Creación de una revisión de acceso de los grupos y las aplicaciones en Azure AD

El acceso a los grupos y las aplicaciones para empleados e invitados cambia a lo largo del tiempo. Para reducir el riesgo derivado de las asignaciones de acceso obsoletas, los administradores pueden usar Azure Active Directory (Azure AD) para crear revisiones de acceso para los miembros de grupo o el acceso de aplicación.

Microsoft 365 y los propietarios de grupos de seguridad también pueden usar Azure AD para crear revisiones de acceso para los miembros del grupo siempre y cuando el administrador global o de usuarios permita la configuración a través del panel Configuración de revisiones de acceso. Para obtener más información sobre estos escenarios, consulta Administrar revisiones de acceso.

Vea un breve vídeo en el que se habla sobre cómo habilitar las revisiones de acceso.

En este artículo se describe cómo crear una o varias revisiones de acceso para el acceso de los miembros de un grupo o aplicación.

Requisitos previos

  • Azure AD Premium P2.
  • Administrador global, administrador de usuarios o administrador de Identity Governance para crear revisiones en grupos o aplicaciones.
  • Los administradores globales y los administradores que tengan un rol con privilegios pueden crear revisiones en grupos asignables de rol. Para obtener más información, consulte Uso de grupos para administrar asignaciones de roles en Azure Active Directory.
  • Microsoft 365 y el propietario del grupo de seguridad.

Para obtener más información, consulte Requisitos de licencia.

Si está revisando el acceso a una aplicación, antes de crear la revisión, vea el artículo sobre cómo prepararse para una revisión del acceso de los usuarios a una aplicación para asegurarse de que la aplicación está integrada en Azure AD.

Creación de una revisión de acceso de una sola fase

Ámbito

  1. Inicie sesión en Azure Portal y abra la página Identity Governance.

  2. En el menú de la izquierda, seleccione Revisiones de acceso.

  3. Seleccione Nueva revisión de acceso para crear una nueva revisión de acceso.

    Captura de pantalla que muestra el panel Revisiones de acceso en Identity Governance.

  4. En el cuadro Seleccione qué revisar, seleccione el recurso que desea revisar.

    Captura de pantalla que muestra la creación de una revisión de acceso.

  5. Si seleccionó Grupos y equipos, tiene dos opciones:

    • All Microsoft 365 groups with guest users (Todos los grupos de Microsoft 365 con usuarios invitados): seleccione esta opción si quiere crear revisiones periódicas de todos los usuarios invitados en todos los grupos de Microsoft Teams y Microsoft 365 de su organización. No se incluyen los grupos dinámicos ni los grupos a los que se puedan asignar roles. Puede elegir excluir determinados grupos haciendo clic en Seleccionar grupo(s) para excluir.

    • Select Teams + groups (Seleccionar equipos y grupos): seleccione esta opción si desea especificar un conjunto finito de equipos o grupos para revisar. A la derecha aparece una lista de grupos entre los que elegir.

      Captura de pantalla que muestra la selección de equipos y grupos.

  6. Si seleccionó Aplicaciones, puede seleccionar una o más aplicaciones.

    Captura de pantalla que muestra la interfaz que aparece si seleccionó aplicaciones en lugar de grupos.

Nota:

La selección de varios grupos o aplicaciones da como resultado la creación de varias revisiones de acceso. Por ejemplo, si selecciona cinco grupos para revisar, obtendrá cinco revisiones de acceso independientes.

  1. Ahora puede seleccionar un ámbito para la revisión. Tendrá las siguientes opciones:

    • Solo usuarios invitados: esta opción limita la revisión de acceso a solo los usuarios invitados de Azure AD B2B en el directorio.
    • Todos: al seleccionar esta opción, se establece el ámbito de la revisión de acceso en todos los objetos de usuario asociados al recurso.

    Nota:

    Si seleccionó All Microsoft 365 groups with guest users (Todos los grupos de Microsoft 365 con usuarios invitados), su única opción es revisar Solo usuarios invitados.

