Compartir a través de


Creación de una revisión de acceso de los grupos y las aplicaciones en Microsoft Entra ID

El acceso a los grupos y las aplicaciones para empleados e invitados cambia a lo largo del tiempo. Para reducir el riesgo asociado a las asignaciones de acceso obsoletas, los administradores pueden usar Microsoft Entra ID para crear revisiones de acceso para los miembros de un grupo o para el acceso a aplicaciones.

Los propietarios de grupos de seguridad y Microsoft 365 también pueden usar el Microsoft Entra ID para crear revisiones de acceso para los miembros del grupo siempre y cuando un usuario con al menos el rol Administrador de gobernanza de identidades habilite la configuración a través del panel Configuración de revisiones de acceso. Para obtener más información sobre estos escenarios, consulta Administrar revisiones de acceso.

Vea un breve vídeo en el que se habla sobre cómo habilitar las revisiones de acceso.

En este artículo se describe cómo crear una o varias revisiones de acceso para el acceso de los miembros de un grupo o aplicación.

Requisitos previos

  • Microsoft Entra ID. P2 o licencias de Microsoft Entra ID Governance.
  • La creación de una revisión del usuario inactivo o con recomendaciones de afiliación usuario a grupo, requiere una licencia Gobierno de Microsoft Entra ID.
  • Administrador global o Administrador de la gobernanza de identidades para crear revisiones en grupos o aplicaciones.
  • Los usuarios deben ser al menos un administrador de roles con privilegios para crear revisiones en grupos a los que se pueden asignar roles. Para más información, consulte Uso de los grupos de Microsoft Entra para administrar la asignación de roles.
  • Microsoft 365 y el propietario del grupo de seguridad.

Para obtener más información, consulte Requisitos de licencia.

Nota

Siguiendo el acceso de privilegio mínimo, recomendamos usar el rol de Administrador de Gobernanza de Identidades.

Si está revisando el acceso a una aplicación, consulte el artículo sobre cómo prepararse para una revisión del acceso de los usuarios a una aplicación antes de crear la revisión para asegurarse de que la aplicación esté integrada en Microsoft Entra ID en su inquilino.

Nota

Las revisiones de acceso capturan una instantánea del acceso al principio de cada instancia de revisión. Los cambios realizados durante el proceso de revisión se reflejarán en el ciclo de revisión posterior. Básicamente, con el inicio de cada nueva periodicidad, se recuperan los datos pertinentes sobre los usuarios, los recursos que se revisan y sus respectivos revisores.

Nota

En una revisión de grupo, los grupos anidados se aplanarán automáticamente, por lo que los usuarios de grupos anidados aparecerán como usuarios individuales. Si un usuario está marcado para su eliminación debido a su pertenencia a un grupo anidado, no se quitará automáticamente del grupo anidado, sino solo de la pertenencia directa a grupos.

Creación de una revisión de acceso de una sola fase

Ámbito

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobierno de identidades>Revisiones de acceso.

  3. Seleccione Nueva revisión de acceso para crear una nueva revisión de acceso.

    Captura de pantalla que muestra el panel Revisiones de acceso en Identity Governance.

  4. En el cuadro Seleccione qué revisar, seleccione el recurso que desea revisar.

    Captura de pantalla que muestra la creación de una revisión de acceso.

  5. Si seleccionó Grupos y equipos, tiene dos opciones:

    • All Microsoft 365 groups with guest users (Todos los grupos de Microsoft 365 con usuarios invitados): seleccione esta opción si quiere crear revisiones periódicas de todos los usuarios invitados en todos los grupos de Microsoft Teams y Microsoft 365 de su organización. No se incluyen los grupos dinámicos ni los grupos a los que se puedan asignar roles. Puede elegir excluir determinados grupos haciendo clic en Seleccionar grupo(s) para excluir.

    • Select Teams + groups (Seleccionar equipos y grupos): seleccione esta opción si desea especificar un conjunto finito de equipos o grupos para revisar. A la derecha aparece una lista de grupos entre los que elegir.

