Tutorial: Administración del acceso a los recursos en la administración de derechos de Azure AD

Administrar el acceso a todos lol recursos que necesitan los empleados, como grupos, aplicaciones y sitios, es una función importante en las organizaciones. Querrá conceder a los empleados el nivel de acceso correcto que necesitan para ser productivos y eliminar su acceso cuando ya no se precise.

En este tutorial, trabajará para Woodgrove Bank como administrador de TI. Le han pedido que cree un paquete de recursos para una campaña de marketing que los usuarios internos puedan usar para realizar solicitudes de autoservicio. Las solicitudes no requerirán aprobación y el acceso del usuario expirará al cabo de 30 días. En este tutorial, los recursos de la campaña de marketing son simplemente la pertenencia a un único grupo, pero podrían ser una colección de grupos, aplicaciones o sitios de SharePoint Online.

Diagrama que muestra la información general del escenario.

En este tutorial, aprenderá a:

  • Crear un paquete de acceso con un grupo como recurso
  • Permitir que un usuario del directorio solicite acceso
  • Demostrar cómo un usuario interno puede solicitar el paquete de acceso

Para consultar una demostración detallada del proceso de implementación de la administración de derechos de Azure Active Directory, incluida la creación del primer paquete de acceso, vea el siguiente vídeo:

En e resto de este artículo se usa Azure Portal para configurar y demostrar la administración de derechos de Azure AD.

Prerrequisitos

Para usar la administración de derechos de Azure AD, debe tener una de las licencias siguientes:

  • Azure AD Premium P2
  • Licencia de Enterprise Mobility + Security (EMS) E5

Para obtener más información, consulte Requisitos de licencia.

Paso 1: Configuración de usuarios y grupos

Un directorio de recurso tiene uno o más recursos para compartir. En este paso, creará un grupo denominado Recursos de marketing en el directorio de Woodgrove Bank que es el recurso de destino de la administración de derechos. También configurará un solicitante interno.

Rol necesario: administrador global o administrador de usuarios.

Diagrama que muestra los usuarios y grupos para este tutorial.

  1. Inicie sesión en Azure Portal como administrador global o administrador de usuarios.

  2. En la barra de navegación de la izquierda, seleccione Azure Active Directory.

  3. Creación de dos usuarios. Use los siguientes nombres u otros diferentes.

    Nombre Rol del directorio
    Admin1 Administrador global o administrador de usuarios. Este usuario puede ser el usuario con el que ha iniciado sesión.
    Solicitante1 Usuario
  4. Cree un grupo de seguridad de Azure AD llamado Recursos de marketing con el tipo de pertenencia Asignado. Este grupo será el recurso de destino para la administración de derechos. El grupo debe estar vacío para comenzar.

Paso 2: Creación de un paquete de acceso

Un paquete de acceso es un conjunto de recursos que un equipo o proyecto necesita y se rige por directivas. Los paquetes de acceso se definen en contenedores llamados catálogos. En este paso, creará un paquete de acceso Campaña de marketing en el catálogo General.

Rol necesario: administrador global, administrador de Identity Governance, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.

Diagrama que describe la relación entre los elementos del paquete de acceso.

  1. En Azure Portal, seleccione Azure Active Directory en el panel de navegación izquierdo.

  2. En el menú de la izquierda, seleccione Identity Governance.

  3. En el menú de la izquierda, seleccione Paquetes de acceso. Si ve Acceso denegado, asegúrese de que haya una licencia Azure AD Premium P2 en el directorio.

  4. Seleccione New access package (Nuevo paquete de acceso).

    Capturas de pantalla que muestra cómo crear un paquete de acceso.

  5. En la pestaña Básico, escriba el nombre Campaña de marketing y la descripción Acceso a los recursos de la campaña.

  6. Deje la lista desplegable Catálogo establecida en General.

    Captura de pantalla en la que se muestra cómo definir los aspectos básicos de la directiva de acceso.

  7. Seleccione Siguiente para abrir la pestaña Roles de recurso. En esta pestaña, seleccione los recursos y el rol de recurso que se incluirán en el paquete de acceso. Puede optar por administrar el acceso a grupos y equipos, aplicaciones y sitios de SharePoint Online. En este escenario, seleccione Grupos y equipos.

    Captura de pantalla que muestra cómo seleccionar grupos y equipos.

  8. En el panel Seleccionar grupos, busque y seleccione el grupo Recursos de marketing que creó anteriormente.

    De forma predeterminada, verá grupos dentro del catálogo general. Al seleccionar un grupo fuera del catálogo general, que puede ver si activa la casilla Ver todo, se agregará al catálogo general.

