Complete una revisión de acceso a los recursos de Azure y los roles de Microsoft Entra en PIM
Los administradores de roles con privilegios pueden revisar el acceso con privilegios una vez que se ha iniciado una revisión del acceso. Privileged Identity Management (PIM) de Microsoft Entra ID envía automáticamente un correo en el que se solicita a los usuarios que revisen su acceso. Si un usuario no recibe un correo electrónico, puede enviarle las instrucciones necesarias para realizar una revisión del acceso.
Una vez creada la revisión, siga los pasos de este artículo para llevar a cabo la revisión y ver los resultados.
Realización de revisiones de acceso
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Inicie sesión en el centro de administración de Microsoft Entra como usuario asignado a uno de los roles de requisitos previos.
Vaya a Gobernanza de identidades>Administración de identidades privilegiadas.
Para los roles de Microsoft Entra, seleccione roles de Microsoft Entra. Para los recursos de Azure, seleccione Recursos de Azure
Seleccione la revisión de acceso que quiere administrar. A continuación se muestra una captura de pantalla de ejemplo de la información general de Revisiones de acceso de recursos de Azure y roles de Microsoft Entra.
En la página de detalles están disponibles las siguientes opciones para administrar la revisión de recursos de Azure y roles de Microsoft Entra:
Detención de una revisión de acceso
Todas las revisiones de acceso tienen una fecha de finalización, pero puede usar el botón Detener para terminarlas antes. El botón Detener solo se puede seleccionar cuando la instancia de revisión está activa. No se puede reiniciar una revisión después de detenerla.
Restablecimiento de una revisión de acceso
Cuando la instancia de revisión está activa y los revisores han tomado al menos una decisión, puede restablecer la revisión de acceso si selecciona el botón Restablecer para quitar todas las decisiones tomadas sobre ella. Después de restablecer una revisión de acceso, todos los usuarios se marcan como no revisados de nuevo.
Aplicación de una revisión de acceso
Después de que finalice una revisión de acceso, bien porque se ha llegado a la fecha de finalización o porque se ha detenido manualmente, el botón Aplicar quita el acceso de los usuarios denegados al rol. Si se ha denegado el acceso de un usuario durante la revisión, este es el paso que quita su asignación de roles. Si la opción Aplicar automáticamente se configura al crear la revisión, este botón siempre está deshabilitado, porque la revisión se aplica automáticamente en lugar de manualmente.
Eliminación de una revisión de acceso
Si ya no le interesa la revisión, elimínela. Para quitar la revisión de acceso del servicio Privileged Identity Management, seleccione el botón Eliminar.
Importante
No se le pedirá que confirme este cambio destructivo, por lo que debe comprobar que desea eliminar esa revisión.
Results
En la página Resultados, puede ver y descargar una lista de los resultados de la revisión.
Nota:
Los roles de Microsoft Entra tienen un concepto de grupos a los que se pueden asignar roles, donde se puede asignar un grupo al rol. Cuando esto sucede, el grupo se muestra en la revisión en lugar de expandir sus miembros y un revisor aprueba o deniega a todo el grupo.
Nota
Si se asigna un grupo a roles de recursos de Azure, el revisor del rol de recursos de Azure ve la lista expandida de los usuarios de un grupo anidado. Si un revisor deniega un miembro de un grupo anidado, ese resultado de denegación no se aplica correctamente, porque el usuario no se quita del grupo anidado.
Revisores
En la página Revisores puede ver y agregar revisores a la revisión de acceso existente. Aquí también puede recordar a los revisores que completen sus revisiones.
Nota
Si el tipo de revisor seleccionado es usuario o grupo, puede agregar más usuarios o grupos como revisores principales en cualquier momento. También puede quitar revisores principales en cualquier momento. Si el tipo de revisor es administrador, puede agregar usuarios o grupos como revisores de reserva para completar las revisiones de los usuarios que no tienen administradores. Los revisores de reserva no se pueden quitar.