Administración del acceso de usuarios con las revisiones de acceso de Azure Active Directory

  • 8 minutos

El acceso a grupos y aplicaciones para empleados e invitados cambia con el tiempo. Para reducir el riesgo asociado a las asignaciones de acceso obsoletas, los administradores pueden usar Azure Active Directory (Azure AD) para crear revisiones de acceso para los miembros del grupo o el acceso a la aplicación. Estos son algunos de los escenarios donde se pueden usar las revisiones de acceso:

  • Cuando existen demasiados usuarios que tienen roles con privilegios
  • Cuando la automatización no es posible
  • Cuando se usa un grupo para un nuevo propósito
  • Cuando se accede a datos fundamentales de la empresa
  • Cuando se quiere mantener una lista de excepciones de directiva
  • Pedir a los propietarios del grupo que confirmen que aún necesitan invitados en sus grupos
  • Hacer que las revisiones se repitan periódicamente

Las revisiones de acceso de Azure Active Directory (Azure AD) permiten a las organizaciones administrar eficazmente las pertenencias a grupos sin necesidad de supervisión administrativa. Puede asegurarse de que los usuarios y los invitados tienen el acceso adecuado. Con las revisiones de acceso, puede:

  • Programar revisiones periódicas o realice revisiones ad hoc para ver quién tiene acceso a recursos específicos, como aplicaciones y grupos.
  • Realizar un seguimiento de las revisiones por motivos de información, cumplimiento o directiva
  • Delegar revisiones a administradores específicos, propietarios empresariales o usuarios finales que puedan dar fe de la necesidad de acceso continuado
  • Usar la información para determinar de forma eficaz si los usuarios deben seguir teniendo acceso
  • Automatizar los resultados de la revisión, como la eliminación de usuarios acceso a los recursos
  • Automatizar los grupos de revisión en Azure AD que tengan uno o varios invitados como miembros.
  • Automatizar las aplicaciones de revisión conectadas a Azure AD que tienen uno o varios usuarios invitados asignados.

Diagrama que muestra el flujo de revisiones de acceso.

Ventajas principales

Las principales ventajas de habilitar las revisiones de acceso son:

  • Controlar colaboración - Las revisiones de acceso permiten a las organizaciones administrar el acceso a todos los recursos que necesitan sus usuarios. Cuando sus usuarios comparten y colaboran, las organizaciones pueden estar seguras de que la información está solo entre usuarios autorizados.

  • Riesgo de administración: las revisiones de acceso proporcionan a las organizaciones una manera de revisar el acceso a los datos y las aplicaciones, lo que reduce el riesgo de pérdida de datos y desbordamiento de datos. Esto incluye funcionalidades para revisar periódicamente el acceso de los asociados externos a los recursos corporativos.

  • Dirección del cumplimiento y la gobernanza: con las revisiones de acceso, puede controlar y volver a certificar el ciclo de vida de acceso a grupos, aplicaciones y sitios. Puede controlar las revisiones de seguimiento de las aplicaciones de cumplimiento o sensibles a riesgos específicas de su organización.

  • Costo de recursos : las revisiones de acceso se crean en la nube y funcionan de forma nativa con recursos en la nube, como grupos, aplicaciones y paquetes de acceso. El uso de revisiones de acceso es menos costoso que la creación de sus propias herramientas o la actualización del conjunto de herramientas local.

Crear revisiones de acceso para los miembros del grupo

Requisitos previos

  • Azure AD Premium P2
  • Administrador global o administrador de usuarios
  • propietario del grupo de seguridad y Microsoft 365 (versión preliminar)

Crear una o varias revisiones de acceso

  1. Inicie sesión en Azure Portal y abra la página Identity Governance.

  2. Seleccione Revisiones de acceso > + Nueva revisión de acceso para crear una nueva revisión de acceso.

  3. En la sección Seleccionar lo que se debe revisar, seleccione Equipos + Grupos.

  4. En la sección Revisar ámbito, seleccione una de las dos opciones:

    • Todos los grupos de Microsoft 365 con usuarios invitados: seleccione esta opción si desea crear revisiones periódicas en todos los invitados de todos los grupos de Microsoft Teams y Microsoft 365 de su organización. Puede elegir excluir determinados grupos seleccionando " Seleccione los grupos que se van a excluir".

