Compartir vía

Creación de una revisión de acceso de recursos de Azure y roles de Microsoft Entra en PIM

  • Artículo

La necesidad de acceso a recursos de Azure y roles de Microsoft Entra con privilegios por parte de los usuarios cambia con el tiempo. Para reducir el riesgo asociado con las asignaciones de roles obsoletas, debe revisar el acceso periódicamente. Puede usar Microsoft Entra Privileged Identity Management (PIM) para crear revisiones de acceso para obtener acceso con privilegios a los roles de recursos de Microsoft Entra. También puede configurar revisiones de acceso periódicas que se produzcan automáticamente. En este artículo se describe cómo crear una o varias revisiones de acceso.

Requisitos previos

Se necesitan licencias para usar Privileged Identity Management. Para obtener más información sobre las licencias, consulte Aspectos básicos de las licencias de Microsoft Entra ID Governance.

Para más información sobre las licencias de PIM, consulte Requisitos de licencia para usar Privileged Identity Management.

Para crear revisiones de acceso en los recursos de Azure, es preciso tener asignado los roles de Azure Propietario o Administrador de acceso de usuario para los recursos de Azure. A fin de crear revisiones de acceso para roles de Microsoft Entra, debe tener asignado al menos el rol de Administrador de roles con privilegios.

El uso de revisiones de acceso de las entidades de servicio requiere un plan Premium de Microsoft Entra Workload ID, además de licencias de Microsoft Entra ID P2 o Microsoft Entra ID Governance.

  • Licencias premium de identidades de carga de trabajo: puede ver y adquirir licencias en la hoja Identidades de carga de trabajo de la Azure Portal.

Nota:

Las revisiones de acceso capturan una instantánea del acceso al principio de cada instancia de revisión. Los cambios realizados durante el proceso de revisión se reflejarán en el ciclo de revisión posterior. Básicamente, con el inicio de cada nueva periodicidad, se recuperan los datos pertinentes sobre los usuarios, los recursos que se revisan y sus respectivos revisores.

Crear revisiones de acceso

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el centro de administración de Microsoft Entra como usuario asignado a uno de los roles de requisitos previos.

  2. Vaya a Gobernanza de identidades>Administración de identidades privilegiadas.

  3. Para los roles de Microsoft Entra, seleccione roles de Microsoft Entra. Para los recursos de Azure, seleccione Recursos de Azure

    Seleccione Identity Governance en la captura de pantalla del centro de administración de Microsoft Entra.

  4. Para los roles de Microsoft Entra, seleccione roles de Microsoft Entra de nuevo en Administrar. En Recursos de Azure, seleccione la suscripción que desea administrar.

  5. En Administrar, seleccione Revisiones de acceso y, luego, elija Nuevapara crear una nueva revisión de acceso.

    Roles de Microsoft Entra: Captura de pantalla de una lista de revisiones de acceso que muestra el estado de todas las revisiones.

  6. Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.

    Captura de pantalla de creación de una revisión de acceso: nombre y descripción de la revisión.

  7. Establezca un valor para Fecha de inicio. De forma predeterminada, se produce una revisión de acceso una vez. Comienza en el momento de la creación y finaliza en un mes. Puede cambiar las fechas de inicio y de finalización para hacer que una revisión de acceso se inicie en el futuro, transcurridos tantos días como desee.

    Captura de pantalla de la fecha de inicio, frecuencia, duración, finalización, número de veces y fecha de finalización.

  8. Para realizar que la revisión de acceso sea periódica, cambie la opción Frecuencia de Una vez a Semanal, Mensual, Trimestral, Anual o Semestral. Utiliza el cuadro de texto o el control deslizante de Duración para especificar la duración de la revisión. Por ejemplo, la duración máxima que puede establecer para una revisión mensual es 27 días, con el fin de evitar la superposición de revisiones.

  9. Use el valor Fin para especificar cómo finalizar la serie de revisión de acceso periódica. La serie puede terminar de tres maneras: se ejecuta continuamente para llevar a cabo revisiones indefinidamente, hasta una fecha concreta, o después de que se complete un número determinado de veces. Cualquier administrador que pueda administrar revisiones puede detener la serie después de su creación cambiando la fecha en Configuración, de manera que termine en esa fecha.

  10. En la sección Ámbito de los usuarios, seleccione el ámbito de la revisión. En Roles de Microsoft Entra, la primera opción de ámbito es Usuarios y grupos. En esta selección se incluyen los usuarios asignados directamente y los grupos a los que se pueden asignar roles. En Roles de recursos de Azure, el primer ámbito es Usuarios. Los grupos asignados a los roles de recursos de Azure se expanden para mostrar asignaciones de usuario transitivas en la revisión con esta selección. También puede seleccionar Entidades de servicio para examinar las cuentas de máquina con acceso directo al recurso de Azure o al rol de Microsoft Entra.

    Captura de pantalla del ámbito Usuarios para revisar la pertenencia a roles.

