicación con dos roles de aplicación, Ventas del oeste y Ventas del este (que representan los territorios de ventas), y quieres asegurarte de que un usuario solo pueda tener un territorio de ventas a la vez. Si tienes dos paquetes de acceso, el paquete de acceso Territorio Oeste que proporciona el rol Ventas del Oeste y el paquete de acceso Territorio Este que proporciona el rol Ventas del Este, puedes configurar:

  • el paquete de acceso Territorio Oeste para que no sea compatible con el paquete Territorio Este, y
  • el paquete de acceso Territorio Este para que no sea compatible con el paquete Territorio Oeste.

Si has estado usando Microsoft Identity Manager u otros sistemas de administración de identidades locales para automatizar el acceso a las aplicaciones locales, también puedes integrar estos sistemas con la administración de derechos. Si vas a controlar el acceso a las aplicaciones integradas de Microsoft Entra con la administración de derechos y quieres evitar que los usuarios tengan acceso incompatible, puedes configurar que un paquete de acceso no sea compatible con un grupo. Podría ser un grupo, que el sistema de administración de identidades local envía a Microsoft Entra ID a través de Microsoft Entra Connect. Esta comprobación garantiza que un usuario no podrá solicitar un paquete de acceso si ese paquete de acceso daría un acceso que no es compatible con el que el usuario tiene en las aplicaciones locales.

Requisitos previos

Para usar la administración de derechos y asignar usuarios a los paquetes de acceso, debes tener una de las licencias siguientes:

  • Microsoft Entra ID P2 o Gobierno de Microsoft Entra ID
  • Licencia de Enterprise Mobility + Security (EMS) E5

Configuración de otro paquete de acceso o pertenencia a grupos como incompatible para solicitar acceso a un paquete de acceso

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Sigue estos pasos para cambiar la lista de grupos incompatibles u otros paquetes de acceso para un paquete de acceso existente:

  1. Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de gobernanza de identidades.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.

  2. Ve a Gobernanza de identidades>Administración de derechos>Paquete de acceso.

  3. En la página Paquetes de acceso, abre el paquete de acceso que los usuarios solicitarán.

  4. En el menú de la izquierda, selecciona Separación de obligaciones.

  5. La lista de la pestaña Paquetes de acceso incompatibles es de otros paquetes de acceso. Si un usuario ya tiene una asignación a un paquete de acceso en esa lista, no podrá solicitar este paquete de acceso.

  6. Si quieres evitar que los usuarios que ya tienen otra asignación de paquete de acceso soliciten este paquete de acceso, selecciona Agregar paquete de acceso y selecciona el paquete de acceso que el usuario ya tiene asignado. Ese paquete de acceso se agregará entonces a la lista de paquetes de acceso en la pestaña Paquetes de acceso incompatibles.

    configuración de paquetes de acceso incompatibles

  7. Si quieres evitar que los usuarios que tienen una pertenencia a un grupo existente soliciten este paquete de acceso, selecciona Agregar grupo y selecciona el grupo al que ya pertenece el usuario. Ese grupo se agregará entonces a la lista de grupos de la pestaña Grupos incompatibles.

  8. Si deseas que los usuarios asignados a este paquete de acceso no puedan solicitar ese paquete de acceso, ya que cada relación de paquete de acceso incompatible es unidireccional, cambia a ese paquete de acceso y agrega este paquete de acceso como incompatible. Por ejemplo, deseas que los usuarios con el paquete de acceso Territorio occidental no puedan solicitar el paquete de acceso Territorio oriental, y que los usuarios con el paquete de acceso Territorio oriental no puedan solicitar el paquete de acceso Territorio occidental. Si primero en el paquete de acceso al Territorio occidental agregó el paquete de acceso al Territorio oriental como incompatible, a continuación cambia al paquete de acceso al Territorio oriental y agrega el paquete de acceso al Territorio occidental como incompatible.

Configuración de paquetes de acceso incompatibles mediante programación con Graph

Puedes configurar los grupos y otros paquetes de acceso que no son compatibles con un paquete de acceso mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso delegado EntitlementManagement.ReadWrite.All, o una aplicación con ese permiso de aplicación EntitlementManagement.ReadWrite.All, puede llamar a la API para agregar, eliminar y enumerar los grupos incompatibles y los paquetes de acceso de un paquete de acceso.

