Gestión de Identidades Privilegiadas (PIM) para Grupos
Microsoft Entra ID permite conceder a los usuarios la pertenencia y propiedad de grupos en tiempo real a través de la Administración de Identidades con Privilegios (PIM) para grupos. Los grupos se pueden usar para controlar el acceso a varios escenarios, como roles de Microsoft Entra, roles de Azure, Azure SQL, Azure Key Vault, Intune, otros roles de aplicación y aplicaciones de terceros.
¿Qué es PIM para grupos?
PIM para grupos forma parte de Microsoft Entra Privileged Identity Management. Junto con PIM para roles de Microsoft Entra y PIM para recursos de Azure, PIM para grupos permite a los usuarios activar la propiedad o pertenencia a un grupo de seguridad de Microsoft Entra o a un grupo de Microsoft 365. Los grupos se pueden usar para controlar el acceso a varios escenarios, como roles de Microsoft Entra, roles de Azure, Azure SQL, Azure Key Vault, Intune, otros roles de aplicación y aplicaciones de terceros.
Con PIM para grupos, puedes usar directivas similares a las que se usan en PIM para roles de Microsoft Entra y PIM para recursos de Azure: puedes requerir aprobación para la activación de pertenencia o propiedad, aplicar la autenticación multifactor (MFA), requerir justificación, limitar el tiempo de activación máximo y mucho más. Cada grupo de PIM para grupos tiene dos directivas: una para la activación de la pertenencia y otra para la activación de la propiedad en el grupo. Hasta enero de 2023, la característica PIM para grupos se denominaba "Grupos de acceso con privilegios".
Nota:
En el caso de los grupos que se usan para elevar a roles de Microsoft Entra, recomendamos requerir un proceso de aprobación para las asignaciones de miembros elegibles. Las asignaciones que se pueden activar sin aprobación pueden plantearle un riesgo de seguridad por parte de administradores con menos privilegios. Por ejemplo, el administrador del departamento de soporte técnico tiene permiso para restablecer las contraseñas de un usuario que reúna las características para ello.
PIM para grupos y desactivación de pertenencia
Microsoft Entra ID no permite quitar al último propietario activo de un grupo. Por ejemplo, considere un grupo que tenga el propietario activo A y el propietario elegible B. Si el usuario B activa su propiedad con PIM y, después, el usuario A se elimina del grupo o del inquilino, la desactivación de la propiedad del usuario B no tendrá éxito.
PIM intentará desactivar la propiedad del usuario B durante un máximo de 30 días. Si se agrega otro propietario activo C al grupo, la desactivación se realizará correctamente. Si la desactivación no se realiza correctamente después de 30 días, PIM dejará de intentar desactivar la propiedad del usuario B y el usuario B seguirá siendo un propietario activo.
¿Qué son los grupos a los que se pueden asignar roles de Microsoft Entra?
Al trabajar con Microsoft Entra ID, puedes asignar un grupo de seguridad de Microsoft Entra o un grupo de Microsoft 365 a un rol de Microsoft Entra. Esto solo es posible con grupos creados para que se les puedan asignar roles.
Para obtener más información sobre los grupos a los que se pueden asignar roles de Microsoft Entra, consulta Creación de un grupo al que se pueden asignar roles en Microsoft Entra ID.
Los grupos a los que se pueden asignar roles se benefician de protecciones adicionales en comparación con los grupos a los que no se les pueden asignar:
- En el caso de los grupos a los que se pueden asignar roles, solo pueden administrar el grupo el administrador global, el administrador de roles con privilegios o el propietario del grupo. Además, ningún otro usuario puede cambiar las credenciales de los usuarios que son miembros (activos) del grupo. Esta característica ayuda a evitar que los administradores cambien los roles a otro con más privilegios sin pasar por un procedimiento de solicitud y aprobación.
- Grupos a los que no se pueden asignar roles: varios roles de Microsoft Entra pueden administrar estos grupos. Aquí se incluyen los administradores de Exchange, administradores de grupos, administradores de usuarios, etc. Además, varios roles de Microsoft Entra pueden cambiar las credenciales de los usuarios que son miembros (activos) del grupo. Aquí se incluyen los administradores de autenticación, administradores del departamento de soporte técnico, administradores de usuarios, etc.
Para obtener más información sobre los roles integrados de Microsoft Entra y sus permisos, consulta Roles integrados de Microsoft Entra.
La característica de grupo al que se le pueden asignar roles de Microsoft Entra no forma parte de Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Para obtener más información sobre las licencias, consulta Aspectos básicos de las licencias de Gobierno de Microsoft Entra ID.
Relación entre los grupos a los que se pueden asignar roles y PIM para grupos
Los grupos de Microsoft Entra ID se pueden clasificar como a los que se les pueden asignar roles o a los que no se les pueden asignar roles. Además, cualquier grupo se puede habilitar o no habilitar para su uso con Microsoft Entra Privileged Identity Management (PIM) para grupos. Esto son propiedades independientes del grupo. Cualquier grupo de seguridad de Microsoft Entra y cualquier grupo de Microsoft 365 (excepto los grupos de pertenencia dinámica y los grupos sincronizados desde el entorno local) se pueden habilitar en PIM para grupos. No es necesario que se puedan asignar roles a un grupo para habilitarlo en PIM para grupos.