    • Seleccionar equipos y grupos : seleccione esta opción si desea especificar un conjunto finito de equipos o grupos para revisar. Después de seleccionar esta opción, verá una lista de grupos a la derecha para elegir.

  5. En la sección Ámbito, puede seleccionar un ámbito para la revisión. Tiene las siguientes opciones:

    • Los usuarios más recientes solo: al seleccionar esta opción se limita la revisión de acceso solo a los invitados Azure AD B2B del directorio.
    • Todos los usuarios: al seleccionar esta opción se limita la revisión de acceso a todos los objetos de usuario asociados al recurso.

    Si ha seleccionado Todos los grupos de Microsoft 365 con invitados, la única opción será la de revisar solo los usuarios invitados.

    Equipos y grupos

  6. Seleccione Next: Reviews.

  7. En la sección Seleccionar revisores, seleccione una o varias personas para realizar las revisiones de acceso. Puede elegir entre:

    • Propietarios del grupo (solo disponible al realizar una revisión en un equipo o grupo)
    • Usuario o grupos seleccionados
    • Los usuarios revisan su propio acceso
    • Administradores de usuarios. Si elige Managers de usuarios o Grupo propietarios también tiene la opción de especificar un revisor de reserva. Se pide a los revisores de reserva que realicen una revisión cuando el usuario no tiene ningún administrador especificado en el directorio o el grupo no tiene un propietario.

  8. En la sección Especifique la periodicidad de la revisión, puede especificar una frecuencia como semanal, mensual, trimestral, semestral, anual. A continuación, especifique un Duration, que define cuánto tiempo estará abierta una revisión para la entrada de revisores. Por ejemplo, la duración máxima que puede establecer para una revisión mensual es de 27 días, para evitar revisiones superpuestas. Es posible que quiera acortar la duración para asegurarse de que la entrada de los revisores se ha aplicado anteriormente. A continuación, puede seleccionar una Fecha de inicio y Fecha de finalización.

    Obtener revisión de acceso

  9. Seleccione el botón Next: Settings en el extremo inferior de la página.

  10. En la configuración tras la finalización, puede especificar lo que sucede una vez completada la revisión.

    Si desea quitar automáticamente el acceso de los usuarios denegados, establezca Auto apply results to resource en Habilitar. Si desea aplicar manualmente los resultados cuando se complete la revisión, establezca el modificador en Disable.

    Use la lista Si los revisores no responden para especificar lo que sucede para los usuarios que el revisor no revisa dentro del período de revisión. Esta configuración no afecta a los usuarios que han sido revisados por los revisores manualmente. Si la decisión del revisor final es Deny, se quitará el acceso del usuario.

    • No cambiar - Dejar el acceso del usuario sin cambios
    • Retirar acceso - Quitar el acceso del usuario
    • Aprobar acceso: aprobar el acceso del usuario
    • Usar recomendaciones- Tomar la recomendación del sistema sobre denegar o aprobar el acceso continuado del usuario

    Use la acción para aplicar a los usuarios denegados invitado para especificar qué ocurre con los invitados si se deniegan.

    • Eliminar la pertenencia del usuario al recurso quitará el acceso denegado del usuario al grupo o la aplicación que se está revisando, pero podrá iniciar sesión en el inquilino.
    • Impedir que el usuario inicie sesión durante 30 días y, a continuación, quitar el usuario del inquilino impedirá que los usuarios denegados inicien sesión en el inquilino, independientemente de si tienen acceso a otros recursos. Si se ha producido un error o si un administrador decide volver a habilitar el acceso, puede hacerlo en un plazo de 30 días después de que el usuario se haya deshabilitado. Si no se realiza ninguna acción en los usuarios deshabilitados, se eliminarán del inquilino.

  11. Puede enviar notificaciones a otros usuarios o grupos para recibir actualizaciones de finalización de revisiones. Esta característica permite que las partes interesadas que no sean el creador de la revisión se actualicen en el progreso de la revisión. Para usar esta característica, seleccione Seleccionar usuarios o grupos y agregue un usuario o grupo adicional que quiera recibir el estado de finalización.

