Configuración de roles de Azure AD en Privileged Identity Management

  • Artículo
  • 12 minutos para leer

En Privileged Identity Management (PIM) en Azure Active Directory (Azure AD), parte de Microsoft Entra, la configuración de roles define las propiedades de asignación de roles: MFA y requisitos de aprobación para la activación, duración máxima de la asignación, configuración de notificaciones y más. Siga los pasos a continuación para definir las configuraciones de roles y el flujo de trabajo de aprobación para especificar quién puede aprobar o denegar las solicitudes de elevación de privilegios.

Debe tener el rol Administrador global o Administrador de roles con privilegios para administrar la configuración de roles de PIM para el rol de Azure AD. La configuración de roles se define por rol: todas las asignaciones para el mismo rol siguen la misma configuración de roles. La configuración de un rol es independiente de la configuración de otro rol.

La configuración de roles de PIM también se conoce como "Directivas de PIM".

Apertura de la configuración de roles

Siga estos pasos para abrir la configuración de un rol de Azure AD.

  1. Inicie sesión en Azure Portal

  2. Seleccione Azure AD Privileged Identity Management -> Roles de Azure AD -> Roles. En esta página puede ver la lista de roles de Azure AD disponibles en el inquilino, incluidos los roles integrados y personalizados. Captura de pantalla de la lista de roles de Azure AD disponibles en el inquilino, incluidos los roles integrados y personalizados.

  3. Seleccione el rol cuya configuración desea configurar.

  4. Seleccione Configuración de rol. En la página Configuración de rol puede ver la configuración actual del rol de PIM para el rol seleccionado.

    Captura de pantalla de la página de edición de configuración de roles con opciones para actualizar la configuración de asignación y activación.

  5. Seleccione Editar para actualizar la configuración del rol.

  6. Cuando haya terminado, seleccione Actualizar.

Configuración de roles

Duración máxima de la activación

Use el control deslizante Duración máxima de la activación para establecer el tiempo máximo, en horas, que una solicitud de activación de una asignación de roles permanece activa antes de expirar. Este valor puede oscilar entre una y 24 horas.

Al activarse, se requiere la autenticación multifactor

Puede exigir que los usuarios que sean elegibles para un rol demuestren quiénes están usando Azure AD Multi-Factor Authentication antes de que se puedan activar. La autenticación multifactor ayuda a proteger el acceso a los datos y aplicaciones, lo que proporciona otra capa de seguridad mediante una segunda forma de autenticación.

Nota:

Es posible que al usuario no se le pida autenticación multifactor si se autentica con credenciales seguras o si proporcionó la autenticación multifactor anteriormente en esta sesión. Si su objetivo es asegurarse de que los usuarios tengan que proporcionar autenticación durante la activación, puede usar Al activarse, se requiere el contexto de autenticación de acceso condicional de Azure AD junto con Niveles de intensidad de autenticación para exigir a los usuarios autenticarse durante la activación mediante métodos diferentes de los que usaron para iniciar sesión en la máquina. Por ejemplo, si los usuarios inician sesión en la máquina mediante Windows Hello para empresas, puede usar "Al activarse, se requerir el contexto de autenticación de acceso condicional de Azure AD" y Niveles de intensidad de autenticación para exigir que los usuarios inicien sesión sin contraseña con Microsoft Authenticator cuando activen el rol. Después de que el usuario proporcione el inicio de sesión sin contraseña con Microsoft Authenticator una vez en este ejemplo, podrá realizar su siguiente activación en esta sesión sin autenticación adicional, ya que el inicio de sesión sin contraseña con Microsoft Authenticator ya formará parte de su token.

Se recomienda habilitar la autenticación multifactor de Azure AD para todos los usuarios. Para más información, vea Plan de una implementación de Azure AD Multi-Factor Authentication.

Al activarse, se requiere el contexto de autenticación de acceso condicional de Azure AD (versión preliminar pública)

Puede solicitar a los usuarios que reúnan los requisitos para una función que satisfagan los requisitos de la directiva de acceso condicional: utilizar un método de autenticación específico aplicado a través de los puntos fuertes de autenticación, elevar la función desde un dispositivo compatible con Intune, cumplir las condiciones de uso, etc.

Para aplicar este requisito, debe:

  1. Crear el contexto de autenticación de acceso condicional.

  2. Configurar la directiva de acceso condicional que aplicaría los requisitos para este contexto de autenticación.

    Nota:

    El ámbito de la directiva de acceso condicional debe incluir todos los usuarios o los usuarios aptos para un rol. No cree una directiva de acceso condicional con un ámbito limitado al contexto de autenticación y rol de directorio al mismo tiempo, ya que durante la activación el usuario aún no tiene asignado un rol, y no se aplicaría la directiva de acceso condicional. Consulte la nota al final de esta sección sobre una situación en la que es posible que necesite dos directivas de acceso condicional, un ámbito para el contexto de autenticación y otro con ámbito para el rol.

  3. Configure el contexto de autenticación en la configuración de PIM para el rol.

Captura de pantalla de la página Editar configuración de rol Administrador de definición de atributos.