  2. O bien, si va a realizar una revisión de pertenencia a grupos, puede crear revisiones de acceso solo para usuarios inactivos en el grupo. En la sección Ámbito de usuarios, active la casilla que hay junto a Usuarios inactivos (en el nivel de inquilino). Si activa la casilla, el ámbito de la revisión se centra solo en los usuarios inactivos, aquellos que no han iniciado sesión de forma interactiva o no interactiva en el inquilino. A continuación, especifique un valor para Días sin actividad de como máximo 730 días (dos años). Los usuarios del grupo inactivos durante el número de días especificado serán los únicos usuarios de la revisión.

    Nota

    Los usuarios creados recientemente no se ven afectados al configurar el tiempo de inactividad. La revisión de acceso comprobará si un usuario se ha creado en el período de tiempo configurado e ignora a los usuarios que no han existido durante al menos esa cantidad de tiempo. Por ejemplo, si establece el tiempo de inactividad como 90 días y un usuario invitado se creó o invitó hace menos de 90 días, el usuario invitado no estará en el ámbito de la revisión de acceso. Esto garantiza que un usuario pueda iniciar sesión al menos una vez antes de quitarse.

  3. Seleccione Siguiente: Revisiones.

Siguiente: Revisiones

  1. Puede crear una revisión de una sola fase o de varias fases. Para una revisión de una sola fase, siga aquí. Para crear una revisión de acceso de varias fases, siga los pasos que se describen en Creación de una revisión de acceso de varias fases.

  2. En la sección Especificar revisores, en el cuadro Seleccionar revisores, seleccione uno o más usuarios para tomar decisiones en las revisiones de acceso. Puede elegir entre:

    • Group owner(s) (Propietario[s] del grupo): esta opción solo está disponible al realizar una revisión en un equipo o grupo.
    • Grupos o usuarios seleccionados
    • Revisión del propio acceso por parte de los usuarios
    • Administradores de usuarios

    Si elige Administradores de usuarios o Group owner(s) (Propietario(s) del grupo) también puede especificar un revisor de reserva. Se pide a los revisores de reserva que hagan una revisión cuando el usuario no tiene ningún administrador especificado en el directorio o si el grupo no tiene un propietario.

    Importante

    En Grupos de acceso con privilegios (versión preliminar), debe seleccionar Propietario/s del grupo. Es obligatorio asignar al menos un revisor de reserva a la revisión. La revisión solo asignará como revisores a propietarios que estén activos. No se incluyen los propietarios elegibles. Si no hay propietarios activos cuando comience la revisión, el revisor o revisores de reserva se asignarán a la revisión.

    Captura de pantalla que muestra Nueva revisión de acceso.

  3. En la sección Especificación de la periodicidad de la revisión, especifique las siguientes selecciones:

    • Duration (in days) (Duración [en días]): el tiempo durante el cual se abrirá una revisión para la entrada de los revisores.

    • Fecha de inicio: la fecha en la cual comienza una serie de revisiones.

    • Fecha de finalización: la fecha en la cual finaliza una serie de revisiones. Puede especificar que Nunca termine. O puede seleccionar End on a specific date (Finalizar en una fecha específica) o End after number of occurrences (Finalizar tras un número determinado de instancias).

      Captura de pantalla que muestra la frecuencia con la que se debe producir la revisión.

  4. Seleccione Siguiente: Configuración.

Siguiente: Configuración

  1. En la sección Configuración de finalización puede especificar lo que sucede una vez finalizada la revisión.

    Captura de pantalla que muestra la configuración de finalización.

    • Auto apply results to resource (Aplicar resultados automáticamente al recurso): seleccione esta casilla si desea que el acceso de los usuarios denegados se quite automáticamente una vez que finalice la duración de la revisión. Si la opción está deshabilitada, tendrá que aplicar manualmente los resultados cuando finalice la revisión. Para obtener más información sobre la aplicación de los resultados de la revisión, consulte Administración de las revisiones de acceso.