  11. También puede crear revisiones de acceso solo para usuarios inactivos. En la sección Ámbito de los usuarios, establezca Solo usuarios inactivos (en el nivel de inquilino) en true. Si el interruptor se establece en true, el ámbito de revisión se centra solo en usuarios inactivos. A continuación, especifique Días inactivos. Puede especificar hasta 730 días (dos años). Los usuarios inactivos durante el número de días especificado son los únicos usuarios de la revisión.

  12. En Pertenencia a rol de revisión, seleccione el recurso de Azure o los roles de Microsoft Entra con privilegios que desea revisar.

    Nota:

    Si selecciona más de un rol, se crearán varias revisiones de acceso. Por ejemplo, al seleccionar cinco roles, se crearán cinco revisiones de acceso independientes.

    Captura de pantalla de Pertenencia a rol de revisión.

  13. En el tipo de asignación, defina el ámbito de la revisión según la asignación de la entidad de seguridad al rol. Elija Eligible assignments only (Solo asignaciones aptas) para revisar las asignaciones aptas (independientemente del estado de activación al crear la revisión) o Solo asignaciones activas para revisar las asignaciones activas. Elija All active and eligible assignments (Todas las asignaciones activas y aptas) para revisar todas las asignaciones, independientemente del tipo.

    Captura de pantalla de la lista de revisores de tipos de asignación.

  14. En la sección Revisores, seleccione una o más personas para que revisen a todos los usuarios. También puede seleccionar que los miembros revisen su propio acceso.

    Lista de los revisores de los usuarios o miembros (por sí mismos) seleccionados

    • Usuarios seleccionados: use esta opción para designar un usuario específico para completar la revisión. Esta opción está disponible independientemente del ámbito de la revisión y los revisores seleccionados pueden revisar usuarios, grupos y entidades de servicio.
    • Miembros (por sí mismos) : use esta opción para hacer que los usuarios revisen sus propias asignaciones de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. En Roles de Microsoft Entra, los grupos a los que se pueden asignar roles no forman parte de la revisión cuando se selecciona esta opción.
    • Administrador: use esta opción para que el administrador del usuario revise su asignación de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. Al seleccionar Administrador, también puede especificar un revisor de reserva. Se pide a los revisores de reserva que revisen a un usuario cuando este no tiene ningún administrador especificado en el directorio. En Roles de Microsoft Entra, el revisor de reserva examina los grupos a los que se pueden asignar roles si hay alguno seleccionado.

Configuración de finalización

  1. Para especificar lo que sucede una vez finalizada una revisión, expanda la sección Configuración de finalización.

    Captura de pantalla que muestra la configuración de finalización para aplicar automáticamente y las opciones si los revisores no responden.

  2. Si desea quitar automáticamente el acceso para los usuarios que se han denegado, establezca Aplicar automáticamente los resultados al recurso en Habilitar. Si desea aplicar manualmente los resultados cuando se complete la revisión, establezca el conmutador en Deshabilitar.

  3. Use la lista Si el revisor no responde para especificar lo que sucede con los usuarios que no son revisados por el revisor dentro del período de revisión. Esta configuración no afecta a los usuarios que ya se han revisado.

    • Sin cambios: dejar el acceso del usuario sin cambios
    • Quitar acceso: quitar el acceso del usuario
    • Aprobar acceso: aprobar el acceso del usuario
    • Aceptar recomendaciones: aceptar la recomendación del sistema sobre la denegación o aprobación del acceso continuo del usuario

  4. Use la lista Action to apply on denied guest users (Acción que se aplica a los usuarios invitados denegados) para especificar lo que les sucede a los usuarios invitados denegados. Esta configuración no es editable para las revisiones de roles de recursos de Azure y del ID de Microsoft Entra en este momento; los usuarios invitados, al igual que todos los demás usuarios, siempre pierden el acceso al recurso si se les deniega.

    Captura de pantalla que muestra el valor Action to apply on denied guest users (Acción que aplicar a los usuarios invitados denegados) de Upon completion settings (Configuración de finalización).

  5. Puede enviar notificaciones a otros usuarios o grupos para recibir actualizaciones de finalización de revisión. Esta característica permite que partes interesadas que no sean el creador de la revisión reciban actualizaciones sobre el progreso de la revisión. Para usar esta característica, seleccione Seleccionar usuarios o grupos y agregue los usuarios o grupos que quiera recibir notificaciones de estado de finalización.

    Captura de pantalla de Upon completion settings (Configuración de finalización): Add additional users to receive notifications (Agregar usuarios adicionales para recibir notificaciones).

Configuración avanzada

  1. Para configurar más opciones, expanda la sección Configuración avanzada.

    Captura de pantalla de la configuración avanzada para mostrar recomendaciones, requerir el motivo de la aprobación, notificaciones por correo y recordatorios.

  2. Establezca Mostrar recomendaciones en Habilitar para mostrar las recomendaciones del sistema de los revisores según la información del acceso del usuario. Las recomendaciones se basan en un período de un intervalo de 30 días. Los usuarios que han iniciado sesión en los últimos 30 días se muestran con la aprobación recomendada del acceso, mientras que los usuarios que no han iniciado sesión se muestran con la denegación de acceso recomendada. Estos inicios de sesión son independientes de si eran interactivos. El último inicio de sesión del usuario también se muestra junto con la recomendación.

