Cambio de la configuración de solicitud de un paquete de acceso en la administración de derechos
Los administradores de paquetes de acceso pueden cambiar los usuarios que pueden solicitar un paquete de acceso en cualquier momento. Para ello, deben editar una directiva para las solicitudes de asignación de paquetes de acceso o agrega una nueva directiva al paquete de acceso. En este artículo, se explica cómo se puede modificar la configuración de la solicitud de un paquete de acceso existente.
Elección entre una o varias directivas
Para especificar quién puede solicitar un paquete de acceso, debe usar una directiva. Antes de crear una directiva o editar una directiva existente en un paquete de acceso, debe determinar cuántas directivas necesita el paquete de acceso.
Al crear un paquete de acceso, se puede especificar la configuración de solicitud, aprobación y ciclo de vida, que se almacenan en la primera directiva del paquete de acceso. La mayoría de los paquetes de acceso tendrán una sola directiva para que los usuarios soliciten acceso, pero un único paquete de acceso puede tener varias. Se crearían varias directivas para un único paquete de acceso si deseara permitir que se concedan asignaciones a los distintos conjuntos de usuarios con una configuración de solicitudes y aprobación diferente.
Por ejemplo, no se puede usar una sola directiva para asignar usuarios internos y externos al mismo paquete de acceso. Sin embargo, puede crear dos directivas en el mismo paquete de acceso: una para los usuarios internos y otra para los usuarios externos. Si hay varias directivas que se aplican a un usuario para realizar una solicitud, se le pedirá en el momento de su solicitud que seleccione la directiva que le gustaría que se le asignara. En el diagrama siguiente se muestra un paquete de acceso con dos directivas.
Además de las directivas para que los usuarios soliciten acceso, también puede tener directivas para la asignación automática y directivas para la asignación directa por parte de administradores o propietarios de catálogos.
¿Cuántas directivas necesito?
Escenario | Número de directivas |
---|---|
Quiero que todos los usuarios de mi directorio tengan la misma configuración de solicitudes y aprobación para un paquete de acceso | Uno |
Quiero que todos los usuarios de ciertas organizaciones conectadas puedan solicitar un paquete de acceso | Uno |
Deseo permitir que los usuarios de mi directorio y también los de fuera de mi directorio soliciten un paquete de acceso | Dos |
Deseo especificar una configuración de aprobación diferente para algunos usuarios | Uno para cada grupo de usuarios |
Quiero que algunos usuarios accedan a las asignaciones de paquetes que van a expirar mientras que otros usuarios puedan extender su acceso | Uno para cada grupo de usuarios |
Quiero que algunos usuarios soliciten el acceso y que sea un administrador el que asigne el acceso a otros usuarios | Dos |
Quiero que algunos usuarios de mi organización reciban acceso automáticamente, otros usuarios de mi organización puedan solicitar el acceso y que un administrador otorgue el acceso a otros usuarios | tres |
Para información sobre la lógica de prioridad que se usa cuando se aplican varias directivas, consulte Varias directivas.
Apertura de un paquete de acceso existente e incorporación de una nueva directiva con otra configuración de solicitudes
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Si tiene un conjunto de usuarios que deben tener una configuración de solicitudes y aprobación diferente, probablemente tendrá que crear una directiva. Para empezar a agregar una nueva directiva a un paquete de acceso existente, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Sugerencia
Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.
Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.
En la página Paquetes de acceso, abra el paquete de acceso que desea editar.
Seleccione Directivas y, a continuación, Agregar directiva.
En la pestaña Aspectos básicos, escriba un nombre y una descripción para la directiva.
Seleccione Siguiente para abrir la pestaña Solicitudes.
Cambie la opción Usuarios que pueden solicitar acceso. Siga los pasos de las secciones siguientes para cambiar la configuración por una de las siguientes opciones:
para los usuarios del directorio
Siga estos pasos si quiere que los usuarios que están en el directorio puedan solicitar este paquete de acceso. Al definir la directiva de solicitud, puede especificar usuarios individuales o, más comúnmente, grupos de usuarios. Por ejemplo, su organización podría tener un grupo como Todos los empleados. Si ese grupo se agrega a la directiva para los usuarios que pueden solicitar acceso, cualquier miembro de ese grupo podrá solicitar acceso.
En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione For users in your directory (Para los usuarios del directorio).
Cuando se selecciona esta opción, aparecen nuevas opciones para restringir aún más quién en el directorio puede solicitar este paquete de acceso.
Seleccione una de las siguientes opciones:
Descripción Usuarios y grupos específicos Elige esta opción si deseas que solo los usuarios y grupos del directorio que especifiques puedan solicitar este paquete de acceso. Todos los miembros (excepto invitados) Elige esta opción si deseas que todos los usuarios miembros del directorio puedan solicitar este paquete de acceso. Esta opción no incluye ningún usuario invitado al que puedas haber invitado en tu directorio. Todos los usuarios (incluidos invitados) Elija esta opción si desea que todos los usuarios miembros y los usuarios invitados del directorio puedan solicitar este paquete de acceso. Los usuarios invitados hacen referencia a usuarios externos que han sido invitados al directorio con Microsoft Entra B2B. Para más información sobre las diferencias entre los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Microsoft Entra ID?