      Captura de pantalla que muestra la selección de equipos y grupos.

  6. Si seleccionó Aplicaciones, puede seleccionar una o más aplicaciones.

    Captura de pantalla que muestra la interfaz que aparece si seleccionó aplicaciones en lugar de grupos.

Nota

La selección de varios grupos o aplicaciones da como resultado la creación de varias revisiones de acceso. Por ejemplo, si selecciona cinco grupos para revisar, obtendrá cinco revisiones de acceso independientes.

  1. Ahora puede seleccionar un ámbito para la revisión. Tendrá las siguientes opciones:

    • Solo usuarios invitados: esta opción limita la revisión del acceso a solo los usuarios invitados de Microsoft Entra B2B en el directorio.
    • Todos: al seleccionar esta opción, se establece el ámbito de la revisión de acceso en todos los objetos de usuario asociados al recurso.

    Nota

    Si seleccionó All Microsoft 365 groups with guest users (Todos los grupos de Microsoft 365 con usuarios invitados), su única opción es revisar Solo usuarios invitados.

  2. O bien, si va a realizar una revisión de pertenencia a grupos, puede crear revisiones de acceso solo para usuarios inactivos en el grupo. En la sección Ámbito de usuarios, active la casilla que hay junto a Usuarios inactivos (en el nivel de inquilino). Si activa esta casilla, el ámbito de la revisión se centra solo en los usuarios inactivos. Es decir, quienes no hayan iniciado sesión en el inquilino ni de forma interactiva ni de forma no interactiva. Después, especifique un valor para Días sin actividad de varios días hasta 730 días (dos años). Los usuarios del grupo inactivos durante el número de días especificado son los únicos usuarios de la revisión.

    Nota

    Los usuarios creados recientemente no se ven afectados al configurar el tiempo de inactividad. La revisión de acceso comprobará si un usuario se ha creado en el período de tiempo configurado e ignora a los usuarios que no han existido durante al menos esa cantidad de tiempo. Por ejemplo, si establece el tiempo de inactividad como 90 días y un usuario invitado se creó o invitó hace menos de 90 días, el usuario invitado no estará en el ámbito de la revisión de acceso. Esto garantiza que un usuario pueda iniciar sesión al menos una vez antes de quitarse.

  3. Seleccione Siguiente: Revisiones.

Siguiente: Revisiones

  1. Puede crear una revisión de una sola fase o de varias fases. Para crear una revisión de una sola fase, continúe leyendo. Para crear una revisión de acceso de varias fases, siga los pasos que se describen en Creación de una revisión de acceso de varias fases

  2. En la sección Especificar revisores, en el cuadro Seleccionar revisores, seleccione uno o más usuarios para tomar decisiones en las revisiones de acceso. Puede elegir entre:

    • Group owner(s) (Propietario[s] del grupo): esta opción solo está disponible al realizar una revisión en un equipo o grupo.
    • Grupos o usuarios seleccionados
    • Revisión del propio acceso por parte de los usuarios
    • Administradores de usuarios

    Si elige Administradores de usuarios o Group owner(s) (Propietario(s) del grupo) también puede especificar un revisor de reserva. Se pide a los revisores de reserva que hagan una revisión cuando el usuario no tiene ningún administrador especificado en el directorio o si el grupo no tiene un propietario.

    Nota

    En una revisión de acceso de grupo o equipo, solo los propietarios del grupo (en el momento en que se inicia una revisión) se consideran revisores. Durante el transcurso de una revisión, si la lista de propietarios del grupo se actualiza, los nuevos propietarios del grupo no se considerarán revisores, y los antiguos propietarios del grupo seguirán considerándose revisores. Sin embargo, en el caso de una revisión periódica, los cambios en la lista de propietarios del grupo se considerarán en la siguiente instancia de esa revisión.

    Importante

    Para las revisiones de acceso de PIM para grupos (versión preliminar), al seleccionar el propietario del grupo como revisor, es obligatorio asignar al menos un revisor de reserva. La revisión solo asignará como revisores a propietarios que estén activos. No se incluyen los propietarios elegibles. Si no hay propietarios activos cuando comience la revisión, el revisor o revisores de reserva se asignarán a la revisión.