    • Si los revisores no responden: utilice esta opción para especificar lo que ocurre con los usuarios a quienes no ha revisado ningún revisor dentro del período de revisión. Esta configuración no afecta a los usuarios revisados por un revisor. La lista desplegable muestra las siguientes opciones:

      • Sin cambios: deja el acceso del usuario sin cambios.
      • Quitar acceso: quita el acceso del usuario.
      • Aprobar acceso: aprueba el acceso del usuario.
      • Aceptar recomendaciones: acepta la recomendación del sistema sobre la denegación o aprobación del acceso continuo del usuario.
    • Acción para aplicar a los usuarios invitados denegados: esta opción solo está disponible si la revisión de acceso tiene como ámbito incluir solo a los usuarios invitados, para especificar lo que les sucede a los usuarios invitados si los deniega un revisor o si los revisores no responden.

      • Remove user's membership from the resource (Eliminar la pertenencia del usuario del recurso): esta opción elimina el acceso del usuario denegado al grupo o a la aplicación que se está revisando. Todavía pueden iniciar sesión en el inquilino y no perderán ningún otro acceso.
      • Impedir que el usuario inicie sesión durante 30 días y, a continuación, quitar al usuario del inquilino: esta opción impide que los usuarios denegados puedan iniciar sesión en el inquilino, independientemente de si tienen acceso a otros recursos. Si esta acción se ha realizado por error, los administradores pueden volver a habilitar el acceso del usuario invitado en un plazo de 30 días después de que se haya deshabilitado el usuario invitado. Si transcurridos 30 días no se ha realizado ninguna acción en los usuarios invitados deshabilitados, se eliminarán del inquilino.

    Para obtener más información sobre los procedimientos recomendados para eliminar los usuarios invitados que ya no tienen acceso a los recursos de su organización, consulte Uso de Azure AD Identity Governance para revisar y eliminar usuarios externos que ya no tienen acceso a los recursos.

    Nota:

    La acción que se aplicará a los usuarios invitados denegados no se puede configurar en las revisiones cuyo ámbito es superior al de los usuarios invitados. Tampoco se puede configurar para las revisiones de todos los grupos de Microsoft 365 con usuarios invitados. Cuando no se puede configurar, la opción predeterminada de quitar la pertenencia de un usuario del recurso se usa con los usuarios denegados.

  2. Use Al finalizar la revisión, enviar una notificación a para enviar notificaciones a otros usuarios o grupos con actualizaciones de finalización. Esta característica permite que partes interesadas que no sean el creador de la revisión reciban actualizaciones sobre el progreso de la revisión. Para usar esta característica, elija Seleccionar usuarios o grupos y agregue un usuario o grupo adicional para el quiera recibir el estado de finalización.

  3. En la sección Habilitar asistentes para la toma de decisiones de revisión, elija si desea que el revisor reciba recomendaciones durante el proceso de revisión:

    1. Si selecciona No sign-in within 30 days, se recomendarán para su aprobación los usuarios que hayan iniciado sesión en los 30 días anteriores. Se recomienda denegar a los usuarios que no hayan iniciado sesión durante los últimos 30 días. Este intervalo de 30 días es independiente de si los inicios de sesión eran interactivos o no. La última fecha de inicio de sesión para el usuario especificado también se mostrará junto con la recomendación.
    2. Si selecciona (Versión preliminar) Afiliación de usuarios en grupos, los revisores obtendrán la recomendación de aprobar o denegar el acceso a los usuarios en función de la distancia promedio del usuario en la estructura de informes de la organización. Los usuarios que estén muy alejados de todos los demás usuarios del grupo se considera que tienen "baja afiliación" y obtendrán una recomendación de denegación en las revisiones de acceso del grupo.

    Nota:

    Si va a crear una revisión de acceso basada en aplicaciones, las recomendaciones se basarán en el período de intervalo de 30 días en función de cuándo haya iniciado sesión el usuario por última vez en la aplicación en lugar del inquilino.

      Captura de pantalla que muestra las opciones disponibles en Enable reviewer decision helpers.

  4. En la sección Configuración avanzada puede elegir lo siguiente:

    • Justificación necesaria: seleccione esta casilla para solicitar al revisor que proporcione un motivo para la aprobación o rechazo.

    • Notificaciones de correo: seleccione esta casilla para que Azure AD envíe notificaciones de correo electrónico a los revisores cuando se inicia una revisión de acceso y a los administradores cuando se complete.

