Extensión o renovación de asignaciones de roles de recursos de Azure en Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM), proporciona controles para administrar el ciclo de vida de acceso y asignación de los recursos de Azure. Los administradores pueden asignar roles mediante propiedades de fecha y hora de inicio y finalización. Cuando se aproxima el extremo de la asignación, Privileged Identity Management envía notificaciones por correo electrónico a los usuarios o grupos afectados. También envía notificaciones por correo electrónico a los administradores del recurso para asegurarse de que se mantiene el acceso adecuado. Es posible que las asignaciones se renueven y permanezcan visibles en un estado expirado durante un máximo de 30 días, incluso si el acceso no se extiende.
¿Quién puede extender y renovar?
Solo los administradores del recurso pueden extender o renovar las asignaciones de roles. El usuario o grupo afectado puede solicitar la extensión de roles que están a punto de expirar y solicitar la renovación de roles que ya han expirado.
¿Cuándo se envían las notificaciones?
Privileged Identity Management envía notificaciones por correo electrónico a los administradores y a los usuarios o grupos de roles afectados que expiran en un plazo de 14 días y un día antes de la expiración. Envía un correo electrónico adicional cuando una asignación expira oficialmente.
Los administradores reciben notificaciones cuando a un usuario o grupo se le asigna un rol que va a expirar o ya ha expirado y solicita extender o renovar dicho rol. Cuando un administrador específico resuelve la solicitud, se notifica a todos los demás administradores la decisión de resolución (aprobada o denegada). A continuación, se notifica al usuario o grupo solicitante la decisión.
Extensión de asignaciones de roles
En los pasos siguientes se describe el proceso para solicitar, resolver o administrar una extensión o renovación de una asignación de roles.
Ampliación automática de asignaciones que van a expirar
Los usuarios asignados a un rol pueden ampliar las asignaciones de roles que van a esperar directamente desde la pestaña Apto o Activo de la página Mis roles de un recurso y desde la página Mis roles de nivel superior del portal de Privileged Identity Management. En el portal, los usuarios pueden solicitar que amplíen los roles válidos o activos (asignados) que expiran en los próximos 14 días.
Cuando la fecha y hora de finalización de la asignación es anterior a 14 días, el vínculo para Extender se activa en el Centro de administración de Microsoft Entra. En el ejemplo siguiente, supongamos que la fecha actual es el 27 de marzo.
Nota
Para un grupo asignado a un rol, el vínculo Extender nunca estará disponible para que un usuario con una asignación heredada no pueda extender la asignación de grupo.
Para solicitar una extensión de esta asignación de roles, seleccione Extender para abrir el formulario de solicitud.
Para ver información sobre la asignación original, expanda Detalles de asignación. Escriba un motivo para la solicitud de extensión y, a continuación, seleccione Extender.
Nota
Se recomienda incluir los detalles de por qué es necesaria la extensión y durante cuánto tiempo se debe conceder la extensión (si tiene esta información).
En cuestión de momentos, los administradores de recursos reciben una notificación por correo electrónico que solicita que revisen la solicitud de extensión. Si ya se ha enviado una solicitud de extensión, aparece una notificación de Azure en el portal.
Vaya a la página solicitudes pendientes para ver el estado de la solicitud o cancelarla.
Extensión aprobada por el administrador
Cuando un usuario o grupo envía una solicitud para extender una asignación de roles, los administradores de recursos reciben una notificación por correo electrónico que contiene los detalles de la asignación original y el motivo de la solicitud. La notificación incluye un vínculo directo a la solicitud para que el administrador apruebe o deniegue.
Además de usar el siguiente vínculo desde el correo electrónico, los administradores pueden aprobar o denegar solicitudes; para ello, vaya al portal de administración de Privileged Identity Management y seleccione Aprobar solicitudes en el panel izquierdo.
Cuando un administrador selecciona Aprobar o Denegar, se muestran los detalles de la solicitud, junto con un campo para proporcionar una justificación comercial para los registros de auditoría.
Al aprobar una solicitud para ampliar la asignación de roles, los administradores de recursos pueden elegir una nueva fecha de inicio, fecha de finalización y tipo de asignación. Cambiar el tipo de asignación puede ser necesario si el administrador quiere proporcionar acceso limitado para completar una tarea específica (por ejemplo, un día). En este ejemplo, el administrador puede cambiar la asignación de Elegible a Activo. Esto significa que pueden proporcionar acceso al solicitante sin necesidad de que el solicitante se active.
Extensión iniciada por el administrador
Si un usuario asignado a un rol no solicita una extensión para la asignación de roles, un administrador puede extender una asignación en nombre del usuario. Las extensiones administrativas de la asignación de roles no requieren aprobación, pero las notificaciones se envían a todos los demás administradores una vez ampliado el rol.
Para ampliar una asignación de roles, vaya a la vista del rol de recurso o la asignación en Privileged Identity Management. Busque la asignación que requiere una extensión. Luego, seleccione Extender en la columna de acción.
Renovación de asignaciones de roles
Aunque conceptualmente es similar al proceso para solicitar una extensión, el proceso para renovar una asignación de roles expirada es diferente. Cuando sea necesario, siguiendo los pasos siguientes, los administradores pueden renovar las asignaciones y el acceso a roles que han expirado.
Renovación automática
Los usuarios que ya no pueden acceder a los recursos pueden consultar hasta 30 días del historial de asignaciones vencidas. Para ello, van a Mis roles en el panel izquierdo y, a continuación, seleccionan la pestaña Roles expirados en la sección Roles de recursos de Azure.
El valor predeterminado de la lista de roles que se muestra es Roles elegibles. Usa el menú desplegable para alternar entre roles elegibles y roles asignados activos.
Para solicitar la renovación de cualquiera de las asignaciones de roles de la lista, seleccione la acción Renovar. A continuación, proporcione un motivo para la solicitud. Resulta útil proporcionar una duración además de cualquier otro contexto o una justificación comercial que pueda ayudar al administrador de recursos a decidir aprobar o denegar.
Una vez enviada la solicitud, los administradores de recursos reciben una notificación de una solicitud pendiente para renovar una asignación de roles.
El administrador aprueba
Los administradores de recursos pueden acceder a la solicitud de renovación desde el vínculo de la notificación por correo electrónico o accediendo a Privileged Identity Management desde Azure Portal y seleccionando Aprobar solicitudes en el panel izquierdo.
Cuando un administrador selecciona Aprobar o Denegar, se muestran los detalles de la solicitud junto con un campo para proporcionar una justificación comercial para los registros de auditoría.
Al aprobar una solicitud para renovar la asignación de roles, los administradores de recursos deben escribir una nueva fecha de inicio, fecha de finalización y tipo de asignación.
Renovación por parte de los administradores
Los administradores de recursos pueden renovar las asignaciones de roles expiradas desde la pestaña Miembros de del menú de navegación izquierdo de un recurso. También pueden renovar las asignaciones de roles expirados en la pestaña de roles Expirados de un rol de recursos.
En la pantalla Miembros, seleccione Roles expirados para ver una lista de todas las asignaciones de roles que han expirado.