    Captura de pantalla que muestra Nueva revisión de acceso.

  3. En la sección Especificación de la periodicidad de la revisión, especifique las siguientes selecciones:

    • Duration (in days) (Duración [en días]): el tiempo durante el cual se abrirá una revisión para la entrada de los revisores.

    • Fecha de inicio: la fecha en la cual comienza una serie de revisiones.

    • Fecha de finalización: la fecha en la cual finaliza una serie de revisiones. Puede especificar que Nunca termine. O puede seleccionar End on a specific date (Finalizar en una fecha específica) o End after number of occurrences (Finalizar tras un número determinado de instancias).

      Captura de pantalla que muestra la frecuencia con la que se debe producir la revisión.

  4. Seleccione Siguiente: Configuración.

Nota

Al crear una revisión de acceso, puedes especificar la fecha de inicio, pero la hora de inicio puede variar unas horas en función del procesamiento del sistema. Por ejemplo, si creas una revisión de acceso a las 03:00 UTC del 09/09 que se establece para ejecutarse el 12/09, la revisión se programará para ejecutarse a las 03:00 UTC en la fecha de inicio, pero podría retrasarse debido al procesamiento del sistema.

Puedes especificar la fecha de inicio, pero la hora de inicio puede variar unas horas en función del procesamiento del sistema.

Siguiente: Configuración

  1. En la sección Configuración de finalización puede especificar lo que sucede una vez finalizada la revisión.

    Captura de pantalla que muestra la configuración de finalización.

    • Auto apply results to resource (Aplicar resultados automáticamente al recurso): seleccione esta casilla si desea que el acceso de los usuarios denegados se quite automáticamente una vez que finalice la duración de la revisión. Si la opción está deshabilitada, debe aplicar manualmente los resultados cuando finalice la revisión. Para obtener más información sobre la aplicación de los resultados de la revisión, consulte Administración de las revisiones de acceso.

    • Si los revisores no responden: utilice esta opción para especificar lo que ocurre con los usuarios a quienes no ha revisado ningún revisor dentro del período de revisión. Esta configuración no afecta a los usuarios revisados por un revisor. La lista desplegable muestra las siguientes opciones:

      • Sin cambios: deja el acceso del usuario sin cambios.
      • Quitar acceso: quita el acceso del usuario.
      • Aprobar acceso: aprueba el acceso del usuario.
      • Aceptar recomendaciones: acepta la recomendación del sistema sobre la denegación o aprobación del acceso continuo del usuario.

      Advertencia

      Si la configuración Si los revisores no responden se establece en Quitar acceso o Aceptar recomendaciones y la opción Aplicar automáticamente los resultados al recurso está habilitada, todo el acceso a este recurso podría conllevar el riesgo de revocarse si los revisores no responden.

    • Acción para aplicar a los usuarios invitados denegados: esta opción solo está disponible si la revisión de acceso tiene como ámbito incluir solo a los usuarios invitados, para especificar lo que les sucede a los usuarios invitados si los deniega un revisor o si los revisores no responden.

      • Remove user's membership from the resource (Eliminar la pertenencia del usuario del recurso): esta opción elimina el acceso del usuario denegado al grupo o a la aplicación que se está revisando. Todavía pueden iniciar sesión en el inquilino y no perderán ningún otro acceso.
      • Impedir que el usuario inicie sesión durante 30 días y, a continuación, quitar al usuario del inquilino: esta opción impide que los usuarios denegados puedan iniciar sesión en el inquilino, independientemente de si tienen acceso a otros recursos. Si esta acción se ha realizado por error, los administradores pueden volver a habilitar el acceso del usuario invitado en un plazo de 30 días después de que se haya deshabilitado el usuario invitado. Si transcurridos 30 días no se ha realizado ninguna acción en los usuarios invitados deshabilitados, se eliminarán del inquilino.