    • Recordatorios: seleccione esta casilla para que Azure AD envíe recordatorios de revisiones de acceso en curso a todos los revisores. Los revisores reciben los recordatorios a la mitad de la revisión, independientemente de si han terminado su revisión o no.

    • Additional content for reviewer email (Contenido adicional para el correo del revisor): el contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de la revisión, el nombre del recurso y la fecha de vencimiento. Si necesita comunicar más información, puede especificar detalles como instrucciones o información de contacto en el cuadro. La información que escriba se incluirá en la invitación y los correos electrónicos de recordatorio enviados a los revisores asignados. La sección resaltada en la siguiente imagen muestra dónde aparece esta información.

      Captura de pantalla que muestra contenido adicional para los revisores.

  5. Seleccione Siguiente: Revisar y crear.

    Captura de pantalla que muestra la pestaña Revisar y crear.

Siguiente: Revisar y crear

  1. Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.

  2. Revise la información y seleccione Crear.

Creación de una revisión de acceso de varias fases

Una revisión de varias fases permite al administrador definir dos o tres conjuntos de revisores para completar una revisión una tras otra. En una revisión de una sola fase, todos los revisores toman una decisión dentro del mismo período y el último revisor que toma una decisión "gana". En una revisión de varias fases, dos o tres conjuntos independientes de revisores toman una decisión dentro de su propia fase y la siguiente fase no comienza hasta que se toma una decisión en la fase anterior. Las revisiones de varias fases se pueden usar para reducir la carga a los revisores de fases posteriores, permitir la escalación de revisores o hacer que grupos independientes de revisores acepten las decisiones.

Advertencia

Los datos de los usuarios incluidos en las revisiones de acceso de varias fases forman parte del registro de auditoría al principio de la revisión. Los administradores pueden eliminar los datos en cualquier momento mediante la eliminación de la serie de revisiones de acceso de varias fases. Para obtener información general sobre RGPD y la protección de los datos de los usuarios, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.

  1. Cuando haya seleccionado el recurso y ámbito de la revisión, pase a la pestaña Revisiones.

  2. Haga clic en la casilla situada junto a Revisión de varias fases.

  3. En First stage review (Revisión de la primera fase), seleccione los revisores en el menú desplegable situado junto a Seleccionar revisores.

  4. Si selecciona Propietarios del grupo o Administradores de usuarios, tiene la opción de agregar un revisor de reserva. Para agregar una reserva, haga clic en Seleccionar revisores de reserva y agregue los usuarios que desea que sean revisores de reserva.

    Captura de pantalla que muestra la revisión de varias fases habilitada y las opciones disponibles.

  5. Agregue la duración de la primera fase. Para agregar la duración, escriba un número en el campo situado junto a Stage duration (in days) (Duración de la fase (en días)). Se trata del número de días que desea que la primera fase esté abierta a los revisores de la primera fase para tomar decisiones.

  6. En Second stage review (Revisión de la segunda fase), seleccione los revisores en el menú desplegable situado junto a Seleccionar revisores. Se pedirá a estos revisores que revisen una vez que se agote el tiempo de la revisión de la primera fase.

  7. Agregue revisores de reserva si es necesario.

  8. Agregue la duración de la segunda fase.

  9. De forma predeterminada, verá dos fases al crear una revisión de varias fases. Sin embargo, puede agregar hasta tres fases. Si desea agregar una tercera fase, haga clic en + Add a stage (+ Agregar una fase) y complete los campos necesarios.

  10. Puede decidir permitir que los revisores de la segunda y la tercera fase vean las decisiones tomadas en las fases anteriores. Si quiere permitirles ver las decisiones tomadas antes, haga clic en el cuadro situado junto a Mostrar decisiones de fases anteriores a los revisores de fases posteriores en Reveal review results (Revelar resultados de revisión). Deje la casilla desactivada para deshabilitar esta configuración si desea que los revisores revisen de forma independiente.

    Captura de pantalla que muestra la duración y la configuración de fases anteriores habilitada para la revisión de varias fases.