Si seleccionó Usuarios y grupos específicos, seleccione Agregar usuarios y grupos.
En el panel Seleccionar usuarios y grupos, seleccione los usuarios y grupos que quiera agregar.
Seleccione Seleccionar para agregar los usuarios y grupos.
Si quiere solicitar aprobación, siga los pasos descritos en Cambio de la configuración de aprobación de un paquete de acceso en la administración de derechos para configurar los valores de aprobación.
Vaya a la sección Habilitación de solicitudes.
para los usuarios que no están en el directorio
Usuarios que no están en el directorio se refiere a los usuarios que están en otro dominio o directorio de Microsoft Entra. Es posible que estos usuarios no hayan sido invitados todavía al directorio. Los directorios de Microsoft Entra deben configurarse para permitir invitaciones en Restricciones de colaboración. Para más información, consulte Configuración de la colaboración externa.
Nota:
Se creará una cuenta de usuario invitado para un usuario que aún no esté en el directorio cuya solicitud se haya aprobado o aprobado automáticamente. Se invitará al invitado, pero no recibirá un correo electrónico de invitación. En su lugar, recibirá un correo electrónico cuando se entregue su asignación de paquete de acceso. De forma predeterminada, más adelante cuando ese usuario invitado ya no tenga ninguna asignación de paquete de acceso porque su última asignación ha expirado o se ha cancelado, se bloqueará el inicio de sesión de esa cuenta de usuario invitado y se eliminará posteriormente. Si quiere que los usuarios invitados permanezcan en el directorio de manera indefinida, incluso si no tienen ninguna asignación de paquete de acceso, puede cambiar la configuración de la administración de derechos. Para obtener más información acerca del objeto de usuario invitado, vea Propiedades de un usuario de colaboración B2B de Microsoft Entra.
Siga estos pasos si quiere que los usuarios que no están en el directorio soliciten este paquete de acceso:
En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione Para los usuarios que no están en su directorio.
Cuando se selecciona esta opción, aparecen nuevas opciones.
Seleccione si los usuarios que pueden solicitar acceso deben estar afiliados a una organización conectada existente o pueden ser cualquier usuario de Internet. Una organización conectada es aquella con la que tiene una relación preexistente, que podría tener un directorio externo de Microsoft Entra u otro proveedor de identidades. Seleccione una de las siguientes opciones:
Descripción Organizaciones conectadas específicas Elija esta opción si desea seleccionar de una lista de organizaciones que el administrador haya agregado anteriormente. Todos los usuarios de las organizaciones seleccionadas pueden solicitar este paquete de acceso. Todas las organizaciones conectadas configuradas Elija esta opción si todos los usuarios de todas las organizaciones conectadas configuradas pueden solicitar este paquete de acceso. Solo los usuarios de organizaciones conectadas configuradas pueden solicitar paquetes de acceso, por lo que si un usuario no procede de un inquilino de Microsoft Entra, un dominio o proveedor de identidades asociado a una organización conectada existente, no podrá solicitarlos. Todos los usuarios (todas las organizaciones conectadas y todos los nuevos usuarios externos) Elija esta opción si cualquier usuario de Internet debe poder solicitar este paquete de acceso. Si no pertenecen a una organización conectada del directorio, se creará automáticamente una organización conectada para ellos cuando soliciten el paquete. La organización conectada creada automáticamente tiene el estado Propuesta. Para más información sobre el estado propuesto, consulte Propiedad del estado de las organizaciones conectadas. Si seleccionó Organizaciones conectadas específicas, seleccione Agregar directorios para seleccionar en una lista de las organizaciones conectadas que el administrador haya agregado anteriormente.
Escriba el nombre o el nombre de dominio para buscar una organización anteriormente conectada.
Si la organización con la que desea colaborar no está en la lista, puede pedir al administrador que la agregue como una organización conectada. Para más información, consulte Incorporación de una organización conectada.
Una vez que haya seleccionado todas las organizaciones conectadas, seleccione Seleccionar.
Nota:
Todos los usuarios de las organizaciones seleccionadas conectadas pueden solicitar este paquete de acceso. En el caso de una organización conectada que tenga un directorio de Microsoft Entra, los usuarios de todos los dominios comprobados asociados al directorio de Microsoft Entra pueden solicitar, a menos que esos dominios estén bloqueados por la lista de permitidos o denegados de Azure B2B. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).
A continuación, siga los pasos descritos en Cambiar la configuración de aprobación de un paquete de acceso en la administración de derechos para configurar las opciones de aprobación para especificar quién debe aprobar las solicitudes de los usuarios que no están en la organización.