    Captura de pantalla que muestra cómo seleccionar los grupos

  9. Elija Seleccionar para agregar el usuario a la lista.

  10. En la lista desplegable Rol, seleccione Miembro. Si selecciona el rol Propietario, los usuarios podrán agregar o quitar otros miembros o propietarios. Para obtener más información sobre cómo seleccionar los roles adecuados para un recurso, lea Agregar roles de recursos.

    Captura de pantalla que muestra cómo seleccionar el rol de miembro.

    Importante

    Los grupos a los que se pueden asignar roles que se agregan a un paquete de acceso se indicarán mediante el subtipo Assignable to roles. Para obtener más información, consulte el artículo Creación de un grupo al que se pueden asignar roles. Tenga en cuenta que una vez que un grupo al que se pueden asignar roles está presente en un catálogo de paquetes de acceso, los usuarios administrativos que pueden encargarse de la administración de derechos, como administradores globales, administradores de usuarios y propietarios de catálogos, podrán controlar los paquetes de acceso en el catálogo. De este modo, tendrán la posibilidad de decidir a quién agregar a esos grupos. Si no ve un grupo al que se pueden asignar roles que quiera agregar, o no puede agregarlo, asegúrese de que tiene los roles de administración de derechos y de Azure AD que se requieren para realizar esta operación. Quizá necesite pedirle a alguien con los roles necesarios que agregue el recurso al catálogo. Para obtener más información, vea Roles necesarios para agregar recursos a un catálogo.

    Nota:

    Si usa grupos dinámicos no verá ningún otro rol disponible además del propietario; es así por diseño. Capturas de pantalla que muestran los roles disponibles para un grupo dinámico.

  11. Seleccione Siguiente para abrir la pestaña Solicitudes. En esta pestaña, creará una directiva de solicitud. Una directiva define las reglas o barreras para acceder a un paquete de acceso. Creará una directiva que permite que un usuario específico del directorio del recurso solicite este paquete de acceso.

  12. En la sección Usuarios que pueden solicitar acceso, seleccionen Para los usuarios de su directorio y, a continuación, Usuarios y grupos específicos.

    Captura de pantalla de la pestaña de solicitudes de paquete de acceso.

  13. Seleccione Agregar usuarios y grupos.

  14. En el panel Seleccionar usuarios y grupos, seleccione el usuario Solicitante1 que creó anteriormente.

    Captura de pantalla que muestra la selección de usuarios y grupos.

  15. Elija Seleccionar para agregar el usuario a la lista.

  16. Desplácese hacia abajo hasta las secciones Aprobación y Enable requests (Habilitar solicitudes).

  17. Deje Requerir aprobación establecido en No.

  18. En Enable requests, haga clic en para que este paquete de acceso se solicite tan pronto como se haya creado.

  19. Haga clic en Next para abrir la pestaña Requestor information.

    Capturas de pantalla que muestra la aprobación de la pestaña de solicitudes y la activación de la configuración de solicitudes.

  20. En la pestaña Requestor information, podrá formular preguntas para recopilar más información del solicitante. Estas preguntas se muestran en el formulario de solicitud y pueden ser obligatorias u opcionales. En este escenario, no se le ha pedido que incluya información del solicitante del paquete de acceso, por lo que puede dejar estos cuadros vacíos. Haga clic en Siguiente para abrir la pestaña Ciclo de vida.

  21. En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones. En la sección Expiración:

    1. Establezca Access package assignments expire en Number of days.
    2. Establezca Assignments expire after en 30 días.
    3. Mantenga el valor predeterminado de Los usuarios pueden solicitar una línea de tiempo específica en .
    4. Establezca Exigir revisiones de acceso en .

    Captura de pantalla de la pestaña del ciclo de vida del paquete de acceso

  22. Omita el paso Extensiones personalizadas (versión preliminar).

  23. Seleccione Siguiente para abrir la pestaña Revisar y crear.

  24. En la pestaña Revisar y Crear, seleccione Crear. Transcurridos unos instantes, verá una notificación que dice que el paquete de acceso se ha creado correctamente.

  25. En el menú izquierdo del paquete de acceso Campaña de marketing, seleccione Información general.

  26. Copie el vínculo del portal Mi acceso.

    Este vínculo lo usará en el paso siguiente.

    Captura de pantalla que muestra cómo copiar el enlace a la directiva de acceso.

Paso 3: Solicitar acceso

En este paso, realizará los pasos como solicitante interno y solicitará acceso al paquete acceso. Los solicitantes envían sus solicitudes mediante un sitio conocido como el portal Mi acceso. El portal Mi acceso permite a los solicitantes enviar solicitudes de paquetes de acceso, ver los paquetes de acceso a los que ya tienen acceso y ver sus historiales de solicitudes.

Rol necesario: solicitante interno

  1. Cierre sesión en Azure Portal.

  2. En una nueva ventana del explorador, vaya al vínculo del portal Mi acceso que copió en el paso anterior.

  3. Inicie sesión en el portal Mi acceso como Solicitante1.

    Debería ver el paquete de acceso Campaña de marketing.