  11. La duración de cada periodicidad se establecerá en la suma de los días de duración que especificó en cada fase.

  12. Especifique Periodicidad de la revisión, Fecha de inicio y Fecha de finalización para la revisión. El tipo de periodicidad debe ser al menos tan largo como la duración total de la periodicidad (es decir, la duración máxima de una periodicidad de la revisión semanal es de 7 días).

  13. Para especificar qué revisiones seguirán realizándose de fase en fase, seleccione una o varias de las siguientes opciones junto a Especificar revisión para pasar a la siguiente fase: Captura de pantalla que muestra la configuración de especificación de revisión y las opciones para la revisión de varias fases.

    1. Revisiones aprobadas: solo las revisiones que se aprobaron pasan a las fases siguientes.
    2. Revisiones denegadas: solo las revisiones que se denegaron pasan a las fases siguientes.
    3. Revisiones no revisadas: solo las revisiones que no se hayan revisado pasarán a las fases siguientes.
    4. Revisiones marcadas como "Desconocidas": solo las revisiones marcadas como "Desconocidas" pasan a las fases siguientes.
    5. Todo: todos los usuarios pasan a la siguiente fase si desea que todas las fases de revisores tomen una decisión.
  14. Continúe con la pestaña Configuración y finalice el resto de la configuración y cree la revisión. Siga las instrucciones de Siguiente: Configuración.

Incorporación de usuarios y equipos de conexión directa B2B que acceden a canales compartidos de Teams en las revisiones de acceso

Puede crear revisiones de acceso para usuarios de conexión directa B2B a través de canales compartidos en Microsoft Teams. A medida que colabora externamente, puede usar las revisiones de acceso externo de Azure AD para asegurarse de que el acceso externo a los canales compartidos permanece al día. Para más información sobre los canales compartidos de Teams y los usuarios de conexión directa B2B, lea el artículo B2B Direct Connect.

Al crear una revisión de acceso en un equipo con canales compartidos, los revisores pueden revisar la necesidad continua de acceso de esos usuarios externos y Teams en los canales compartidos. Los usuarios externos de los canales compartidos se denominan usuarios de conexión directa B2B. Puede revisar el acceso de los usuarios de B2B Connect y otros usuarios de colaboración B2B admitidos y usuarios internos que no son B2B en la misma revisión.

Nota

Actualmente, los equipos y usuarios de conexión directa de B2B solo se incluyen en las revisiones de una sola fase. Si las revisiones de varias fases están habilitadas, los equipos y usuarios de Conexión directa no se incluirán en la revisión de acceso.

Los usuarios y equipos de B2B Direct Connect se incluyen en las revisiones de acceso del grupo Microsoft 365 habilitado para Teams B2B del que forman parte los canales compartidos. Para crear la revisión, debe ser:

  • Administrador global
  • Administrador de usuarios
  • Administrador de Identity Governance

Siga estas instrucciones para crear una revisión de acceso en un equipo con canales compartidos:

  1. Inicie sesión en Azure Portal como administrador global, administrador de usuarios o administrador de gobernanza de identidades.

  2. Abra la página Identity Governance (Gobernanza de identidades).

  3. En el menú de la izquierda, seleccione Revisiones de acceso.

  4. Seleccione Nueva revisión de acceso.

  5. Seleccione Teams + Grupos y, después, haga clic en Seleccionar equipos y grupos para establecer el ámbito de revisión. Los equipos y usuarios de Conexión directa B2B no se incluyen en las revisiones de Todos los grupos de Microsoft 365 con usuarios invitados.

  6. Seleccione un equipo que tenga canales compartidos con 1 o más usuarios de conexión directa B2B o Teams.

  7. Establezca el ámbito.

    Captura de pantalla que muestra cómo configurar el ámbito de revisión para la revisión de canales compartidos.

    • Elija Todos los usuarios para que incluya:
      • Todos los usuarios internos
      • Los usuarios de colaboración B2B que son miembros del equipo
      • Usuarios de conexión directa B2B
      • Equipos que tienen acceso a canales compartidos
    • O bien, elija Solo usuarios invitados para incluir solo a usuarios de conexión directa B2B y usuarios de colaboración B2B.
  8. Continúe en la pestaña Revisiones. Seleccione un revisor para completar la revisión y, después, especifique la duración y la periodicidad de la revisión.