  12. En el Enable review decision helpers, elija si desea que el revisor reciba recomendaciones durante el proceso de revisión.

  13. En la sección Configuración avanzada, puede elegir lo siguiente:

    • Establezca Justificación necesaria en Habilitar para requerir que el revisor proporcione un motivo para la aprobación.
    • Establezca email notifications en Habilitar para que Azure AD envíe notificaciones por correo electrónico a los revisores cuando se inicie una revisión de acceso y a los administradores cuando se complete una revisión.
    • Establezca Recordatorios en Habilitar para que Azure AD envíe recordatorios de las revisiones de acceso en curso a los revisores que no hayan completado su revisión. Estos avisos se enviarán a mitad de la duración de la revisión.
    • El contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de la revisión, el nombre del recurso, la fecha de vencimiento y otros detalles. Si necesita una manera de comunicar otra información, como otras instrucciones o información de contacto, puede especificar estos detalles en la sección Contenedor adicional para el correo electrónico del revisor. La información que escriba se incluye en los correos electrónicos de invitación y recordatorio enviados a los revisores asignados. La sección resaltada en la siguiente imagen muestra dónde se muestra esta información.

    Opciones de configuración de finalización de actualización

  14. Seleccione Siguiente: Revisar + Crear para ir a la página siguiente.

  15. Asigne un nombre a la revisión de acceso. Opcionalmente, proporcione una descripción a la revisión. El nombre y la descripción se muestran a los revisores.

  16. Revise la información y seleccione Crear.

Permitir que los propietarios del grupo creen y administren revisiones de acceso (versión preliminar)

Rol de requisito previo: administrador global o de usuario

  1. Inicie sesión en Azure Portal y abra la página Identity Governance.

  2. En el menú de la izquierda, en Opiniones, configuración.

  3. En la página Delegado que puede crear y administrar revisiones de acceso, establezca la opción (Vista previa) Los propietarios de grupos pueden crear y gestionar las revisiones de acceso de los grupos que poseen en .

Revisión del acceso a los grupos

Una vez que haya especificado la configuración de una revisión de acceso, seleccione Comenzar. La revisión de acceso aparecerá en la lista con un indicador de su estado.

De forma predeterminada, Azure AD envía un correo electrónico a los revisores poco después de que se inicie la revisión. Si decide no tener Azure AD enviar el correo electrónico, asegúrese de informar a los revisores de que hay una revisión de acceso a la espera de que se completen.

Puede iniciar el proceso de revisión de acceso desde el correo electrónico de notificación o yendo directamente al sitio https://myapps.microsoft.com. Hay dos maneras de aprobar o denegar el acceso:

  • Puede aprobar o denegar el acceso de uno o varios usuarios "manualmente" eligiendo la acción adecuada para cada solicitud de usuario.

  • Puede aceptar las recomendaciones del sistema.

    Abrir revisión de acceso que enumera los usuarios que se van a revisar

Registros de auditoría en Azure Active Directory

Además de las revisiones de acceso, los administradores pueden usar registros de auditoría para revisar los registros de las actividades del sistema para el cumplimiento, incluidos:

Vista centrada en el usuario

  • ¿Qué tipos de actualizaciones se han aplicado a los usuarios?
  • ¿Cuántos usuarios se han cambiado?
  • ¿Cuántas contraseñas se han cambiado?
  • ¿Qué ha hecho un administrador en un directorio?

Vista centrada en grupos

  • ¿Cuáles son los grupos que se han agregado?
  • ¿Existen grupos con cambios de pertenencia?
  • ¿Se han cambiado los propietarios del grupo?
  • ¿Qué licencias se han asignado a un grupo o a un usuario?

Vista centrada en la aplicación

  • ¿Qué aplicaciones se han agregado o actualizado?
  • ¿Qué aplicaciones se han quitado?
  • ¿Ha cambiado alguna entidad de servicio para una aplicación?
  • ¿Se han cambiado los nombres de las aplicaciones?
  • ¿Quién ha dado consentimiento a una aplicación?

Puede acceder al registro de auditoría desde la sección Supervisión del centro de administración de Azure Active Directory y usar filtros para buscar la información.

Registro de auditoría en el Centro de administración de AAD

Para obtener más información, consulte Registros de auditoría en Azure Active Directory.