Empiece a usar Privileged Identity Management

En este artículo se describe cómo habilitar y empezar a usar Privileged Identity Management (PIM).

Puede utilizar Privileged Identity Management (PIM) para administrar, controlar y supervisar el acceso dentro de la organización de Microsoft Entra. Con PIM, puede proporcionar acceso Just-in-Time y según sea necesario a los recursos de Azure y de Microsoft Entra, así como a otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Requisitos previos

Para usar Privileged Identity Management, debe tener una de las licencias siguientes:

Para más información, consulte Requisitos de licencia para usar Privileged Identity Management.

Nota:

Cuando un usuario que está activo en un rol con privilegios en una organización de Microsoft Entra con una licencia prémium P2 va a Roles y administradores en Microsoft Entra ID y selecciona un rol, o incluso simplemente visita Privileged Identity Management:

  • Habilitamos automáticamente PIM para la organización.
  • Su experiencia consiste ahora en que pueden asignar una asignación de roles "normal" o una asignación de roles elegible.

Cuando PIM está habilitado, no tiene ningún otro efecto en la organización por el que tenga que preocuparse. Proporciona opciones de asignación adicionales, como activo frente a elegible, con la hora de inicio y finalización. PIM también permite definir el ámbito de las asignaciones de roles mediante unidades administrativas y roles personalizados. Si es un administrador global o un administrador de roles con privilegios, puede empezar a recibir algunos correos electrónicos adicionales, como el resumen semanal de PIM. También puede ver la entidad de servicio MS-PIM en el registro de auditoría relacionado con la asignación de roles. Se trata de un cambio esperado que no debe tener ningún efecto en el flujo de trabajo.

Preparación de PIM para roles de Microsoft Entra

Estas son las tareas que se recomiendan para preparar Privileged Identity Management a fin de administrar los roles de Microsoft Entra:

  1. Configurar las opciones de rol de Microsoft Entra
  2. Proporcione asignaciones elegibles.
  3. Permitir que los usuarios elegibles activen su rol de Microsoft Entra cuando sea necesario

Preparación de PIM para roles de Azure

Estas son las tareas que recomendamos si desea preparar Privileged Identity Management para administrar los roles de Azure para una suscripción:

  1. Detección de recursos de Azure
  2. Configuración de roles de Azure AD
  3. Proporcione asignaciones elegibles.
  4. Permita que los usuarios elegibles activen sus roles de Azure cuando sea necesario.

Una vez que se haya configurado Privileged Identity Management, puede aprender a orientarse.

Navigation window in Privileged Identity Management showing Tasks and Manage options

Tarea y administrar Descripción
Mis roles Muestra una lista de los roles elegibles y activos que tiene asignados. Aquí es donde puede activar cualquier función elegible asignada.
Solicitudes pendientes Muestra las solicitudes pendientes para activar las asignaciones de rol elegibles.
Aprobar solicitudes Muestra una lista de las solicitudes realizadas por los usuarios de su directorio para activar roles elegibles que usted tiene designados para aprobar.
Revisar acceso Enumera las revisiones de acceso activas que tiene asignadas para completar, tanto si revisa el acceso usted mismo como si lo hace otro usuario.
Roles de Microsoft Entra Muestra un panel y la configuración de los administradores de rol con privilegios para administrar las asignaciones de roles de Microsoft Entra. Este panel está deshabilitado para todos aquellos que no sean administradores de roles con privilegios. Estos usuarios tienen acceso a un panel especial denominado My view (Mi vista). El panel Mi vista solo muestra información sobre el acceso al panel del usuario, no de la organización completa.
Recursos de Azure Muestra un panel y la configuración de los administradores de rol con privilegios para administrar las asignaciones de roles de recursos de Azure. Este panel está deshabilitado para todos aquellos que no sean administradores de roles con privilegios. Estos usuarios tienen acceso a un panel especial denominado My view (Mi vista). El panel Mi vista solo muestra información sobre el acceso al panel del usuario, no de la organización completa.

Pasos siguientes