  3. Establezca Requerir motivo de la aprobación en Habilitar para requerir que el revisor proporcione un motivo para la aprobación.

  4. Establezca Notificaciones de correo en Habilitar para que Microsoft Entra ID envíe notificaciones de correo electrónico a los revisores cuando se inicie una revisión de acceso y a los administradores cuando se complete.

  5. Establezca Recordatorios en Habilitar para que Microsoft Entra ID envíe recordatorios de revisiones de acceso en curso a los revisores que no hayan completado su revisión.

  6. El contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de revisión, el nombre del recurso, la fecha de vencimiento, etc. Si necesita una manera de comunicar información adicional, como más instrucciones o información de contacto, puede especificar estos detalles en el Contenido adicional para el correo electrónico del revisor se incluyen en la invitación y los correos electrónicos de recordatorio enviados a los revisores asignados. La sección resaltada es donde se muestra esta información.

    Contenido del correo electrónico enviado a los revisores con aspectos destacados

Administración de la revisión de acceso

En la página Información general de la revisión de acceso, puede seguir el progreso de los revisores a medida que completan las revisiones. Los derechos de acceso no se cambian en el directorio hasta que la revisión finaliza. Captura de pantalla de la página de información general de las revisiones de acceso que muestra los detalles de la revisión de acceso para los roles de Microsoft Entra.

Después de la revisión de acceso, siga los pasos descritos en Complete una revisión de acceso de recursos de Azure y de los roles de Microsoft Entra para ver y aplicar los resultados.

Si está gestionando una serie de revisiones de acceso, vaya a la revisión de acceso, donde encontrará próximas ocurrencias en las Revisiones programadas, y edite la fecha de finalización o agregue o quite revisores según corresponda.

Según las selecciones de la Configuración de finalización, la aplicación automática se ejecutará después de la fecha de finalización de la revisión o cuando se detenga manualmente la revisión. El estado de la revisión cambia de Completado a estados intermedios como Aplicando y, por último, a Aplicado. Debería ver que los usuarios denegados, si es que los hay, se eliminan de los roles en unos minutos.

Impacto de los grupos asignados a roles de Microsoft Entra y roles de recursos de Azure en las revisiones de acceso

• En el caso de los roles de Microsoft Entra, los grupos a los que se pueden asignar roles se pueden asignar mediante grupos a los que se pueden asignar roles. Cuando se crea una revisión en un rol de Microsoft Entra con grupos a los que se pueden asignar roles, el nombre del grupo aparece en la revisión sin expandir la pertenencia a grupos. El revisor puede aprobar o denegar el acceso de todo el grupo al rol. Los grupos denegados pierden su asignación al rol cuando se aplican los resultados de revisión.

• En el caso de los roles de recursos de Azure, se puede asignar cualquier grupo de seguridad al rol. Cuando se crea una revisión en un rol de recurso de Azure con un grupo de seguridad asignado, los revisores de roles pueden ver una vista totalmente expandida de la pertenencia del grupo. Cuando un revisor deniega a un usuario que se asignó al rol a través del grupo de seguridad, el usuario no se quitará del grupo. Esto se debe a que un grupo se puede compartir con otros recursos de Azure o que no son de Azure. Los administradores deben implementar los cambios resultantes de una denegación de acceso.

Nota:

Es posible que un grupo de seguridad tenga asignados otros grupos. En este caso, solo los usuarios asignados directamente al grupo de seguridad asignado al rol aparecerán en la revisión del rol.

Actualización de la revisión de acceso

Una vez iniciadas una o varias revisiones de acceso, puede modificar o actualizar la configuración de las revisiones de acceso existentes. Hay algunos escenarios comunes que se deben tener en cuenta:

  • Agregar y quitar revisores: al actualizar las revisiones de acceso, puede optar por agregar un revisor de reserva, además del revisor principal. Los revisores principales se pueden quitar al actualizar una revisión de acceso. Sin embargo, los revisores de reserva no son eliminables por diseño.

    Nota:

    Los revisores de reserva solo se pueden agregar cuando el tipo de revisor es administrador. Los revisores principales se pueden agregar cuando el tipo de revisor es un usuario seleccionado.

  • Recordar a los revisores: al actualizar las revisiones de acceso, puede optar por habilitar la opción de recordatorio en Configuración avanzada. Una vez habilitado, los usuarios reciben una notificación por correo electrónico al punto medio del período de revisión. Los revisores reciben notificaciones independientemente de si han completado la revisión o no.

    Captura de pantalla de la opción de recordatorio en la configuración de revisiones de acceso.

  • Actualizar la configuración: si una revisión de acceso es periódica, hay valores independientes en "Actual" y en "Serie". La actualización de los valores de "Actual" solo aplicará los cambios en la revisión de acceso actual mientras que la actualización de los valores de "Serie" actualizará la configuración de toda la periodicidad futura.

    Captura de pantalla de la página de configuración de revisiones de acceso.

Pasos siguientes