Administración del acceso de usuarios y usuarios invitados con revisiones de acceso
Con las revisiones de acceso, puede garantizar fácilmente que los usuarios o invitados tienen el acceso adecuado. Puede pedir a los propios usuarios o a quien decida en su lugar que participen en una revisión de acceso y vuelvan a certificar (o atestiguar) el acceso de los usuarios. Los revisores pueden dar su aprobación para cada necesidad de acceso continuado de los usuarios, en función de las sugerencias de Microsoft Entra ID. Cuando una revisión de acceso haya terminado, es posible hacer cambios y retirar la concesión de acceso a los usuarios que ya no lo necesitan.
Nota:
En este artículo se describe cómo realizar revisiones de acceso para usuarios y aplicaciones. Para ver información sobre cómo realizar una revisión de acceso para varios recursos en paquetes de acceso, consulte aquí Revisión del acceso de un paquete de acceso en la administración de derechos de Microsoft Entra. Si desea revisar el acceso de usuario o entidad de servicio a Microsoft Entra ID o roles de recursos de Azure, consulte Inicio de una revisión de acceso en Microsoft Entra Privileged Identity Management.
Requisitos previos
El uso de esta característica requiere licencias de Gobernanza de identificadores de Microsoft Entra o Microsoft Entra Suite. Para encontrar la licencia adecuada para sus requisitos, consulte aspectos básicos de las licencias de gobernanza de identificadores de Microsoft Entra.
Creación y realización de una revisión de acceso para los usuario
En primer lugar, debe estar asignado a alguno de los siguientes roles:
- Administrador global
- Administrador de usuarios
- Administrador de Identity Governance
- Administrador de roles con privilegios (solo para revisiones de grupos a los que se pueden asignar roles)
- (Versión preliminar) Propietario del grupo de seguridad de Microsoft 365 o Microsoft Entra del grupo que se va a revisar
Nota:
Después del acceso con privilegios mínimos, se recomienda usar administrador de gobernanza de identidades o administrador de usuarios para estas tareas.
Después, vaya a la página de Identity Governance para asegurarse de que las revisiones de acceso están listas para su organización.
Puede tener uno o más usuarios como revisores en una revisión de acceso.
Seleccione un grupo de Microsoft Entra ID con uno o más miembros. O bien, seleccione una aplicación conectada a Microsoft Entra ID con uno o más usuarios asignados a ella.
Decida si cada usuario revisará su propio acceso o bien si uno o más usuarios revisarán el acceso de todos.
En uno de los roles enumerados anteriormente, vaya a la página Gobernanza de identidades.
Cree la revisión de acceso. Para más información, consulte Creación de una revisión de acceso de los grupos o las aplicaciones.
Cuando se inicie la revisión de acceso, pida a los revisores que proporcionen una entrada. De manera predeterminada, cada uno recibe un correo electrónico de Microsoft Entra ID con un vínculo al panel de acceso con el que podrán realizar la revisión de acceso de los grupos o las aplicaciones.
Si los revisores no han proporcionado información, puede pedir a Microsoft Entra ID que les envíe un recordatorio. De forma predeterminada, Microsoft Entra ID envía automáticamente un recordatorio a la mitad de la fecha de finalización a todos los revisores.
Cuando los revisores hayan proporcionado la información, detenga la revisión de acceso y aplique los cambios. Para más información, consulte Revisión de acceso de los grupos o las aplicaciones.
Administración del acceso de los invitados con las revisiones de acceso de Microsoft Entra
Con Microsoft Entra ID, puede habilitar fácilmente la colaboración entre distintas organizaciones mediante la característica B2B de Microsoft Entra. Los usuarios invitados de otros inquilinos pueden ser invitados por los administradores o por otros usuarios. Esta capacidad también se aplica a las identidades sociales como las cuentas Microsoft.
Creación y realización de una revisión de acceso para invitados
Los mismos roles necesarios para crear una revisión de acceso para los usuarios también son necesarios para crear una revisión de acceso para los invitados. Para obtener más información, consulte Crear y realizar una revisión de acceso para los usuarios.