    Nota:

    • Si establece Seleccionar revisores en Revisión del propio acceso por parte de los usuarios o AAdministradores de usuarios, los usuarios directos de B2B y Teams no podrán revisar su propio acceso en el inquilino. El propietario del equipo en revisión recibirá un correo electrónico que le pide al propietario que revise el usuario de conexión directa B2B y Teams.
    • Si selecciona Administradores de usuarios, un revisor de reserva seleccionado revisará cualquier usuario sin un administrador en el inquilino principal. Esto incluye usuarios de conexión directa B2B y Teams sin un administrador.
  9. Vaya a la pestaña Configuración y configure las opciones adicionales. Después, vaya a la pestaña Revisar y crear para iniciar la revisión de acceso. Para obtener información más detallada sobre cómo crear una revisión y las opciones de configuración, consulte nuestra revisión para la creación de una revisión de acceso de una sola fase.

Autorizar a los propietarios de grupos para crear y administrar revisiones de acceso de sus grupos

El rol necesario es el administrador global o administrador de usuarios.

  1. Inicie sesión en Azure Portal y abra la página de Identity Governance.

  2. En el menú de la izquierda, en Revisiones de acceso, seleccione Configuración.

  3. En la página Delegado que puede crear y administrar revisiones de acceso, establezca la opción Los propietarios del grupo pueden crear y administrar las revisiones de acceso de los grupos que poseen en .

    Captura de pantalla que muestra cómo permitir que los propietarios del grupo revisen.

    Nota:

    De forma predeterminada, esta opción está establecida en No. Para permitir que los propietarios de grupos creen y administren revisiones de acceso, cambie el valor a Yes (Sí).

Inicio de la revisión de acceso

Después de haber especificado la configuración de una revisión de acceso, seleccione Iniciar. La revisión de acceso aparece en la lista con un indicador de su estado.

Captura de pantalla que muestra una lista de revisiones de acceso y su estado.

De forma predeterminada, Azure AD envía un correo electrónico a los revisores poco después de iniciar la revisión. Si decide no hacer que Azure AD envíe el correo electrónico, asegúrese de informar a los revisores de que hay una revisión de acceso esperando para que la lleven a cabo. Puede mostrarles las instrucciones sobre cómo revisar el acceso a grupos o aplicaciones. Si la revisión es para que los invitados revisen su propio acceso, muéstreles las instrucciones sobre cómo revisar su propio acceso a los grupos o aplicaciones.

Si ha asignado invitados como revisores y estos no han aceptado su invitación al inquilino, no recibirán un correo electrónico de las revisiones de acceso. Primero deben aceptar la invitación antes de empezar a revisar.

Actualización de la revisión de acceso

Una vez iniciadas una o varias revisiones de acceso, puede modificar o actualizar la configuración de las revisiones de acceso existentes. Estos son algunos escenarios comunes que se deben tener en cuenta:

  • Update settings or reviewers (Actualizar valores o revisores): si una revisión de acceso es periódica, habrá valores independientes en Actual y en Serie. La actualización de los valores o los revisores en Actual solo aplica cambios a la revisión de acceso actual. Al actualizar los valores en Serie, se actualiza la configuración de todas las periodicidades futuras.

    Captura de pantalla que muestra la actualización de los valores de revisión de acceso.

  • Add and remove reviewers (Agregar y quitar revisores): al actualizar las revisiones de acceso, puede optar por agregar un revisor de reserva, además del revisor principal. Es posible que los revisores principales se eliminen al actualizar una revisión de acceso. Los revisores de reserva no se pueden eliminar por diseño.

    Nota:

    Solo se pueden agregar revisores de reserva cuando el tipo de revisor es administrador o propietario de grupo. Los revisores principales se pueden agregar cuando el tipo de revisor es un usuario seleccionado.

  • Remind the reviewers (Recordar a los revisores): al actualizar las revisiones de acceso, puede optar por habilitar la opción Recordatorios en Configuración avanzada. Los usuarios reciben una notificación por correo electrónico a la mitad del período de revisión, independientemente de si han finalizado la revisión o no.

    Captura de pantalla que muestra el recordatorio a los revisores.

Pasos siguientes