    Para obtener más información sobre los procedimientos recomendados para eliminar los usuarios invitados que ya no tienen acceso a los recursos de su organización, consulte Uso de Microsoft Entra ID Governance para revisar y eliminar usuarios externos que ya no tienen acceso a los recursos.

    Nota

    La acción que se aplicará a los usuarios invitados denegados no se puede configurar en las revisiones cuyo ámbito es superior al de los usuarios invitados. Tampoco se puede configurar para las revisiones de todos los grupos de Microsoft 365 con usuarios invitados. Cuando no se puede configurar, la opción predeterminada de quitar la pertenencia de un usuario del recurso se usa con los usuarios denegados.

  2. Use Al finalizar la revisión, enviar una notificación a para enviar notificaciones a otros usuarios o grupos con actualizaciones de finalización. Esta característica permite que partes interesadas que no sean el creador de la revisión reciban actualizaciones sobre el progreso de la revisión. Para usar esta característica, elija Seleccionar usuarios o grupos y agregue un usuario o grupo adicional para el quiera recibir el estado de finalización.

  3. En la sección Habilitar asistentes para la toma de decisiones de revisión, elija si desea que el revisor reciba recomendaciones durante el proceso de revisión:

    1. Si selecciona No sign-in within 30 days, se recomendarán para su aprobación los usuarios que hayan iniciado sesión en los 30 días anteriores. Se recomienda denegar a los usuarios que no hayan iniciado sesión durante los últimos 30 días. Este intervalo de 30 días es independiente de si los inicios de sesión eran interactivos o no. La última fecha de inicio de sesión para el usuario especificado también se mostrará junto con la recomendación.
    2. Si selecciona Afiliación de usuario a grupo, los revisores reciben la recomendación de Aprobar o Denegar el acceso a los usuarios en función de la distancia media del usuario en la estructura de informes de la organización. Los usuarios que estén alejados de todos los demás usuarios del grupo se considera que tienen "baja afiliación" y obtendrán una recomendación de denegación en las revisiones de acceso del grupo.

    Nota

    Si va a crear una revisión de acceso basada en aplicaciones, las recomendaciones se basarán en el período de intervalo de 30 días en función de cuándo haya iniciado sesión el usuario por última vez en la aplicación en lugar del inquilino.

    Captura de pantalla que muestra las opciones disponibles en Enable reviewer decision helpers.

  4. En la sección Configuración avanzada puede elegir lo siguiente:

    • Justificación necesaria: seleccione esta casilla para solicitar al revisor que proporcione un motivo para la aprobación o rechazo.

    • Notificaciones de correo: seleccione esta casilla para que Microsoft Entra ID envíe notificaciones de correo electrónico a los revisores cuando se inicia una revisión de acceso y a los administradores cuando se complete.

    • Recordatorios: seleccione esta casilla para que Microsoft Entra ID envíe recordatorios de revisiones de acceso en curso a todos los revisores. Los revisores reciben los recordatorios a la mitad de la revisión, independientemente de si han terminado su revisión o no.

    • Additional content for reviewer email (Contenido adicional para el correo del revisor): el contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de la revisión, el nombre del recurso y la fecha de vencimiento. Si necesita comunicar más información, puede especificar detalles como instrucciones o información de contacto en el cuadro. La información que escriba se incluirá en la invitación y los correos electrónicos de recordatorio enviados a los revisores asignados. La sección resaltada en la siguiente imagen muestra dónde aparece esta información.

      Captura de pantalla que muestra contenido adicional para los revisores.

  5. Seleccione Siguiente: Revisar y crear.

    Captura de pantalla que muestra la pestaña Revisar y crear.

Siguiente: Revisar y crear

  1. Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.

  2. Revise la información y seleccione Crear.

Creación de una revisión de acceso de varias fases

Una revisión de varias fases permite al administrador definir dos o tres conjuntos de revisores para completar una revisión una tras otra. En una revisión de una sola fase, todos los revisores toman una decisión dentro del mismo período, y la decisión que se aplica es la que toma el último revisor. En una revisión de varias fases, cada revisor perteneciente a dos o tres conjuntos independientes de revisores toman una decisión dentro de su propia fase. Las fases son secuenciales y la siguiente fase no se produce hasta que se registra una decisión en la fase anterior. Las revisiones de varias fases se pueden usar para reducir la carga a los revisores de fases posteriores, permitir la escalación de revisores o hacer que grupos independientes de revisores acepten las decisiones.