Microsoft Entra ID ofrece varios escenarios para revisar el acceso de los usuarios invitados.
Puede revisar:
- Un grupo de Microsoft Entra ID con uno o más invitados como miembros.
- Una aplicación conectada a Microsoft Entra ID con uno o más usuarios invitados asignados a ella.
Al revisar el acceso de los usuarios invitados a los grupos de Microsoft 365, puede crear una revisión para cada grupo individualmente o activar las revisiones de acceso periódicas automáticas de los usuarios invitados en todos los grupos de Microsoft 365. En el vídeo siguiente se proporciona más información sobre las revisiones de acceso periódicas de los usuarios invitados:
A continuación, puede decidir si solicitar a cada invitado que revise su propio acceso o preguntar a uno o más usuarios que revise el acceso de cada invitado.
Estos escenarios se tratan en las siguientes secciones.
Se pide a los invitados que revisen su propia pertenencia a un grupo
Puede usar las revisiones de acceso para garantizar que los usuarios invitados y agregados a un grupo siguen necesitando acceso. Puede solicitar fácilmente a los invitados que revisen su propia pertenencia a ese grupo.
Para crear una revisión de acceso para el grupo, seleccione la revisión para incluir solo a los miembros que sean usuarios invitados y para que los miembros se revisen a sí mismos. Para más información, consulte Creación de una revisión de acceso de los grupos o las aplicaciones.
Pida a cada invitado que revise su propia pertenencia. De forma predeterminada, cada invitado que haya aceptado una invitación recibirá un correo electrónico de Microsoft Entra ID con un vínculo a la revisión de acceso. Microsoft Entra ID tiene instrucciones para los invitados sobre cómo revisar el acceso a grupos o aplicaciones.
Cuando los revisores hayan proporcionado la información, detenga la revisión de acceso y aplique los cambios. Para más información, consulte Revisión de acceso de los grupos o las aplicaciones.
Además de los usuarios que negaron su necesidad de seguir teniendo acceso, puede también quitar a los usuarios que no respondieron.
Si el grupo no se usó para la administración de acceso, también puede quitar los usuarios que no estuvieran seleccionados para participar en la revisión porque no aceptaran su invitación. La no aceptación podría indicar que la dirección de correo electrónico del usuario invitado tiene un error de escritura. Si se utiliza un grupo como una lista de distribución, quizás algunos usuarios invitados no se seleccionaron para la participación porque son objetos de contacto.
Se pide a los patrocinadores que revisen la pertenencia de un invitado a un grupo
Puede solicitar a un patrocinador, por ejemplo al propietario de un grupo, que revise la necesidad de un invitado de seguir perteneciendo a un grupo.
Para crear una revisión de acceso para el grupo, seleccione la revisión para incluir solo a los miembros que sean usuarios invitados. Luego especifique uno o más revisores. Para más información, consulte Creación de una revisión de acceso de los grupos o las aplicaciones.
Pida a los revisores que proporcionen sus datos de entrada. De manera predeterminada, cada uno recibe un correo electrónico de Microsoft Entra ID con un vínculo al panel de acceso con el que podrán realizar la revisión de acceso de los grupos o las aplicaciones.
Cuando los revisores hayan proporcionado la información, detenga la revisión de acceso y aplique los cambios. Para más información, consulte Revisión de acceso de los grupos o las aplicaciones.
Nota:
Puede impedir que las identidades externas inicien sesión en el inquilino y eliminar las identidades externas del inquilino después de 30 días. Durante este período, la configuración, los resultados, los revisores o los registros de auditoría de la revisión actual no se podrán ver ni configurar. Para obtener más información, consulte Deshabilitación y eliminación de identidades externas con revisiones de acceso de Microsoft Entra.
Se pide a los invitados que revisen su propio acceso a una aplicación
Puede usar revisiones de acceso para asegurarse de que los usuarios que han sido invitados a una aplicación concreta siguen necesitando el acceso. Puede solicitarles de manera fácil que revisen su propia necesidad de acceso.