Nota

Si las opciones de PIM tienen configurado Al activarse, se requiere el contexto de autenticación de acceso condicional de Azure AD, las directivas de acceso condicional definen las condiciones que un usuario debe cumplir para satisfacer los requisitos de acceso. Esto significa que las entidades de seguridad con permisos para administrar las directivas de acceso condicional, como administradores de acceso condicional o administradores de seguridad, pueden cambiar los requisitos, quitarlos o impedir que usuarios aptos activen el rol. Las entidades de seguridad que pueden administrar las directivas de acceso condicional deben considerarse con privilegios elevados y protegerse en consecuencia.

Nota

Se recomienda crear y habilitar una directiva de acceso condicional para el contexto de autenticación antes de configurar el contexto de autenticación en las opciones de PIM. Como mecanismo de protección de respaldo, si no hay directivas de acceso condicional en el inquilino que tengan como destino el contexto de autenticación configurado en las opciones de PIM, durante la activación de roles de PIM, se requiere la autenticación multifactor de Azure AD, ya que la opción Al activarse, se requiere la autenticación multifactor estaría establecida. Este mecanismo de protección de respaldo está diseñado para protegerse únicamente de un escenario en el que se actualizaron las opciones de PIM antes de crear la directiva de acceso condicional, debido a un error de configuración. Este mecanismo de protección de respaldo no se desencadenará si la directiva de acceso condicional está desactivada, está en modo de solo informe o si el usuario apto está excluido de la directiva.

Nota

La opción Al activar, se requiere el contexto de autenticación de acceso condicional de Azure AD define el contexto de autenticación, los requisitos que el usuario deberá satisfacer cuando activen el rol. Una vez activado el rol, esto no impide que los usuarios usen otra sesión de exploración, dispositivo, ubicación, etc., para usar permisos. Por ejemplo, los usuarios pueden usar un dispositivo compatible con Intune para activar el rol y, a continuación, después de activar el rol, iniciar sesión en la misma cuenta de usuario desde otro dispositivo que no sea compatible con Intune y usar desde allí el rol activado previamente. Para protegerse de esta situación, cree dos directivas de acceso condicional:

  1. La primera directiva de acceso condicional destinada al contexto de autenticación. Debe tener "Todos los usuarios" o usuarios aptos en su ámbito. Esta directiva especificará los requisitos que el usuario debe cumplir para activar el rol.
  2. La segunda directiva de acceso condicional destinada a roles de directorio. Esta directiva especificará los requisitos que los usuarios deben cumplir para iniciar sesión con el rol de directorio activado.

Ambas directivas pueden aplicar los mismos requisitos, o diferentes, en función de sus necesidades.

Otra opción es definir el ámbito de las directivas de acceso condicional que aplican determinados requisitos a los usuarios aptos directamente. Por ejemplo, puede exigir que los usuarios aptos para determinados roles usen siempre dispositivos compatibles con Intune.

Para más información sobre el contexto de autenticación de acceso condicional, consulte Acceso condicional: aplicaciones en la nube, acciones y contexto de autenticación.

Requerir justificación en las activaciones

Puede requerir que los usuarios escriban una justificación comercial cuando activen la asignación apta.

Solicitud de información del vale en el momento de la activación

Puede requerir que los usuarios escriban un número de incidencia de soporte técnico cuando activen la asignación apta. Este es un campo de solo información y la correlación con la información de cualquier sistema de vales no se aplica.

Solicitud de aprobación para activar

Puede requerir aprobación para la activación de la asignación apta. El aprobador no tiene que tener ningún rol. Al usar esta opción, debe seleccionar al menos un aprobador (se recomienda seleccionar al menos dos aprobadores), no hay aprobadores predeterminados.

Para obtener más información sobre las aprobaciones, consulte Aprobación o rechazo de solicitudes para los roles de Azure AD en Privileged Identity Management.

Duración de la asignación

Puede elegir entre dos opciones de duración de asignación para cada tipo de asignación (Apto y Activo) cuando se configuran las opciones para un rol. Estas opciones se convierten en la duración máxima predeterminada cuando se asigna un usuario al rol en Privileged Identity Management.

Puede elegir uno de estas opciones de duración de asignación tipo Apto:

Configuración Descripción
Allow permanent eligible assignment (Permitir la asignación apta permanente) Los administradores de recursos pueden asignar una asignación válida permanente.
Hacer que las asignaciones elegibles expiren después de Los administradores de recursos pueden requerir que todas las asignaciones elegibles tengan una fecha de inicio y finalización especificada.

Además, puede elegir una de estas opciones de duración de asignación tipo Activo:

Configuración Descripción
Allow permanent active assignment (Permitir la asignación activa permanente) Los administradores de recursos pueden asignar una asignación activa permanente.
Hacer que las asignaciones activas expiren después de Los administradores de recursos pueden requerir que todas las asignaciones activas tengan una fecha de inicio y finalización especificada.

