Información general sobre Gobierno de Microsoft Entra ID con Microsoft Graph

El Gobierno de Microsoft Entra ID le permite equilibrar la necesidad de seguridad y productividad de los empleados de su organización con los procesos y la visibilidad adecuados. Proporciona funcionalidades para garantizar que las entidades de seguridad adecuadas tengan el acceso adecuado a los recursos adecuados y en el momento adecuado.

Las entidades de seguridad (o identidades) cuyo acceso puede controlar incluyen usuarios, grupos y aplicaciones (o entidades de servicio). Los usuarios pueden ser empleados, socios comerciales, proveedores o contratistas. Los recursos a los que puede controlar el acceso incluyen grupos, paquetes de acceso y roles con privilegios.

Las funcionalidades de Gobierno de Microsoft Entra ID se administran mediante programación mediante las siguientes API en Microsoft Graph.

• Revisiones de acceso
• Administración de derechos
• Flujos de trabajo de ciclo de vida
• Administración de identidades con privilegios
• Condiciones de uso

Para obtener más información sobre Gobierno de Microsoft Entra ID, consulte ¿Qué es Gobierno de Microsoft Entra ID?.

Administración del ciclo de vida de los usuarios de la organización

Las organizaciones tienen procesos que se llevan a cabo durante al menos tres fases del ciclo de vida de un empleado: cuando se unen a la organización, cuando se mueven dentro de la organización y cuando abandonan la organización. Estos procesos pueden incluir el aprovisionamiento y desaprovisionamiento de acceso y recursos cuando sea necesario.

Las API de flujos de trabajo de ciclo de vida de Microsoft Graph le permiten automatizar los procesos de ciclo de vida básico para los usuarios de su organización. Estos procesos de ciclo de vida permiten que la organización y sus usuarios sean eficientes, seguros o compatibles.

Automatización del acceso de los usuarios a los recursos

Es posible que los empleados de las organizaciones necesiten acceso a varios recursos para realizar sus trabajos. Es posible que los asociados y proveedores también necesiten acceso a los recursos. En organizaciones complejas, puede ser difícil para los usuarios identificar qué acceso necesitan, cómo solicitar acceso y quién debe concederles acceso.

Las API de administración de derechos de Microsoft Graph permiten automatizar los flujos de trabajo de solicitudes de acceso, las asignaciones de acceso, las revisiones y la expiración.

Atestigua el acceso que las entidades de seguridad tienen a los recursos

Cuando una entidad de seguridad tiene acceso a los recursos de la organización, es importante comprobar periódicamente que la entidad de seguridad sigue necesitando acceso. Use la API de revisiones de acceso para comprobar mediante programación el acceso.

Por ejemplo, suponga que su organización automatiza el acceso de los empleados a un recurso específico confidencial para la empresa. Para los invitados, les ha concedido acceso al recurso a través de un grupo. Es importante confirmar periódicamente que los invitados siguen teniendo una necesidad legítima de acceso al grupo y, por extensión, al recurso.

Las revisiones de acceso son una forma de auditar la eficacia de los controles internos de la organización. Para obtener más información, consulte la introducción a las revisiones de acceso.

Administración del acceso a roles con privilegios

Cada organización tiene empleados que requieren roles administrativos con privilegios para realizar sus tareas. En Microsoft Entra ID, puede conceder estas asignaciones con privilegios mediante Microsoft Entra roles integrados. Debido al tipo de permisos que permiten estos roles, es importante mitigar los riesgos de roles con privilegios excesivos, innecesarios o mal utilizados.

Las API de administración de identidades con privilegios de Microsoft Graph permiten administrar mediante programación el ciclo de vida de los roles de Microsoft Entra con privilegios en el inquilino.

Aplicar términos de uso para los recursos

Cada organización tiene sus términos y condiciones que los usuarios pueden necesitar cumplir para poder acceder a los recursos de la organización. Puede definir y aplicar estos términos y condiciones a través de Microsoft Entra Términos de uso.

Los términos de uso pueden ser una directiva general de empresa para todos los usuarios de su organización; o términos para usuarios individuales como invitados y contratistas; o los términos que los usuarios deben aceptar para poder usar una aplicación confidencial en el inquilino.

Las API de términos de uso de Microsoft Graph le permiten configurar los términos y condiciones que los usuarios pueden necesitar aceptar y aceptar antes de que puedan acceder a los recursos.

Confianza cero

Esta característica ayuda a las organizaciones a alinear sus inquilinos con los tres principios rectores de una arquitectura de Confianza cero:

• Comprobar de forma explícita.
• Uso de privilegios mínimos
• Asumir la vulneración.

Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.

Licencias

Gobierno de Microsoft Entra ID funcionalidades están disponibles como parte de diferentes conjuntos de licencias de Microsoft Entra. Para detectar los tipos de licencia y las características de gobernanza de identificadores disponibles por licencia, consulte Gobierno de Microsoft Entra ID aspectos básicos de las licencias.

Contenido relacionado

• ¿Qué es Gobierno de Microsoft Entra ID?
• Planeamiento de nuevos escenarios de gobernanza para asociados empresariales y usuarios externos