Configurar la administración del acceso con privilegios

  • 9 minutos

La configuración de Privileged Access Management (PAM) en Microsoft Purview permite a las organizaciones aplicar controles de acceso estructurados, lo que reduce los riesgos asociados a permisos administrativos permanentes.

Requisitos previos

Antes de configurar PAM, asegúrese de que se cumplen los siguientes requisitos previos:

  • Suscripción de Microsoft 365: compruebe que la suscripción de su organización incluye compatibilidad con PAM. Compruebe los detalles de la suscripción.
  • Roles adecuados: asegúrese de que tiene el rol Administrador global o Administrador de Exchange para configurar PAM.
  • Planear grupos de acceso: determine los aprobadores y las cuentas del sistema para las solicitudes de acceso con privilegios.

Pasos para configurar la administración de acceso con privilegios

Siga estos pasos para configurar PAM en su organización:

1. Crear un grupo de aprobadores

Los grupos de aprobadores son responsables de revisar y autorizar solicitudes de acceso con privilegios. La configuración de un grupo de seguridad habilitado para correo garantiza que las solicitudes se enrutan correctamente.

  1. Inicie sesión en el Centro de administración de Microsoft 365 con sus credenciales de administrador.

  2. Vaya a Teams & grupos>Equipos activos & grupos con sus credenciales de administrador.

  3. Seleccione la pestaña Grupos de seguridad y, a continuación, elija Agregar un grupo de seguridad habilitado para correo.

    Captura de pantalla que muestra cómo agregar un grupo de seguridad habilitado para correo.

  4. En la página Configurar los conceptos básicos , escriba los detalles siguientes:

    • Nombre: proporcione un nombre descriptivo para el grupo.
    • Descripción: agregue una breve descripción del propósito del grupo.

  5. En la página Asignar propietarios , asigne un propietario para el grupo.

  6. En la página Agregar miembros , agregue personas que actuarán como aprobadores.

  7. En la página Editar configuración , configure la dirección de correo electrónico del grupo.

  8. Seleccione Crear grupo. Espere unos minutos a que el grupo esté totalmente configurado.

2. Habilitar la administración de acceso con privilegios

Al habilitar PAM, se activan los flujos de trabajo de aprobación, lo que garantiza que las tareas administrativas confidenciales requieren permisos elevados concedidos a través de procesos controlados.

Habilitación de la administración de acceso con privilegios mediante el Centro de Administración de Microsoft 365

  1. Inicie sesión en el Centro de Administración de Microsoft 365.

  2. Vaya a Configuración Configuración> de >la organizaciónSeguridad & privacidad>Acceso con privilegios.

    Captura de pantalla que muestra dónde acceder a la configuración de acceso con privilegios.

  3. Active la casilla Permitir solicitudes de acceso con privilegios y elija un grupo de aprobación predeterminado.

  4. Asigne el grupo del aprobador creado en el paso 1 como grupo de aprobación predeterminado.

    Captura de pantalla que muestra cómo asignar un grupo de aprobación.

  5. Guarde y cierre la configuración.

Habilitación de la administración de acceso con privilegios mediante PowerShell

Use el Enable-ElevatedAccessControl cmdlet en Exchange Online PowerShell para habilitar la administración de acceso con privilegios y asignar el grupo de aprobadores. Esto garantiza que las tareas con privilegios requieren aprobación y define el grupo responsable de aprobar estas solicitudes:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Ejemplo:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

El -AdminGroup parámetro especifica el grupo de seguridad habilitado para correo para las aprobaciones, mientras que el -SystemAccounts parámetro excluye cuentas específicas de controles de acceso con privilegios, lo que permite que las operaciones esenciales del sistema continúen sin interrupciones.

3. Crear directivas de acceso

Las directivas de acceso definen las reglas con las que se concede acceso con privilegios. Estas directivas garantizan que los permisos elevados se proporcionen solo cuando sea necesario y en condiciones definidas.

Creación de una directiva de acceso mediante el Centro de Administración de Microsoft 365

  1. Vaya a Configuración Configuración> de >la organizaciónSeguridad & privacidad>Acceso con privilegios.

  2. Seleccione Crear directivas y administrar solicitudesAdministrar directivas>>Agregar directiva.

  3. Configure la directiva:

    • Tipo de directiva: tarea, rol o grupo de roles

    • Ámbito de la directiva: Exchange

    • Nombre de directiva: seleccione entre las opciones disponibles.

    • Tipo de aprobación: manual o automática

    • Aprobadores: seleccione el grupo del aprobador, si el tipo de aprobación está establecido en Manual.

    Captura de pantalla que muestra los campos para agregar una directiva de administración de acceso con privilegios.

  4. Seleccione Crear para agregar una nueva directiva de administración de acceso con privilegios.

Creación de una directiva de acceso mediante PowerShell de administración de Exchange

Use el New-ElevatedAccessApprovalPolicy cmdlet de PowerShell para crear una directiva de acceso con privilegios. Esta directiva define las condiciones en las que se aprueban y ejecutan las tareas con privilegios elevados:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Ejemplo:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: especifica el cmdlet de Exchange que requiere la aprobación de acceso con privilegios.
  • -ApprovalType: determina si la aprobación se controla manualmente por un grupo de aprobadores (manual) o automáticamente (automático).
  • -ApproverGroup: identifica el grupo de seguridad habilitado para correo responsable de aprobar las solicitudes cuando -ApprovalType está establecido en Manual.

4. Probar y usar la administración de acceso con privilegios

Las pruebas garantizan que las directivas y flujos de trabajo configurados funcionan según lo previsto, lo que permite a los usuarios enviar solicitudes y aprobadores para que actúen sobre ellas.

  • Enviar una solicitud: los usuarios pueden solicitar permisos elevados para las tareas si navegan a la sección Acceso con privilegios en el Centro de Administración de Microsoft 365 o mediante PowerShell.

  • Aprobar una solicitud: los aprobadores revisan y actúan sobre las solicitudes a través de notificaciones por correo electrónico o directamente en el Centro de Administración de Microsoft 365.

La configuración de la administración de acceso con privilegios garantiza permisos administrativos temporales y seguros para tareas confidenciales. Al crear grupos de aprobadores, habilitar PAM y definir directivas de acceso, las organizaciones pueden aplicar el principio de privilegios mínimos y mejorar su posición de seguridad. Las auditorías y revisiones periódicas refuerzan aún más la eficacia de PAM para proteger las configuraciones y los datos críticos.