Para crear una revisión de acceso para la aplicación, seleccione la revisión para incluir solo a los invitados y para que los usuarios revisen su propio acceso. Para más información, consulte Creación de una revisión de acceso de los grupos o las aplicaciones.
Se pide a cada invitado que revise su propio acceso a la aplicación. De forma predeterminada, cada invitado que haya aceptado una invitación recibirá un correo electrónico de Microsoft Entra ID. Dicho correo electrónico tiene un vínculo a la revisión de acceso en el panel de acceso de su organización. Microsoft Entra ID tiene instrucciones para los invitados sobre cómo revisar el acceso a grupos o aplicaciones.
Cuando los revisores hayan proporcionado la información, detenga la revisión de acceso y aplique los cambios. Para más información, consulte Revisión de acceso de los grupos o las aplicaciones.
Además de los usuarios que negaron su necesidad de seguir teniendo acceso, puede también quitar a los usuarios invitados que no respondieron. También puede quitar los usuarios invitados que no estaban seleccionados para participar, especialmente si no recibieron recientemente ninguna invitación. Esos usuarios no aceptaron su invitación y, por lo tanto, no disponían de acceso a la aplicación.
Se pide a los patrocinadores que revisen su propio acceso a una aplicación
Puede solicitar a un patrocinador, por ejemplo, al propietario de una aplicación, que revise la necesidad de un invitado de seguir teniendo acceso a la aplicación.
Para crear una revisión de acceso para la aplicación, seleccione la revisión para incluir solo a los invitados. Luego especifique uno o más usuarios como revisores. Para más información, consulte Creación de una revisión de acceso de los grupos o las aplicaciones.
Pida a los revisores que proporcionen sus datos de entrada. De manera predeterminada, cada uno recibe un correo electrónico de Microsoft Entra ID con un vínculo al panel de acceso con el que podrán realizar la revisión de acceso de los grupos o las aplicaciones.
Cuando los revisores hayan proporcionado la información, detenga la revisión de acceso y aplique los cambios. Para más información, consulte Revisión de acceso de los grupos o las aplicaciones.
Se pide a los invitados que revisen el acceso que requieren en general
En algunas organizaciones, los invitados pueden no ser conscientes de a qué grupos pertenecen.
Cree un grupo de seguridad en Microsoft Entra ID con los invitados como miembros, si aún no existe un grupo adecuado. Por ejemplo, puede crear un grupo con la pertenencia mantenida de forma manual para los invitados. O bien, puede crear un grupo dinámico con un nombre como "Invitados de Contoso" para los usuarios del inquilino Contoso que tengan el valor Guest en el atributo UserType. Tenga en cuenta que un usuario invitado que sea miembro del grupo puede ver a los demás miembros del grupo.
Para crear una revisión de acceso para ese grupo, seleccione a los revisores para que sean los propios miembros. Para más información, consulte Creación de una revisión de acceso de los grupos o las aplicaciones.
Pida a cada invitado que revise su propia pertenencia. De forma predeterminada, cada invitado que haya aceptado una invitación recibirá un correo electrónico de Microsoft Entra ID con un vínculo a la revisión de acceso del panel de acceso de la organización. Microsoft Entra ID tiene instrucciones para los invitados sobre cómo revisar el acceso a grupos o aplicaciones.
Cuando los revisores hayan proporcionado la información, detenga la revisión de acceso. Para más información, consulte Revisión de acceso de los grupos o las aplicaciones.
Quite el acceso de invitado para los invitados cuyo acceso se denegara, no completaran la revisión o no hubieran aceptado su invitación previamente. Si algunos de los invitados son contactos que no fueron seleccionados para participar en la revisión o que previamente no habían aceptado una invitación, puede deshabilitar sus cuentas mediante el Centro de administración de Microsoft Entra o PowerShell. Si el invitado ya no necesita el acceso y no es un contacto, puede quitar su objeto de usuario desde su directorio mediante el Centro de administración de Microsoft Entra o PowerShell para eliminar el objeto de usuario invitado.