Nota

Los datos de los usuarios incluidos en las revisiones de acceso de varias fases forman parte del registro de auditoría al principio de la revisión. Los administradores pueden eliminar los datos en cualquier momento mediante la eliminación de la serie de revisiones de acceso de varias fases. Para obtener información general sobre RGPD y la protección de los datos de los usuarios, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.

  1. Cuando haya seleccionado el recurso y ámbito de la revisión, pase a la pestaña Revisiones.

  2. Seleccione la casilla situada junto a Revisión de varias fases.

  3. En First stage review (Revisión de la primera fase), seleccione los revisores en el menú desplegable situado junto a Seleccionar revisores.

  4. Si selecciona Propietarios del grupo o Administradores de usuarios, tiene la opción de agregar un revisor de reserva. Para agregar una reserva, elija Seleccionar revisores de reserva y agregue los usuarios que desea que sean revisores de reserva.

    Captura de pantalla que muestra la revisión de varias fases habilitada y las opciones disponibles.

  5. Agregue la duración de la primera fase. Para agregar la duración, escriba un número en el campo situado junto a Stage duration (in days) (Duración de la fase (en días)). Se trata del número de días que desea que la primera fase esté abierta a los revisores de la primera fase para tomar decisiones.

  6. En Second stage review (Revisión de la segunda fase), seleccione los revisores en el menú desplegable situado junto a Seleccionar revisores. Se pedirá a estos revisores que revisen una vez que se agote el tiempo de la revisión de la primera fase.

  7. Agregue revisores de reserva si es necesario.

  8. Agregue la duración de la segunda fase.

  9. De forma predeterminada, verá dos fases durante el proceso de creación de una revisión de varias fases. Sin embargo, puede agregar hasta tres fases. Si desea agregar una tercera fase, seleccione el botón + Agregar una fase y complete los campos necesarios.

  10. Puede decidir permitir que los revisores de la 2ª y 3ª fase vean las decisiones tomadas en las fases anteriores. Si desea permitirles ver las decisiones tomadas anteriormente, seleccione la casilla situada junto a Mostrar las decisiones de la(s) etapa(s) anterior(es) a los revisores de fases posteriores en Mostrar resultados de revisión. Deje la casilla desactivada para deshabilitar esta configuración si desea que los revisores revisen de forma independiente.

    Captura de pantalla que muestra la duración y la configuración de fases anteriores habilitada para la revisión de varias fases.

  11. La duración de cada periodicidad se establece en la suma de los días de duración que ha especificado en cada fase.

  12. Especifique Periodicidad de la revisión, Fecha de inicio y Fecha de finalización para la revisión. El tipo de periodicidad debe ser al menos siempre que la duración total de la periodicidad (es decir, la duración máxima de una periodicidad de revisión semanal es de 7 días).

  13. Para especificar qué revisiones seguirán realizándose de fase en fase, seleccione una o varias de las siguientes opciones junto a Especificar revisión para pasar a la siguiente fase: Captura de pantalla que muestra la configuración de especificación de revisión y las opciones para la revisión de varias fases.

    1. Revisiones aprobadas: solo las revisiones que se aprobaron pasan a las fases siguientes.
    2. Revisiones denegadas: solo las revisiones que se denegaron pasan a las fases siguientes.
    3. Revisiones no revisadas: solo las revisiones que no se hayan revisado pasarán a las fases siguientes.
    4. Revisiones marcadas como "Desconocidas": solo las revisiones marcadas como "Desconocidas" pasan a las fases siguientes.
    5. Todo: todos los usuarios pasan a la siguiente fase si desea que todas las fases de revisores tomen una decisión.
  14. Continúe con la pestaña Configuración y finalice el resto de la configuración y cree la revisión. Siga las instrucciones de Siguiente: Configuración.