Configuración de paquetes de acceso incompatibles mediante Microsoft PowerShell

También puede configurar los grupos y otros paquetes de acceso incompatibles con un paquete de acceso en PowerShell con los cmdlets del módulo de PowerShell de Microsoft Graph para Identity Governance, versión 1.16.0 o posterior.

En este siguiente script se muestrav1.0 el perfil de Graph con el fin de crear una relación para indicar que otro paquete de acceso es incompatible.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Visualización de otros paquetes de acceso configurados como incompatibles con este paquete de acceso

Siga estos pasos para ver la lista de otros paquetes de acceso que han indicado que no son compatibles con un paquete de acceso existente:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. En la página Paquetes de acceso, abra el paquete de acceso.

  4. En el menú de la izquierda, seleccione Separación de obligaciones.

  5. Seleccione Incompatible con.

Identificación de usuarios que ya tienen un acceso incompatible a otro paquete de acceso (versión preliminar)

Si ha configurado opciones de acceso incompatibles en un paquete de acceso que ya tiene usuarios asignados, puede descargar una lista de aquellos usuarios que tengan ese acceso adicional. Los usuarios que también tengan una asignación al paquete de acceso incompatible no podrán volver a solicitar el acceso.

Siga estos pasos para ver la lista de usuarios que tienen asignaciones a dos paquetes de acceso.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. En la página Paquetes de acceso, abra el paquete de acceso donde haya configurado otro paquete de acceso como incompatible.

  4. En el menú de la izquierda, seleccione Separación de obligaciones.

  5. En la tabla, en caso de que haya un valor distinto de cero en la columna Acceso adicional para el segundo paquete de acceso, hay uno o varios usuarios con asignaciones.

    Captura de pantalla de un paquete de acceso marcado como incompatible con las asignaciones de acceso existentes.

  6. Seleccione ese recuento para ver la lista de asignaciones incompatibles.

  7. Si lo desea, puede seleccionar el botón Descargar para guardar esa lista de asignaciones como un archivo CSV.

Identificación de usuarios que tendrán un acceso incompatible a otro paquete de acceso

Si va a configurar opciones de acceso incompatibles en un paquete de acceso que ya tiene usuarios asignados, cualquiera de esos usuarios que también tenga una asignación al grupo o paquete de acceso incompatibles no podrá volver a solicitar acceso.

Siga estos pasos para ver la lista de usuarios que tienen asignaciones a dos paquetes de acceso.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. Abra el paquete de acceso donde va a configurar asignaciones incompatibles.

  4. En el menú de la izquierda, seleccione Asignaciones.

  5. En el campo Estado, asegúrese de que está seleccionado el estado Entregado.

  6. Seleccione el botón Descargar y guarde el archivo CSV resultante como primer archivo con una lista de asignaciones.

  7. En la barra de navegación, seleccione Gobierno de identidades.

  8. En el menú de la izquierda, seleccione Paquetes de acceso y abra el paquete de acceso que vaya a marcar como no compatible.

  9. En el menú de la izquierda, seleccione Asignaciones.

  10. En el campo Estado, asegúrese de que está seleccionado el estado Entregado.

  11. Seleccione el botón Descargar y guarde el archivo CSV resultante como segundo archivo con una lista de asignaciones.

  12. Use un programa de hoja de cálculo, como Excel, para abrir los dos archivos.

  13. Los usuarios que aparecen en ambos archivos tienen asignaciones incompatibles ya existentes.

Identificación de usuarios que ya tienen acceso incompatible mediante programación

Puede recuperar asignaciones a un paquete de acceso mediante Microsoft Graph, que tienen como ámbito solo los usuarios que también tienen una asignación a otro paquete de acceso. Un usuario de un rol administrativo con una aplicación con el permiso delegado EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All puede llamar a la API para enumerar accesos adicionales.

