Ampliación o renovación de asignaciones de roles de Microsoft Entra en Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) proporciona controles para administrar el ciclo de vida de acceso y asignación de roles en Microsoft Entra ID. Los administradores pueden asignar roles mediante las propiedades de fecha y hora de inicio y finalización. Cuando el fin de la asignación se aproxima, Privileged Identity Management envía notificaciones por correo electrónico a los usuarios o grupos afectados. También envía notificaciones por correo electrónico a los administradores de Microsoft Entra para asegurarse de que se mantenga el acceso adecuado. Las asignaciones pueden renovarse y permanecer visibles en un estado expirado durante un máximo de 30 días, incluso si el acceso no se extiende.

¿Quién puede ampliar y renovar?

Solo los administradores globales o los administradores de roles con privilegios pueden ampliar o renovar asignaciones de roles de Microsoft Entra. El usuario o grupo afectado puede solicitar que se amplíen los roles que están a punto de expirar, así como que se renueven los que ya han expirado.

¿Cuándo se envían las notificaciones?

Privileged Identity Management envía notificaciones por correo electrónico tanto a los administradores como a los usuarios o grupos afectados de los roles que expiran en 14 días y un día antes de la expiración. También, envía otro correo electrónico cuando una asignación expira oficialmente.

Los administradores reciben notificaciones cuando un usuario o grupo asignado a un rol que va a expirar, o que ha expirado, solicita la ampliación o renovación. Cuando un administrador resuelve una solicitud como aprobada o denegada, la decisión se comunica a todos los demás administradores. Luego, se informa de la decisión al usuario o grupo que ha realizado la solicitud.

Extensión de asignaciones de roles

En los pasos siguientes se describe el proceso de la solicitud, resolución o administración de una extensión o renovación de una asignación de roles.

Ampliación automática de asignaciones que van a expirar

Los usuarios asignados a un rol pueden ampliar las asignaciones de roles que van a expirar directamente desde la pestaña Apto o Activo de la página Mis roles, en Roles de Microsoft Entra o desde la página Mis roles de nivel superior del portal de Privileged Identity Management. En el portal, los usuarios pueden solicitar la ampliación de los roles válidos o activos (asignados) que expiren en los próximos 14 días.

Cuando la fecha y hora de finalización de la asignación es anterior a 14 días, el botón Extender se convierte en un vínculo activo en la interfaz de usuario. En el ejemplo siguiente, se supone que la fecha actual es el 27 de marzo.

Nota:

En el caso de un grupo asignado a un rol, el vínculo Extender nunca está disponible, de forma que un usuario con una asignación heredada no pueda ampliar la asignación de grupo.

Para solicitar una extensión de la asignación de este rol, seleccione Extender para abrir el formulario de solicitud.

Especifique un motivo para la solicitud de extensión y, luego, seleccione Extender.

Nota:

Se recomienda incluir los detalles de por qué es necesaria la extensión y de cuánto tiempo debe ser (si se tiene acceso a esta información).

Los administradores reciben una notificación por correo electrónico para revisar la solicitud de ampliación. Si ya se ha enviado una solicitud para la ampliación, aparecerá una notificación de Azure en el portal.

Vaya a la página Solicitudes pendientes para ver el estado de la solicitud o para cancelarla.

Ampliación aprobada por el administrador

Cuando un usuario o grupo envía una solicitud para ampliar una asignación de roles, los administradores reciben una notificación por correo electrónico con los detalles de la asignación original y el motivo de la solicitud. La notificación incluye un vínculo directo a la solicitud para que el administrador la apruebe o deniegue.

Además de usar el vínculo del correo electrónico, los administradores pueden aprobar o rechazar las solicitudes en el portal de administración de Privileged Identity Management; para ello, deben seleccionar Aprobar solicitudes en el panel izquierdo.

Cuando un administrador selecciona Aprobar o Denegar, se muestran los detalles de la solicitud, junto con un campo para especificar una justificación comercial para los registros de auditoría.

Al aprobar una solicitud para ampliar la asignación de roles, los administradores pueden elegir una nueva fecha de inicio y finalización y un tipo de asignación. Cambiar el tipo de asignación puede ser necesario si el administrador quiere proporcionar acceso limitado para completar una tarea específica (por ejemplo, un día). En este ejemplo, el administrador puede cambiar la asignación de Elegible a Activa. Esto quiere decir que puede brindar acceso al solicitante sin requerirle que la activación.

Ampliación iniciada por el administrador

Si un usuario asignado a un rol no solicita una ampliación para la asignación de roles, un administrador puede ampliar una asignación en nombre del usuario. Las ampliaciones administrativas de la asignación de roles no requieren aprobación, pero se envían notificaciones a todos los administradores restantes después de haber ampliado el rol.

Para ampliar una asignación de roles, vaya a la vista de asignaciones o roles en Privileged Identity Management. Busque la asignación que requiere una ampliación. Luego, seleccione Extender en la columna de acción.

Extensión de las asignaciones de roles mediante Microsoft Graph API

En la siguiente solicitud, un administrador extiende una asignación activa mediante Microsoft Graph API.

Solicitud HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Respuesta HTTP

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Renovación de asignaciones de roles

Aunque conceptualmente el proceso para solicitar una extensión es similar, el proceso para renovar una asignación de rol que ha expirado es diferente. Mediante los siguientes pasos, tanto las asignaciones como los administradores pueden renovar el acceso a los roles que hayan expirado cuando sea necesario.

Renovación automática

Los usuarios que ya no tengan acceso a los recursos pueden tener acceso durante un período de hasta 30 días al historial de asignaciones expiradas. Para ello, vaya a Mis roles en el panel izquierdo, y luego, seleccione la pestaña Roles expirados en la sección Roles de Microsoft Entra.

El valor predeterminado de la lista de roles que se muestra es Roles elegibles. Seleccione los roles asignados aptos o activos.

Para solicitar la renovación de cualquiera de las asignaciones de roles de la lista, seleccione la acción Renovar. A continuación, indique un motivo para la solicitud. Resulta útil indicar una duración, además de cualquier otro contexto adicional o justificación comercial que ayude al administrador de recursos a decidir si la aprueba o la deniega.

Después de haber enviado la solicitud, se notifica a los administradores que hay una solicitud pendiente para renovar una asignación de roles.

Aprobaciones de los administradores

Los administradores de Microsoft Entra pueden acceder a la solicitud de renovación desde el vínculo de la notificación por correo electrónico, o bien pueden acceder a Privileged Identity Management en el centro de administración de Microsoft Entra y seleccionar Aprobar solicitudes en PIM.

Cuando un administrador selecciona Aprobar o Denegar, se muestran los detalles de la solicitud, junto con un campo para especificar una justificación comercial para los registros de auditoría.

Al aprobar una solicitud para renovar la asignación de roles, los administradores deben especificar una nueva fecha de inicio y finalización y un tipo de asignación.

Renovación por parte de los administradores

También pueden renovar las asignaciones de roles expirados en la pestaña de roles Expirados de un rol de Microsoft Entra. Para ver una lista de todas las asignaciones de roles que han expirado, en la pantalla Asignaciones, seleccione Roles expirados.

Pasos siguientes

• Aprobación o denegación de solicitudes de roles de Microsoft Entra en Privileged Identity Management
• Configuración de roles de Microsoft Entra en Privileged Identity Management