Nota:

Los administradores globales y los administradores de roles con privilegios pueden renovar todas las asignaciones que tienen una fecha de finalización específica. Además, los usuarios pueden iniciar solicitudes de autoservicio para ampliar o renovar las asignaciones de roles.

Requerir autenticación multifactor para las asignaciones activas

Puede requerir que el administrador proporcione autenticación multifactor cuando creen una asignación activa (en lugar de apta). Privileged Identity Management no puede exigir la autenticación multifactor cuando el usuario usa su asignación de roles, porque ya está activa en el rol desde el momento en que se asigna.

Es posible que al administrador no se le pida autenticación multifactor si se autentica con credenciales seguras o proporcionó la autenticación multifactor anteriormente en esta sesión.

Requerir justificación para las asignaciones activas

Puede requerir que los usuarios escriban una justificación comercial cuando creen una asignación activa (en lugar de apta).

En la pestaña Notificaciones de la página Configuración de roles, Privileged Identity Management permite realizar un control pormenorizado sobre quién recibe las notificaciones y qué notificaciones reciben.

  • Desactivación de un correo electrónico
    Si desactiva la casilla de destinatario predeterminado y elimina los demás destinatarios, puede desactivar correos electrónicos específicos.
  • Límite de correos electrónicos a direcciones especificadas
    Si desactiva la casilla de destinatario predeterminado, puede desactivar los mensajes de correo electrónico enviados a destinatarios predeterminados. Luego, puede agregar otras direcciones de correo electrónico como destinatarios. Si desea agregar más de una dirección de correo electrónico, sepárelas con un punto y coma (;).
  • Envío de correos electrónicos a destinatarios predeterminados y a otros destinatarios
    Si selecciona la casilla de destinatario predeterminado y agrega direcciones de correo electrónico para otros destinatarios, puede enviar correos electrónicos al destinatario predeterminado y a otros destinatarios.
  • Solo correo electrónico crítico
    Para cada tipo de correo electrónico, puede seleccionar la casilla para recibir solo correos electrónicos críticos. Esto significa que Privileged Identity Management continuará enviando mensajes de correo electrónico a los destinatarios especificados solo cuando el correo electrónico requiera una acción inmediata. Por ejemplo, no se desencadenarán los mensajes de correo electrónico que pidan a los usuarios que amplíen su asignación de roles, pero sí los que requieran que los administradores aprueben una solicitud de ampliación.

Administrar la configuración de roles a través de Microsoft Graph

Para administrar la configuración de los roles de Azure AD a través de Microsoft Graph, use el tipo de recurso unifiedRoleManagementPolicy y los métodos relacionados.

En Microsoft Graph, la configuración de roles se conoce como reglas y se asignan a los roles de Azure AD mediante directivas de contenedor. A cada rol de Azure AD se le asigna un objeto de directiva específico. Puede recuperar todas las directivas cuyo ámbito son los roles de Azure AD y, para cada directiva, recuperar la colección de reglas asociada a través de un parámetro de consulta $expand. La sintaxis de la solicitud es la siguiente:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

Las reglas se agrupan en contenedores. Los contenedores se dividen aún más en definiciones de reglas que se identifican mediante identificadores únicos para facilitar la administración. Por ejemplo, un contenedor unifiedRoleManagementPolicyEnablementRule expone tres definiciones de regla identificadas por los siguientes identificadores únicos.

  • Enablement_Admin_Eligibility - Reglas que se aplican a los administradores para llevar a cabo operaciones sobre los requisitos de rol. Por ejemplo, si se requiere justificación y si es para todas las operaciones (por ejemplo, renovación, activación o desactivación) o solo para operaciones específicas.
  • Enablement_Admin_Assignment - Reglas que se aplican a los administradores para llevar a cabo operaciones sobre las asignaciones de rol. Por ejemplo, si se requiere justificación y si es para todas las operaciones (por ejemplo, renovación, desactivación o extensión) o solo para operaciones específicas.
  • Enablement_EndUser_Assignment - Reglas que se aplican a las entidades de seguridad para habilitar sus asignaciones. Por ejemplo, si se requiere la autenticación multifactor.

Para actualizar estas definiciones de regla, use la API de reglas de actualización. Por ejemplo, la siguiente solicitud especifica una colección enabledRules vacía, por lo que desactiva las reglas habilitadas para una directiva, como la autenticación multifactor, la información de vales y la justificación.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Puede recuperar la colección de reglas que se aplican a todos los roles de Azure AD o a un rol específico de Azure AD mediante el tipo de recurso unifiedRoleManagementPolicyAssignment y los métodos relacionados. Por ejemplo, la siguiente solicitud usa el parámetro de consulta $expand para recuperar las reglas que se aplican a un rol de Azure AD identificado por roleDefinitionId o templateId62e90394-69f5-4237-9190-012177145e10.

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

Para obtener más información sobre cómo administrar la configuración de roles a través de PIM, consulte Configuración de roles y PIM. Para obtener ejemplos de actualización de reglas, consulte Uso de las API de PIM en Microsoft Graph para actualizar las reglas de Azure AD.

Pasos siguientes