Creación de una revisión de acceso de recursos de Azure y roles de Azure AD en PIM

La necesidad de acceso a recursos de Azure y roles de Azure AD con privilegios por parte de los empleados cambia con el tiempo. Para reducir el riesgo asociado con las asignaciones de roles obsoletas, debe revisar el acceso periódicamente. Azure Active Directory (Azure AD) Privileged Identity Management (PIM) se puede usar para crear revisiones de acceso para obtener acceso con privilegios a los recursos de Azure y a los roles de Azure AD. También puede configurar revisiones de acceso periódicas que se produzcan automáticamente. En este artículo se describe cómo crear una o varias revisiones de acceso.

Requisitos previos

Necesita licencias de Azure AD Premium P2 para usar esta característica. A fin de obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de Azure AD. Para más información sobre las licencias para PIM, consulte Requisitos de licencia para usar Privileged Identity Management.

Para crear revisiones de acceso en los recursos de Azure, es preciso tener asignado los roles de Azure Propietario o Administrador de acceso de usuario para los recursos de Azure. Para crear revisiones de acceso para los roles de Azure AD, debe tener asignado los roles de Administrador global o Administrador de roles con privilegios.

Nota:

En la versión preliminar pública, se puede limitar el ámbito de una revisión de acceso a las entidades de servicio con acceso a Azure AD y roles de recursos de Azure con una edición de Azure Active Directory Premium P2 activa en el inquilino. Después de la disponibilidad general, es posible que se requieran licencias adicionales.

Crear revisiones del acceso

  1. Inicie sesión en Azure Portal con un usuario que esté asignado a uno de los roles necesarios.

  2. Seleccione Identity Governance.

  3. En Roles de Azure AD, seleccione Roles de Azure AD en Privileged Identity Management. En Recursos de Azure, seleccione Recursos de Azure en Privileged Identity Management.

    Captura de pantalla de la selección de Identity Governance en Azure Portal.

  4. En Roles de Azure AD, vuelva a seleccionar Roles de Azure AD en Administrar. En Recursos de Azure, seleccione la suscripción que desea administrar.

  5. En Administrar, seleccione Revisiones de acceso y, luego, elija Nuevapara crear una nueva revisión de acceso.

    Roles de Azure AD: lista de revisiones de acceso que muestra el estado de todas las revisiones.

  6. Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.

    Captura de pantalla de creación de una revisión de acceso: nombre y descripción de la revisión.

  7. Establezca un valor para Fecha de inicio. De forma predeterminada, una revisión de acceso ocurre una vez, se inicia a la misma hora en que se crea y finaliza en un mes. Puede cambiar las fechas de inicio y de finalización para hacer que una revisión de acceso se inicie en el futuro, transcurridos tantos días como desee.

    Captura de pantalla de la fecha de inicio, frecuencia, duración, finalización, número de veces y fecha de finalización.

  8. Para realizar que la revisión de acceso sea periódica, cambie la opción Frecuencia de Una vez a Semanal, Mensual, Trimestral, Anual o Semestral. Use el control deslizante o el cuadro de texto Duración para definir cuántos días se abrirá cada revisión de la serie periódica para que los revisores escriban datos. Por ejemplo, la duración máxima que puede establecer para una revisión mensual es 27 días, con el fin de evitar la superposición de revisiones.

  9. Use el valor Fin para especificar cómo finalizar la serie de revisión de acceso periódica. La serie puede terminar de tres formas: se ejecuta continuamente para iniciar revisiones indefinidamente, hasta una fecha concreta, o hasta que se haya completado un número definido de veces. Cualquier administrador que pueda administrar revisiones puede detener la serie después de su creación cambiando la fecha en Configuración, de manera que termine en esa fecha.

  10. En la sección Ámbito de los usuarios, seleccione el ámbito de la revisión. En Roles de Azure AD, la primera opción de ámbito es Usuarios y grupos. En esta selección se incluirán los usuarios asignados directamente y los grupos a los que se pueden asignar roles. En Roles de recursos de Azure, el primer ámbito será Usuarios. Los grupos asignados a los roles de recursos de Azure se expanden para mostrar asignaciones de usuario transitivas en la revisión con esta selección. También puede seleccionar Entidades de servicio para examinar las cuentas de máquina con acceso directo al recurso de Azure o al rol de Azure AD.

    Captura de pantalla del ámbito Usuarios para revisar la pertenencia a roles.

  11. También puede crear revisiones de acceso solo para usuarios inactivos (versión preliminar). En la sección Ámbito de los usuarios, establezca Solo usuarios inactivos (en el nivel de inquilino) en true. Si el botón de alternancia se establece en true, el ámbito de la revisión se centrará solo en los usuarios inactivos. A continuación, especifique un valor para Días sin actividad de como máximo 730 días (dos años). Los usuarios inactivos durante el número de días especificado serán los únicos usuarios de la revisión.

  12. En Pertenencia a rol de revisión, seleccione el recurso de Azure o los roles de Azure AD con privilegios que desea revisar.