Incorporación de usuarios y equipos de conexión directa B2B que acceden a canales compartidos de Teams en las revisiones de acceso

Puede crear revisiones de acceso para usuarios de conexión directa B2B a través de canales compartidos en Microsoft Teams. A medida que colabora externamente, puede usar las revisiones de acceso externo de Microsoft Entra para asegurarse de que el acceso externo a los canales compartidos permanece al día. Los usuarios externos de los canales compartidos se denominan usuarios de conexión directa B2B. Para más información sobre los canales compartidos de Teams y los usuarios de conexión directa B2B, lea el artículo B2B Direct Connect.

Al crear una revisión de acceso en un equipo con canales compartidos, los revisores pueden revisar la necesidad continua de acceso de esos usuarios externos y Teams en los canales compartidos. Puede revisar el acceso de los usuarios de B2B Connect y otros usuarios de colaboración B2B admitidos y usuarios internos que no son B2B en la misma revisión.

Nota

Actualmente, los equipos y usuarios de conexión directa de B2B solo se incluyen en las revisiones de una sola fase. Si las revisiones de varias fases están habilitadas, los equipos y usuarios de Conexión directa B2B no se incluirán en la revisión de acceso.

Los usuarios y equipos de B2B Direct Connect se incluyen en las revisiones de acceso del grupo Microsoft 365 habilitado para Teams B2B del que forman parte los canales compartidos. Para crear la revisión, debe tener al menos el rol administrador de usuarios o Administrador de gobernanza de identidades.

Siga estas instrucciones para crear una revisión de acceso en un equipo con canales compartidos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobierno de identidades>Revisiones de acceso.

  3. Seleccione Nueva revisión de acceso.

  4. Seleccione Equipos y grupos y, después, elija Seleccionar equipos y grupos para establecer el ámbito de revisión. Los equipos y los usuarios de las características de conexión directa B2B no se incluyen en las revisiones de Todos los grupos de Microsoft 365 con usuarios invitados.

  5. Seleccione un equipo que tenga canales compartidos con 1 o más usuarios de conexión directa B2B o Teams.

  6. Establezca el ámbito.

    Captura de pantalla que muestra cómo configurar el ámbito de revisión para la revisión de canales compartidos.

    • Elija Todos los usuarios para que incluya:
      • Todos los usuarios internos
      • Los usuarios de colaboración B2B que son miembros del equipo
      • Usuarios de conexión directa B2B
      • Equipos que tienen acceso a canales compartidos
    • O bien, elija Solo usuarios invitados para incluir solo a usuarios de conexión directa B2B y usuarios de colaboración B2B.
  7. Continúe en la pestaña Revisiones. Seleccione un revisor para completar la revisión y, después, especifique la duración y la periodicidad de la revisión.

    Nota

    • Si establece Seleccionar revisores en Revisión del propio acceso por parte de los usuarios o a Administradores de usuarios, los usuarios directos de B2B y Teams no podrán revisar su propio acceso en el inquilino. El propietario del equipo en revisión recibirá un correo electrónico que le pide al propietario que revise el usuario de conexión directa B2B y Teams.
    • Si selecciona Administradores de usuarios, un revisor de reserva seleccionado revisará cualquier usuario sin un administrador en el inquilino principal. Esto incluye usuarios de conexión directa B2B y Teams sin un administrador.
  8. Vaya a la pestaña Configuración y configure las opciones adicionales. Después, vaya a la pestaña Revisar y crear para iniciar la revisión de acceso. Para obtener información más detallada sobre cómo crear una revisión y las opciones de configuración, consulte nuestra revisión para la creación de una revisión de acceso de una sola fase.

Autorizar a los propietarios de grupos para crear y administrar revisiones de acceso de sus grupos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobierno de identidades>Revisiones de acceso>Configuración.

  3. En la página Delegado que puede crear y administrar revisiones de acceso, establezca la opción Los propietarios del grupo pueden crear y administrar las revisiones de acceso de los grupos que poseen en .

