Descripción de la gobernanza de Microsoft Entra ID

  • 4 minutos

Microsoft Entra ID Governance le permite equilibrar la productividad de los empleados y la seguridad que necesita su organización con la visibilidad y los procesos adecuados. A medida que cambian los roles de los empleados dentro de una organización, puede usar el Gobierno de Microsoft Entra ID para garantizar automáticamente que las personas adecuadas tengan el acceso adecuado a los recursos adecuados, con automatización de procesos de identidad y acceso, delegación a grupos comerciales y mayor visibilidad.

ID Governance ofrece a las organizaciones la posibilidad de realizar las siguientes tareas:

  • Administrar el ciclo de vida de las identidades.
  • Administrar el ciclo de vida de los accesos.
  • Proteger el acceso con privilegios para la administración.

Estas acciones se pueden completar para empleados, socios comerciales y proveedores en varios servicios y aplicaciones, tanto locales como en la nube.

Están diseñadas para ayudar a las organizaciones a abordar las siguientes cuatro preguntas clave:

  • ¿Qué usuarios deben tener acceso a qué recursos?
  • ¿Qué hacen esos usuarios con el acceso concedido?
  • ¿La organización cuenta con controles eficaces para administrar el acceso?
  • ¿Los auditores pueden comprobar qué controles funcionan?

Ciclo de vida de las identidades

La administración del ciclo de vida de las identidades de los usuarios es el alma de la gobernanza de identidades.

Al planear la administración del ciclo de vida de la identidad para los empleados, por ejemplo, muchas organizaciones modelan el proceso de "unirse, trasladar y abandonar". Cuando una persona se une por primera vez a una organización, se crea una nueva identidad digital si aún no hay ninguna disponible. Cuando una persona se mueve entre límites organizativos, es posible que se deban agregar o eliminar autorizaciones de acceso adicionales a su identidad digital. Cuando una persona se va, es posible que sea necesario eliminar el acceso, y la identidad puede ya no ser necesaria, salvo con fines de auditoría.

En el diagrama siguiente se muestra una versión simplificada del ciclo de vida de la identidad.

Diagrama que muestra el ciclo de vida de la identidad para los empleados. El ciclo de vida se representa como un círculo que inicia sin acceso seguido de la unión a la organización y, a continuación, el traslado a un nuevo rol y luego el abandono de la organización. El ciclo se repite.

Para muchas organizaciones, este ciclo de vida de la identidad para los empleados está ligado a la representación del usuario en un sistema de recursos humanos (RR. HH.), como Workday o SuccessFactors. El sistema de RR. HH. está autorizado para proporcionar la lista actual de empleados y algunas de sus propiedades, como el nombre o departamento. Las organizaciones deben automatizar el proceso de creación de una identidad para un nuevo empleado que se base en una señal de su sistema de RR. HH. para que el empleado pueda ser productivo desde el primer día.

En el Gobierno de Microsoft Entra ID, puede automatizar el ciclo de vida de la identidad de los usuarios mediante:

  • El aprovisionamiento entrante de los orígenes de RR. HH. de su organización, para mantener automáticamente las identidades de usuario en Microsoft Entra ID y Active Directory.
  • Flujos de trabajo de ciclo de vida para automatizar tareas de flujo de trabajo que se ejecutan en determinados eventos clave, como antes de que un nuevo empleado se programe para comenzar a trabajar en la organización, cuando cambia de estado durante su tiempo en la organización y cuando abandona la organización.
  • Directivas de asignación automáticas en la administración de derechos para agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en función de los cambios en los atributos del usuario. La información sobre la administración de derechos se trata en una unidad posterior.
  • Aprovisionamiento de usuarios para crear, actualizar y quitar cuentas de usuario en otras aplicaciones, con conectores a cientos de aplicaciones locales y en la nube.

En general, la administración del ciclo de vida de una identidad consiste en actualizar el acceso que necesitan los usuarios, ya sea a través de la integración con un sistema de recursos humanos o a través de aplicaciones de aprovisionamiento de usuarios.

Ciclo de vida de los accesos

El ciclo de vida de acceso es el proceso para administrar el acceso todo el tiempo que el usuario permanece en la organización. Los usuarios requieren distintos niveles de acceso desde el momento en el que se unen a una organización hasta que la abandonan. En varias fases intermedias, necesitarán derechos de acceso a distintos recursos en función de su rol y sus responsabilidades.

Las organizaciones necesitan un proceso que administre el acceso sin limitarse a lo que se aprovisionó inicialmente, cuando se creó la identidad del usuario. Además, las organizaciones empresariales deben ser capaces de escalar sus recursos con eficacia para poder desarrollar y aplicar de forma continuada directivas y controles de acceso.

Con el Gobierno de Microsoft Entra ID, los departamentos de TI pueden establecer qué derechos de acceso deben tener los usuarios en varios recursos y qué comprobaciones de cumplimiento son necesarias.

Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos con determinadas tecnologías, como los grupos dinámicos. Los grupos dinámicos permiten a los administradores crear reglas basadas en atributos para determinar la pertenencia a grupos. Cuando cambia cualquier atributo de un usuario o dispositivo, el sistema evalúa todas las reglas de grupos dinámicos de un directorio para ver si la modificación desencadenaría la adición o retirada de usuarios en un grupo. Si un usuario o dispositivo cumple una regla de un grupo, se agrega a este como miembro. Si ya no cumple la regla, se quita del grupo.

La administración de derechos permite a las organizaciones definir cómo los usuarios solicitan acceso entre paquetes de pertenencias a grupos y equipos, roles de aplicación y roles de SharePoint Online, y aplican la separación de las comprobaciones de tareas en las solicitudes de acceso.

Las organizaciones pueden revisar periódicamente los derechos de acceso mediante las revisiones periódicas de acceso de Microsoft Entra para la recertificación de acceso.

Ciclo de vida de los accesos con privilegios

La supervisión del acceso con privilegios es una parte fundamental de la gobernanza de identidades. Cuando se asignan derechos administrativos a los empleados, proveedores y contratistas, debe haber un proceso de gobernanza debido a la posibilidad de un uso incorrecto.

Privileged Identity Management (PIM) de Microsoft Entra ofrece controles adicionales que están adaptados para proteger los derechos de acceso. PIM le ayuda a minimizar el número de personas que tienen acceso a los recursos a través de Microsoft Entra ID, Azure y otros servicios en línea de Microsoft. PIM proporciona un conjunto completo de controles de gobernanza para ayudar a proteger los recursos de la empresa.

Diagrama que muestra el ciclo de vida de los derechos de acceso de la identidad. El ciclo de vida se representa como un círculo que empieza sin administrador, le sigue un primer rol de administrador, luego un segundo rol de administrador y, a continuación, se abandona la TI.