Vaya a la sección Habilitación de solicitudes.
ninguno (solo para las asignaciones directas del administrador)
Siga estos pasos si quiere omitir las solicitudes de acceso y permitir a los administradores asignar directamente a usuarios específicos al paquete de acceso. Los usuarios no tendrán que solicitar el paquete de acceso. Aún podrá establecer la configuración del ciclo de vida, pero no hay ninguna configuración de solicitud.
En la sección Usuarios que pueden solicitar acceso, seleccione Ninguno (solo para las asignaciones directas del administrador).
Después de crear el paquete de acceso, puede asignar directamente usuarios internos y externos específicos al paquete de acceso. Si especifica un usuario externo, se crea una cuenta de usuario invitado en su directorio. Para información sobre la asignación directa de un usuario, consulte Visualización, incorporación y eliminación de asignaciones en un paquete de acceso.
Vaya a la sección Habilitación de solicitudes.
Nota:
Al asignar usuarios a un paquete de acceso, los administradores tendrán que comprobar que los usuarios cumplen los requisitos de la directiva existente para ese paquete de acceso. De lo contrario, los usuarios no se podrán asignar correctamente al paquete de acceso. Si el paquete de acceso contiene una directiva que requiere que la aprobación de las solicitudes de usuario, no se podrán asignar usuarios directamente al paquete sin las aprobaciones necesarias de los aprobadores designados.
Apertura y edición de la configuración de solicitudes de una directiva existente
Para cambiar la configuración de solicitudes y aprobación de un paquete de acceso, debe abrir la directiva correspondiente con esa configuración. Siga estos pasos para abrir y editar la configuración de solicitudes de una directiva de asignación de paquetes de acceso:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Sugerencia
Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.
Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.
En la página Paquetes de acceso, abra el paquete de acceso cuya configuración de solicitud de directiva desea editar.
Seleccione Directivas y luego en la directiva que quiere editar.
Se abre el panel Detalles de directiva en la parte inferior de la página.
Seleccione Editar para editar la directiva.
Seleccione la pestaña Solicitudes para abrir la configuración de solicitud.
Siga los pasos descritos en las secciones anteriores para cambiar la configuración de solicitud según sea necesario.
Vaya a la sección Habilitación de solicitudes.
Habilitación de solicitudes
Si quiere que el paquete de acceso esté disponible de inmediato para los usuarios de la directiva de solicitud para que puedan solicitarlo, cambie el conmutador de alternancia Habilitar a Sí.
Podrá habilitarla en todo momento cuando haya terminado de crear el paquete de acceso.
Si seleccionó Ninguno (solo para las asignaciones directas del administrador) y establece la habilitación en No, los administradores no podrán asignar directamente este paquete de acceso.
Seleccione Siguiente.
Si quiere exigir a los solicitantes que proporcionen más información al solicitar acceso a un paquete de acceso, siga los pasos de Cambio de la configuración de información de aprobación y del solicitante para un paquete de acceso de administración de derechos para configurar la información del solicitante.
Configure los valores del ciclo de vida.
Si va a editar una directiva, seleccione Actualizar. Si va a agregar una nueva directiva, seleccione Crear.
Creación de una directiva de asignación de paquete de acceso mediante programación
Hay dos maneras de crear una directiva de asignación de paquetes de acceso mediante programación: con Microsoft Graph y con los cmdlets de PowerShell para Microsoft Graph.
Creación de una directiva de asignación de paquetes de acceso con Graph
Puede crear una directiva mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All
delegado, o una aplicación en un rol de catálogo con el permiso EntitlementManagement.ReadWrite.All
, puede llamar a la API para crear una API de assignmentPolicy.
Creación de una directiva de asignación de paquetes de acceso con PowerShell
También puede crear un paquete de acceso en PowerShell con los cmdlets de la versión 2.1.x o posterior del módulo de los cmdlets de PowerShell de Microsoft Graph para Identity Governance.
El siguiente script muestra la creación de una directiva de asignación directa a un paquete de acceso. En esta directiva, solo el administrador puede asignar acceso, y no hay aprobaciones o revisiones de acceso. Consulte Creación de una directiva de asignación automática para ver un ejemplo de cómo crear una directiva de asignación automática y Creación de un objeto assignmentPolicy para ver más ejemplos.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Prevención de solicitudes de usuarios con acceso incompatible
Además de las comprobaciones de directivas sobre quién puede realizar solicitudes, puede que quiera restringir aún más el acceso para evitar que un usuario que ya lo tenga (mediante un grupo u otro paquete de acceso) obtenga acceso excesivo.
Si quiere configurar que los usuarios no puedan solicitar un paquete de acceso si ya tienen otro asignado o si son miembros de un grupo, siga los pasos en Configuración de comprobaciones de separación de obligaciones para paquetes de acceso.