    Captura de pantalla que muestra cómo permitir que los propietarios del grupo revisen.

    Nota

    De forma predeterminada, esta opción está establecida en No. Para permitir que los propietarios de grupos creen y administren revisiones de acceso, cambie el valor a Yes (Sí).

Creación de una revisión de acceso programada

También puedes crear una revisión de acceso mediante Microsoft Graph o PowerShell.

Para crear una revisión de acceso mediante Graph, llama a la API de Graph para crear una definición de programación de revisión de acceso. El autor de la llamada debe ser un usuario en un rol adecuado con una aplicación que tenga el permiso delegado AccessReview.ReadWrite.All o una aplicación con el permiso de aplicación AccessReview.ReadWrite.All. Para obtener más información, consulte la Información general sobre las API de revisiones de acceso y los tutoriales sobre cómo revisar los miembros de grupos de seguridad o revisar invitados en grupos de Microsoft 365.

Puedes crear una revisión de acceso en PowerShell con el cmdlet New-MgIdentityGovernanceAccessReviewDefinition de los cmdlets de PowerShell de Microsoft Graph para el módulo Identity Governance. Para obtener más información, vea los ejemplos.

Cuando se inicia una revisión de acceso

Después de especificar la configuración de una revisión de acceso y crearla, la revisión de acceso aparece en la lista con un indicador de su estado.

Captura de pantalla que muestra una lista de revisiones de acceso y su estado.

De forma predeterminada, Microsoft Entra ID envía un correo electrónico a los revisores poco después de que se inicie una revisión única o la periodicidad de una revisión periódica. Si decide que Microsoft Entra ID no envíe el correo electrónico, asegúrese de informar a los revisores de que hay una revisión de acceso esperando para que la lleven a cabo. Puede mostrarles las instrucciones sobre cómo revisar el acceso a grupos o aplicaciones. Si la revisión es para que los invitados revisen su propio acceso, muéstreles las instrucciones sobre cómo revisar su propio acceso a los grupos o aplicaciones.

Si ha asignado invitados como revisores y estos no han aceptado su invitación al inquilino, no recibirán un correo electrónico de las revisiones de acceso. Primero deben aceptar la invitación antes de empezar a revisar.

Actualización de la revisión de acceso

Una vez iniciadas una o varias revisiones de acceso, puede modificar o actualizar la configuración de las revisiones de acceso existentes. Estos son algunos escenarios comunes que se deben tener en cuenta:

  • Update settings or reviewers (Actualizar valores o revisores): si una revisión de acceso es periódica, habrá valores independientes en Actual y en Serie. La actualización de los valores o los revisores en Actual solo aplica cambios a la revisión de acceso actual. Al actualizar los valores en Serie, se actualiza la configuración de todas las periodicidades futuras.

    Captura de pantalla que muestra la actualización de los valores de revisión de acceso.

  • Add and remove reviewers (Agregar y quitar revisores): al actualizar las revisiones de acceso, puede optar por agregar un revisor de reserva, además del revisor principal. Es posible que los revisores principales se eliminen al actualizar una revisión de acceso. Los revisores de reserva no se pueden eliminar por diseño.

    Nota

    Solo se pueden agregar revisores de reserva cuando el tipo de revisor es administrador o propietario de grupo. Los revisores principales se pueden agregar cuando el tipo de revisor es un usuario seleccionado.

  • Remind the reviewers (Recordar a los revisores): al actualizar las revisiones de acceso, puede optar por habilitar la opción Recordatorios en Configuración avanzada. Los usuarios reciben una notificación por correo electrónico a la mitad del período de revisión, independientemente de si han finalizado la revisión o no.

    Captura de pantalla que muestra el recordatorio a los revisores.

Nota

Una vez iniciada la revisión de acceso, puede usar la llamada API contactedReviewers para ver la lista de todos los revisores a los que se ha notificado, o a los que se notificaría si las notificaciones están desactivadas, por correo electrónico para una revisión de acceso. También se proporcionan las marcas de tiempo de cuándo se notificó a estos usuarios.

Pasos siguientes