Compartir vía


Empezar a usar Privileged Identity Management

Puedes utilizar Privileged Identity Management (PIM) para administrar, controlar y supervisar el acceso dentro de la organización de Microsoft Entra. Con PIM, puedes proporcionar acceso Just-in-Time y según sea necesario a los recursos de Azure y de Microsoft Entra, así como a otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

En este artículo se describe cómo habilitar y empezar a usar Privileged Identity Management (PIM).

Requisitos previos

Para usar Privileged Identity Management, debes tener una licencia P2 de Microsoft Entra ID o licencia deGobierno de Microsoft Entra ID. Para obtener más información sobre las licencias, consulta Aspectos básicos de las licencias de Gobierno de Microsoft Entra ID.

Activación de asignaciones de roles

Cuando un inquilino de Microsoft Entra tiene una licencia P2 de Microsoft Entra ID o licencia de Gobierno de Microsoft Entra ID, los usuarios con asignaciones de roles activos pueden hacer lo siguiente:

  • Abrir la página de Roles y administradores de Microsoft Entra ID y seleccionar un rol;
  • Abrir la página de Privileged Identity Management;
  • Realizar llamadas a PIM mediante la API de roles de Microsoft Entra.

Microsoft Entra habilita PIM para el inquilino de las maneras siguientes:

  • Puedes crear inmediatamente asignaciones aptas o limitadas a tiempo para los roles de Microsoft Entra;
  • Los administradores globales o los administradores de roles con privilegios pueden empezar a recibir correos electrónicos adicionales, como el resumen semanal de PIM;
  • El nombre de entidad de seguridad de servicio de PIM (MS–PIM) puede mencionarse en los eventos de registro de auditoría relacionados con la administración de asignaciones de roles.

Estos comportamientos se esperan y no deben tener ningún impacto en los flujos de trabajo.

Preparación de PIM para roles de Microsoft Entra

Estas son las tareas que se recomiendan para preparar Privileged Identity Management a fin de administrar los roles de Microsoft Entra:

  1. Configurar las opciones de rol de Microsoft Entra
  2. Proporcionar asignaciones elegibles.
  3. Permitir que los usuarios elegibles activen su rol de Microsoft Entra cuando sea necesario

Preparación de PIM para roles de Azure

Estas son las tareas que recomendamos si deseas preparar Privileged Identity Management para administrar los roles de Azure para una suscripción:

  1. Detección de recursos de Azure
  2. Configuración de roles de Azure AD
  3. Proporcionar asignaciones elegibles
  4. Permitir que los usuarios elegibles activen sus roles de Azure cuando sea necesario

Una vez que se haya configurado Privileged Identity Management, puedes aprender a orientarte.

Captura de pantalla en la que se muestra la ventana de navegación en Privileged Identity Management con las opciones Tareas y Administrar.

Tarea y administrar Descripción
Mis roles Muestra una lista de los roles elegibles y activos que tiene asignados. Aquí es donde puedes activar cualquier función elegible asignada.
Mis solicitudes Muestra las solicitudes pendientes para activar las asignaciones de rol elegibles.
Aprobar solicitudes Muestra una lista de las solicitudes realizadas por los usuarios de tu directorio para activar roles elegibles que tienes designados para aprobar.
Revisar acceso Enumera las revisiones de acceso activas que tienes asignadas para completar, tanto si revisas el acceso como si lo hace otro usuario.
Roles de Microsoft Entra Muestra un panel y la configuración de los administradores de rol con privilegios para administrar las asignaciones de roles de Microsoft Entra. Este panel está deshabilitado para todos aquellos que no sean administradores de roles con privilegios. Estos usuarios tienen acceso a un panel especial denominado Mi vista. El panel Mi vista solo muestra información sobre el acceso al panel del usuario, no de la organización completa.
Grupos Administra la pertenencia Just-In-Time en el grupo y la propiedad Just-In-Time del grupo. Los grupos se pueden usar para proporcionar acceso a roles de Microsoft Entra, roles de Azure y otros escenarios. Para administrar un grupo de Microsoft Entra en PIM, debes colocarlo bajo la administración de PIM.
Recursos de Azure Muestra un panel y la configuración de los administradores de rol con privilegios para administrar las asignaciones de roles de recursos de Azure. Este panel está deshabilitado para todos aquellos que no sean administradores de roles con privilegios. Estos usuarios tienen acceso a un panel especial denominado Mi vista. El panel Mi vista solo muestra información sobre el acceso al panel del usuario, no de la organización completa.
Configuración general Selecciona las aplicaciones que pueden realizar llamadas solo de aplicación a Microsoft Graph API para PIM.

Pasos siguientes