Si quiere asignar un rol de Microsoft Entra a un grupo, es necesario que al grupo se le puedan asignar roles. Incluso si no tienes previsto asignar un rol de Microsoft Entra al grupo, si el grupo proporciona acceso a recursos confidenciales, se recomienda plantearse la creación del grupo para que se le puedan asignar roles. Esto se debe a que los grupos a los que se pueden asignar roles tienen más protección. Vea "¿Qué son los grupos a los que se pueden asignar roles de Microsoft Entra?" en la sección anterior.
Importante
Hasta enero de 2023, era necesario que todos los grupos de acceso con privilegios (nombre anterior de la característica PIM para grupos) fueran grupos a los que se pueden asignar roles. Actualmente se ha quitado esta restricción. Por eso, ahora es posible habilitar más de 500 grupos por inquilino en PIM, pero solo un máximo de 500 pueden ser grupos a los que se pueden asignar roles.
Establecimiento de un grupo de usuarios como apto para un rol de Microsoft Entra
Hay dos maneras de hacer que un grupo de usuarios sea apto para un rol de Microsoft Entra:
- Realiza asignaciones activas de usuarios al grupo y, después, asigna el grupo a un rol como apto para la activación.
- Realiza la asignación activa de un rol a un grupo y asigna usuarios elegibles para la pertenencia al grupo.
Para proporcionar a un grupo de usuarios acceso Just-In-Time a roles de Microsoft Entra con permisos en el portal de cumplimiento de SharePoint, Exchange o Microsoft Purview (por ejemplo, rol administrador de Exchange), asegúrese de realizar asignaciones activas de usuarios al grupo y, a continuación, asigne el grupo a un rol como apto para la activación (opción 1 anterior). Si en su lugar decides realizar asignaciones activas de un grupo a un rol y asignar usuarios para que sean aptos para la pertenencia al grupo, es posible que tardes mucho tiempo en tener todos los permisos del rol activados y listos para su uso.
En otras palabras, para evitar retrasos en la activación, use PIM para roles de Microsoft Entra en lugar de PIM para grupos para proporcionar acceso justo a tiempo al portal de cumplimiento de SharePoint, Exchange o de Microsoft Purview. Para obtener más información, vea Error al acceder a SharePoint o OneDrive después de la activación de roles en PIM.
Privileged Identity Management y anidación de grupos
En Microsoft Entra ID, los grupos a los que se pueden asignar roles no pueden tener otros grupos anidados dentro de ellos. Para obtener más información, consulta Uso de grupos de Microsoft Entra para administrar la asignación de roles. Esto se aplica a la pertenencia activa: un grupo no puede ser un miembro activo de otro grupo al que se pueden asignar roles.
Un grupo puede ser un miembro apto de otro grupo, incluso si se pueden asignar roles a uno de esos grupos.
Si un usuario es miembro activo del grupo A y el grupo A es un miembro apto del grupo B, el usuario puede activar su pertenencia al grupo B. Esta activación solo será para el usuario que la solicitó, no significa que todo el grupo A se convierta en miembro activo del grupo B.
Privileged Identity Management y aprovisionamiento de aplicaciones
Si el grupo está configurado para el aprovisionamiento de aplicaciones, la activación de la pertenencia a grupos desencadenará el aprovisionamiento de la pertenencia a grupos (y la propia cuenta de usuario si no se ha aprovisionado anteriormente) en la aplicación mediante el protocolo SCIM.
Tenemos una funcionalidad que desencadena el aprovisionamiento justo después de activar la pertenencia a grupos en PIM. La configuración del aprovisionamiento depende de la aplicación. Por lo general, se recomienda tener al menos dos grupos asignados a la aplicación. Dependiendo del número de roles en tu aplicación, puedes optar por definir grupos adicionales "con privilegios".
| Grupo | Propósito | Miembros | Pertenencia a grupos | Rol asignado en la aplicación |
|---|---|---|---|---|
| El grupo Todos los usuarios | Asegúrese de que todos los usuarios que necesitan acceso a la aplicación tengan acceso constante a la aplicación. | Todos los usuarios que necesitan acceder a la aplicación. | Activo | Ninguno, o rol con pocos privilegios |
| Grupo con privilegios | Proporcionar acceso Just-In-Time al rol con privilegios en la aplicación. | Usuarios que necesitan tener acceso Just-In-Time al rol con privilegios en la aplicación. | Apto | Rol con privilegios |
Consideraciones clave
- ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?
- Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Microsoft Entra Privileged Identity Management (PIM):
- La pertenencia al grupo se gestiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
- Cuando un usuario activa su pertenencia a grupos en Microsoft Entra PIM:
- La pertenencia a grupos se aprovisiona en 2 a 10 minutos. Cuando hay una alta tasa de solicitudes simultáneamente, las solicitudes se limitan a cinco solicitudes cada 10 segundos.
- Para los cinco primeros usuarios dentro de un período de 10 segundos que activen su pertenencia a grupos para una aplicación específica, la membresía de grupo se activa en la aplicación en un plazo de 2 a 10 minutos.
- Para el sexto usuario y los usuarios adicionales en un período de 10 segundos que activan su membresía de grupo en una aplicación específica, la membresía de grupo se asigna a la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
- Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Microsoft Entra Privileged Identity Management (PIM):
- Si el usuario no puede acceder al grupo necesario en la aplicación de destino, revise los registros de PIM y los registros de aprovisionamiento para asegurarse de que la pertenencia al grupo se actualizó correctamente. En función de cómo se haya diseñado la aplicación de destino, la pertenencia al grupo puede tardar más tiempo en surtir efecto en la aplicación.
- Con Azure Monitor, los clientes pueden crear alertas de errores.