  4. En el cuadro Justificación comercial, indique I'm working on the new marketing campaign.

    Captura de pantalla del portal Mi acceso que enumera los paquetes de acceso.

  5. Seleccione Submit (Enviar).

  6. En el menú izquierdo, haga clic en Historial de solicitudes para comprobar que la solicitud se ha enviado. Para obtener más información, seleccione Ver.

    Captura de pantalla del historial de solicitudes del portal Mi acceso.

Paso 4: Validación de que se ha asignado el acceso

En este paso, confirmará que se asignó el paquete de acceso al solicitante interno y que este es ahora miembro del grupo Recursos de marketing.

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.

  1. Cierre sesión en el portal Mi acceso.

  2. Inicie sesión en Azure Portal como Admin1.

  3. Haga clic en Azure Active Directory y seleccione Identity Governance.

  4. En el menú de la izquierda, seleccione Paquetes de acceso.

  5. Busque y seleccione el paquete de acceso Campaña de marketing.

  6. En el menú de la izquierda, seleccione Solicitudes.

    Verá Solicitante1 y la directiva inicial con el estado Entregado.

  7. Seleccione la solicitud para ver los detalles.

    Captura de pantalla de los detalles de la solicitud de paquete de acceso.

  8. En la barra de navegación de la izquierda, seleccione Azure Active Directory.

  9. Haga clic en Grupos y abra el grupo Recursos de marketing.

  10. Seleccione Miembros.

    Verá que Solicitante1 aparece como miembro.

    Captura de pantalla que muestra que el solicitante 1 se ha agregado al grupo de recursos de marketing.

Paso 5: Limpieza de recursos

En este paso, se quitarán los cambios realizados y se eliminará el paquete de acceso Campaña de marketing.

Rol necesario: administrador global o administrador de usuarios.

  1. En Azure Portal, seleccione Azure Active Directory y, luego, Gobierno de identidades.

  2. Abra el paquete de acceso Campaña de marketing.

  3. Seleccione Asignaciones.

  4. Para Solicitante1, seleccione los puntos suspensivos (...) y, a continuación, Quitar acceso. En el mensaje que aparece, seleccione .

    Tras unos momentos, el estado cambiará de Entregado a Expirado.

  5. Seleccione Roles de recurso.

  6. En Recursos de marketing, seleccione en el botón de puntos suspensivos (... ) y luego Eliminar rol de recurso. En el mensaje que aparece, seleccione .

  7. Abra la lista de paquetes de acceso.

  8. En Campaña de marketing, seleccione el botón de puntos suspensivos (...) y Eliminar. En el mensaje que aparece, seleccione .

  9. En Azure Active Directory, elimine los usuarios creados como Solicitante1 y Admin1.

  10. Elimine el grupo Recursos de marketing.

Configuración de la escritura diferida de grupos en la administración de derechos

Si desea configurar la escritura diferida de grupos para grupos de Microsoft 365 en paquetes de acceso, complete los siguientes requisitos previos:

  • Configure la escritura diferida de grupos en el centro de administración de Azure Active Directory.
  • La unidad organizativa (OU) que se usará para configurar la escritura diferida de grupos en la configuración de Azure AD Connect.
  • Complete los pasos de habilitación de la escritura diferida de grupos para Azure AD Connect.

La escritura diferida de grupos permite sincronizar grupos de Microsoft 365 que forman parte de los paquetes de acceso a Active Directory local. Para sincronizar los grupos, siga estos pasos:

  1. Cree un grupo de Microsoft 365 en Azure Active Directory

  2. Configure el grupo para su escritura diferida en Active Directory local. Para obtener instrucciones, consulte Escritura diferida de grupos en el centro de administración de Azure Active Directory.

  3. Agregue el grupo a un paquete de acceso como rol de recurso. Consulte Creación de un nuevo paquete de acceso para obtener instrucciones.

  4. Asigne el usuario al paquete de acceso. Consulte Ver, agregar y quitar asignaciones en un paquete de acceso para obtener instrucciones sobre la asignación directa de un usuario.

  5. Después de asignar un usuario al paquete de acceso, confirme que ya es miembro del grupo local una vez completado el ciclo de sincronización de Azure AD Connect:

    1. Visualización de la propiedad de miembro del grupo en la unidad organizativa local O
    2. Revise el miembro de en el objeto de usuario.

Nota

La programación predeterminada del ciclo de sincronización de Azure AD Connect es cada 30 minutos. Es posible que tenga que esperar hasta que se produzca el siguiente ciclo para ver los resultados en el entorno local o elegir ejecutar el ciclo de sincronización manualmente para ver los resultados antes.

Pasos siguientes

Avance al siguiente artículo para conocer los pasos del escenario común de administración de derechos.