¿Qué son las revisiones de acceso?
Las revisiones de acceso de Microsoft Entra ID, que forman parte de Microsoft Entra, permiten a las organizaciones administrar de forma eficiente la pertenencia a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.
Este es un vídeo que proporciona una introducción rápida de las revisiones de acceso:
¿Por qué son importantes las revisiones de acceso?
Microsoft Entra ID te permite colaborar con usuarios dentro de tu organización y con usuarios externos. Los usuarios pueden unirse a grupos, invitar a otros usuarios, conectarse a aplicaciones en la nube y trabajar de forma remota desde sus dispositivos de trabajo o personales. La comodidad de usar el autoservicio ha llevado a una necesidad de mejores funcionalidades de administración del acceso.
- Cuando se unen nuevos empleados, ¿cómo estar seguro de que tienen el acceso que necesitan para ser productivos?
- A medida que los usuarios salen de equipos o abandonan la empresa, ¿cómo tener la seguridad de que se les retira su acceso antiguo?
- Unos derechos de acceso excesivos son peligrosos.
- Un derecho de acceso excesivo también puede dar lugar a hallazgos de auditoría, ya que indican una falta de control sobre el acceso.
- Tendrás que trabajar de manera proactiva junto a los propietarios de los recursos para asegurarte de que revisen periódicamente quién tiene acceso a sus recursos.
¿Cuándo se deben usar las revisiones de acceso?
- Demasiados usuarios en roles con privilegios: es recomendable comprobar cuántos usuarios tienen acceso administrativo, cuántos de ellos son administradores globales, y si hay algún invitado o asociado que no se haya quitado después de que se haya asignado una tarea administrativa. Puedes volver a certificar los usuarios con asignación de roles en roles de Microsoft Entra como administradores globales, o en roles de recursos de Azure como, por ejemplo, administrador de acceso de usuario, en la experiencia Privileged Identity Management (PIM) de Microsoft Entra.
- Cuando no es posible la automatización: puedes crear las reglas de grupos de pertenencia dinámica, grupos de seguridad o Grupos de Microsoft 365, pero ¿qué ocurre si los datos de recursos humanos no se encuentran en Microsoft Entra ID o si los usuarios todavía necesitan acceso después de abandonar el grupo para entrenar a su sustituto? Luego puedes crear una revisión en ese grupo para asegurarte de que los usuarios que aún necesiten acceso sigan teniéndolo.
- Cuando se usa un grupo para una nueva finalidad: si tienes un grupo que se va a sincronizar con Microsoft Entra ID, o si planeas habilitar la aplicación Salesforce para todos los usuarios en el grupo del equipo de Ventas, sería útil solicitar al propietario del grupo que revise el grupo de pertenencia dinámica antes de usarlo en un contenido de riesgo distinto.
- Acceso a datos críticos para la empresa: para determinados recursos, como aplicaciones críticas para la empresa, es posible que tengas que pedir a los usuarios que reconfirmen y proporcionen con regularidad una justificación sobre por qué necesitan acceso continuado, como parte de los procesos de cumplimiento.
- Para mantener la lista de excepciones de la directiva: en un mundo ideal, todos los usuarios deberían seguir las directivas de acceso para proteger el acceso a los recursos de la organización. A veces, sin embargo, hay casos empresariales en los que hay que hacer excepciones. Como administrador de TI, puedes administrar esta tarea, evitar las excepciones de omisiones de la directiva y proporcionar a los auditores prueba de que estas excepciones se revisan normalmente.
- Pedir a los propietarios de grupos que confirmen que siguen necesitando invitados en sus grupos: el acceso de los empleados puede automatizarse con otras características de administración de identidades y accesos, como flujos de trabajo de ciclo de vida basados en datos de un origen de RR. HH., pero no los invitados. Si un grupo proporciona a los invitados acceso a contenido empresarial confidencial, es responsabilidad del propietario del grupo confirmar que los invitados todavía tienen una necesidad empresarial legítima de acceso.
- Repetir las revisiones periódicamente: puedes configurar revisiones periódicas de acceso de usuarios a frecuencias establecidas, como semanal, mensual, trimestral o anualmente; y los revisores reciben notificaciones al principio de cada revisión. Los revisores pueden aprobar o denegar el acceso con una interfaz sencilla y con la ayuda de recomendaciones inteligentes.
Nota:
Si estás listo para probar las revisiones de acceso, consulta Creación de una revisión de acceso de grupos o aplicaciones.
¿Donde se crean las revisiones?
En función de lo que quieras revisar, crearás la revisión de acceso en las revisiones de acceso, aplicaciones de empresa de Microsoft Entra, PIM o la administración de derechos.
Derechos de acceso de los usuarios | Los revisores pueden ser | Revisión creada en | Experiencia del revisor |
---|---|---|---|
Miembros del grupo de seguridad Miembros del grupo de Office |
Revisores especificados Propietarios del grupo Autorrevisión |
Revisiones de acceso a grupos Microsoft Entra |
Panel de acceso |
Asignados a una aplicación conectada | Revisores especificados Autorrevisión |
Revisiones de acceso Aplicaciones empresariales de Microsoft Entra |
Panel de acceso |
Rol de Microsoft Entra | Revisores especificados Autorrevisión |
PIM | Centro de administración Microsoft Entra |
Rol de recursos de Azure | Revisores especificados Autorrevisión |
PIM | Centro de administración de Microsoft Entra |
Asignaciones de paquetes de acceso | Revisores especificados Miembros del grupo Autorrevisión |
administración de derechos | Panel de acceso |
Requisitos de licencia
Esta característica requiere suscripciones de Gobierno de Microsoft Entra ID o el Conjunto de aplicaciones de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2. Para obtener más información, consulte los artículos de cada funcionalidad para obtener más información. Para encontrar la licencia adecuada para tus requisitos, consulta Aspectos básicos de las licencias de Gobierno de Microsoft Entra ID.
Nota:
La creación de una revisión del usuario inactivo con recomendaciones de afiliación usuario a grupo requiere una licencia Microsoft Entra ID Governance.
Pasos siguientes
- Preparación de una revisión del acceso de los usuarios a una aplicación
- Creación de una revisión de acceso de grupos o aplicaciones
- Creación de una revisión de acceso de los usuarios en un rol administrativo de Microsoft Entra
- Revisión del acceso a grupos o aplicaciones
- Completar una revisión de acceso de grupos o aplicaciones