    Nota:

    Si selecciona más de un rol, se crearán varias revisiones de acceso. Por ejemplo, al seleccionar cinco roles, se crearán cinco revisiones de acceso independientes.

    Captura de pantalla de Pertenencia a rol de revisión.

  13. En el tipo de asignación, defina el ámbito de la revisión según la asignación de la entidad de seguridad al rol. Elija Eligible assignments only (Solo asignaciones aptas) para revisar las asignaciones aptas (independientemente del estado de activación al crear la revisión) o Solo asignaciones activas para revisar las asignaciones activas. Elija All active and eligible assignments (Todas las asignaciones activas y aptas) para revisar todas las asignaciones, independientemente del tipo.

    Captura de pantalla de la lista de revisores de tipos de asignación.

  14. En la sección Revisores, seleccione una o más personas para que revisen a todos los usuarios. También puede seleccionar que los miembros revisen su propio acceso.

    Lista de los revisores de los usuarios o miembros (por sí mismos) seleccionados

    • Usuarios seleccionados: use esta opción para designar un usuario específico para completar la revisión. Esta opción está disponible independientemente del ámbito de la revisión y los revisores seleccionados pueden revisar usuarios, grupos y entidades de servicio.
    • Miembros (por sí mismos) : use esta opción para hacer que los usuarios revisen sus propias asignaciones de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. En Roles de Azure AD, los grupos a los que se pueden asignar roles no formarán parte de la revisión cuando se selecciona esta opción.
    • Administrador: use esta opción para que el administrador del usuario revise su asignación de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. Tras seleccionar Administrador, también tendrá la opción de especificar un revisor de reserva. Se pide a los revisores de reserva que revisen a un usuario cuando este no tiene ningún administrador especificado en el directorio. En Roles de Azure AD, el revisor de reserva examinará los grupos a los que se pueden asignar roles si hay alguno seleccionado.

Configuración de finalización

  1. Para especificar lo que sucede una vez finalizada una revisión, expanda la sección Configuración de finalización.

    Captura de pantalla que muestra las opciones de aplicación automática y de lo que sucede si los revisores no responden en la configuración de finalización.

  2. Si desea quitar automáticamente el acceso para los usuarios que se han denegado, establezca Aplicar automáticamente los resultados al recurso en Habilitar. Si desea aplicar manualmente los resultados cuando se complete la revisión, establezca el conmutador en Deshabilitar.

  3. Use la lista If reviewer don't respond (Si el revisor no responde) para especificar lo que ocurre con los usuarios a los que el revisor no ha revisado dentro del período de revisión. Este valor no afecta a los usuarios que los revisores revisaron.

    • Sin cambios: dejar el acceso del usuario sin cambios
    • Quitar acceso: quitar el acceso del usuario
    • Aprobar acceso: aprobar el acceso del usuario
    • Aceptar recomendaciones: aceptar la recomendación del sistema sobre la denegación o aprobación del acceso continuo del usuario
  4. Use la lista Action to apply on denied guest users (Acción que se aplica a los usuarios invitados denegados) para especificar lo que les sucede a los usuarios invitados denegados. Este valor no se puede editar para las revisiones de los recursos de Azure y los roles de Azure AD en este momento; los usuarios invitados, al igual que todos los usuarios, siempre perderán el acceso al recurso si se deniegan.

    Captura de pantalla que muestra el valor Action to apply on denied guest users (Acción que aplicar a los usuarios invitados denegados) de Upon completion settings (Configuración de finalización).

  5. Puede enviar notificaciones a usuarios o grupos adicionales para recibir actualizaciones de finalización de las revisiones. Esta característica permite que partes interesadas que no sean el creador de la revisión reciban actualizaciones sobre el progreso de la revisión. Para usar esta característica, seleccione Seleccionar usuarios o grupos y agregue un usuario o grupo adicional cuando quiera recibir el estado de finalización.

    Captura de pantalla de Upon completion settings (Configuración de finalización): Add additional users to receive notifications (Agregar usuarios adicionales para recibir notificaciones).

Configuración avanzada

  1. Para especificar configuraciones adicionales, expanda la sección Configuración avanzada.

    Captura de pantalla de la configuración avanzada para mostrar recomendaciones, requerir el motivo de la aprobación, notificaciones por correo y recordatorios.

  2. Establezca Mostrar recomendaciones en Habilitar para mostrar las recomendaciones del sistema de los revisores según la información del acceso del usuario. Las recomendaciones se basan en un período de intervalo de 30 días en el que se recomienda el acceso a los usuarios que han iniciado sesión en los últimos 30 días, mientras que a los usuarios que no lo han hecho se les recomienda la denegación de acceso. Estos inicios de sesión son independientes de si eran interactivos. El último inicio de sesión del usuario también se muestra junto con la recomendación.

  3. Establezca Requerir motivo de la aprobación en Habilitar para requerir que el revisor proporcione un motivo para la aprobación.