Identificación de usuarios que ya tienen acceso incompatible mediante PowerShell

También puede asignar múltiples usuarios a un paquete de acceso en PowerShell con el cmdlet Get-MgEntitlementManagementAssignment de la versión 2.1.0 o posterior del módulo Microsoft Graph PowerShell cmdlets for Identity Governance.

Por ejemplo, si tiene dos paquetes de acceso, uno con el id. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee y el otro con el id. 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, podría recuperar los usuarios que tienen asignaciones al primer paquete de acceso y, a continuación, compararlos con los usuarios que tienen asignaciones al segundo paquete de acceso. También puede notificar a los usuarios que tienen asignaciones entregadas a ambos mediante un script de PowerShell similar al siguiente:

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Configuración de varios paquetes de acceso para escenarios de invalidación

Si un paquete de acceso se ha configurado como incompatible, un usuario que tenga una asignación a ese paquete de acceso incompatible no puede solicitar el paquete de acceso ni un administrador puede realizar una nueva asignación que sería incompatible.

Por ejemplo, si el paquete de acceso Entorno de producción ha marcado el paquete Entorno de desarrollo como incompatible y si un usuario tiene una asignación al paquete de acceso Entorno de desarrollo, entonces el administrador de paquetes de acceso para el Entorno de producción no puede crear una asignación para ese usuario al Entorno de producción. Para continuar con esa asignación, primero se debe quitar la asignación existente del usuario al paquete de acceso Entorno de desarrollo.

Si hay una situación excepcional en la que es posible que sea necesario invalidar la separación de las reglas de tareas, la configuración de un paquete de acceso adicional para capturar a los usuarios que tienen derechos de acceso superpuestos hace que los aprobadores, revisores y auditores tengan clara la naturaleza excepcional de esas asignaciones.

Por ejemplo, si hubiera un escenario en el que algunos usuarios deban tener acceso a entornos de producción e implementación al mismo tiempo, podría crear un nuevo paquete de acceso Entornos de producción y desarrollo. Ese paquete de acceso podría tener como roles de recursos algunos de los roles de recursos del paquete de acceso Entorno de producción y algunos de los roles de recursos del paquete de acceso Entorno de desarrollo.

Si el motivo del acceso incompatible es que los roles de un recurso son problemáticos, ese recurso podría omitirse del paquete de acceso combinado y requerir la asignación explícita del administrador de un usuario al rol del recurso. Si se trata de una aplicación de terceros o de su propia aplicación, puede garantizar la supervisión mediante la supervisión de esas asignaciones de roles mediante el libro Application role assignment activity (Actividad de asignación de roles de aplicación) que se describe en la sección siguiente.

En función de los procesos de gobernanza, ese paquete de acceso combinado podría tener como directiva:

  • una directiva de asignaciones directas, para que solo un administrador de paquetes de acceso interactúe con el paquete de acceso, o
  • una directiva de que los usuarios pueden solicitar acceso, para que un usuario pueda realizar la solicitud, con una fase de aprobación adicional.

Esta directiva podría tener como configuración de ciclo de vida un número de expiración más corto de días que una directiva en otros paquetes de acceso o requerir revisiones de acceso más frecuentes, con supervisión periódica para que los usuarios no conserven el acceso más tiempo del necesario.

Supervisión e informes de asignaciones de acceso

Puede usar libros de Azure Monitor para obtener información sobre cómo los usuarios han estado recibiendo el acceso.

  1. Configuración de Microsoft Entra ID para enviar eventos de auditoría a Azure Monitor.

  2. El libro denominado Actividad del paquete de acceso muestra cada evento relacionado con un paquete de acceso determinado.

    Ver eventos de paquete de acceso

  3. Para ver si se han realizado cambios en las asignaciones de roles de aplicación para una aplicación que no se crearon debido a las asignaciones de paquetes de acceso, puede seleccionar el libro denominado Actividad de asignación de roles de aplicación. Si selecciona la opción para omitir la actividad de derechos, solo se muestran los cambios en los roles de aplicación que no se realizaron mediante la administración de derechos. Por ejemplo, vería una fila si un administrador global hubiera asignado directamente un usuario a un rol de aplicación.

    Visualización de asignaciones de roles de la aplicación

Pasos siguientes