  4. Establezca Notificaciones de correo en Habilitarpara que Azure AD envíe notificaciones de correo electrónico a los revisores cuando se inicia una revisión de acceso y a los administradores cuando se complete.

  5. Establezca Avisos en Habilitar para que Azure AD envíe recordatorios de revisiones de acceso en curso a los revisores que no hayan completado su revisión.

  6. El contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de la revisión, el nombre del recurso, la fecha de vencimiento, etc. Si necesita una forma de comunicar más información, como instrucciones adicionales o información de contacto, puede especificar estos detalles en el correo electrónico de contenido adicional para el revisor que se incluirá en la invitación y en los correos electrónicos de recordatorio enviados a los revisores asignados. La sección resaltada a continuación es donde se mostrará esta información.

    Contenido del correo electrónico enviado a los revisores con aspectos destacados

Administración de la revisión de acceso

En la página Información general de la revisión de acceso, puede seguir el progreso de los revisores a medida que completan las revisiones. Los derechos de acceso no se cambian en el directorio hasta que la revisión finaliza. A continuación se muestra una captura de pantalla de la página de información general de las revisiones del acceso de recursos de Azure y roles de Azure AD.

Captura de pantalla de información general de las revisiones de acceso que muestra los detalles de la revisión de acceso para los roles de Azure AD.

Si se trata de una revisión puntual, una vez finalizado el período de revisión de acceso o cuando el administrador detenga la revisión de acceso, siga los pasos que encontrará en el artículo sobre cómo realizar una revisión de los recursos de Azure y los roles de Azure AD para ver los resultados y aplicarlos.

Para administrar una serie de revisiones de acceso, vaya a la revisión de acceso y verá los próximos eventos en Revisiones programadas; ahí podrá editar la fecha de finalización o agregar o quitar revisores según corresponda.

Según las selecciones de la Configuración de finalización, la aplicación automática se ejecutará después de la fecha de finalización de la revisión o cuando se detenga manualmente la revisión. El estado de la revisión cambiará de Completado a estados intermedios como Aplicando y, por último, a Aplicado. Debería ver que los usuarios denegados, si es que los hay, se eliminan de los roles en unos minutos.

Impacto de los grupos asignados a roles de Azure AD y roles de recursos de Azure en las revisiones de acceso

• En el caso de los roles de Azure AD, los grupos a los que se pueden asignar roles se pueden asignar mediante grupos a los que se pueden asignar roles. Cuando se crea una revisión en un rol de Azure AD con grupos a los que se pueden asignar roles, el nombre del grupo aparece en la revisión sin expandir la pertenencia a grupos. El revisor puede aprobar o denegar el acceso de todo el grupo al rol. Los grupos denegados perderán su asignación al rol cuando se apliquen los resultados de la revisión.

• En el caso de los roles de recursos de Azure, se puede asignar cualquier grupo de seguridad al rol. Cuando se crea una revisión en un rol de recurso de Azure con un grupo de seguridad asignado, los usuarios asignados a ese grupo de seguridad se expandirán completamente y se mostrarán al revisor del rol. Cuando un revisor deniega a un usuario que se asignó al rol a través del grupo de seguridad, el usuario no se quitará del grupo y, por lo tanto, la aplicación del resultado de denegación no se realizará correctamente.

Nota

Es posible que un grupo de seguridad tenga asignados otros grupos. En este caso, solo los usuarios asignados directamente al grupo de seguridad asignado al rol aparecerán en la revisión del rol.

Actualización de la revisión de acceso

Una vez iniciadas una o varias revisiones de acceso, puede modificar o actualizar la configuración de las revisiones de acceso existentes. Hay algunos escenarios comunes que se deben tener en cuenta:

  • Agregar y quitar revisores: al actualizar las revisiones de acceso, puede optar por agregar un revisor de reserva, además del revisor principal. Los revisores principales se pueden quitar al actualizar una revisión de acceso. Sin embargo, los revisores de reserva no se pueden eliminar por diseño.

    Nota:

    Los revisores de reserva solo se pueden agregar cuando el tipo de revisor es administrador. Los revisores principales se pueden agregar cuando el tipo de revisor es un usuario seleccionado.

  • Recordar a los revisores: al actualizar las revisiones de acceso, puede optar por habilitar la opción de recordatorio en Configuración avanzada. Tras las habilitación, los usuarios recibirán una notificación por correo electrónico en el punto medio del período de revisión, independientemente de que hayan completado la revisión, o no.

    Captura de pantalla de la opción de recordatorio en la configuración de revisiones de acceso.

  • Actualizar la configuración: si una revisión de acceso es periódica, hay valores independientes en "Actual" y en "Serie". La actualización de los valores de "Actual" solo aplicará los cambios en la revisión de acceso actual mientras que la actualización de los valores de "Serie" actualizará la configuración de toda la periodicidad futura.

    Captura de pantalla de la página de configuración de revisiones de acceso.

Pasos siguientes