Planeación de una implementación de revisiones de acceso de Microsoft Entra
Las revisiones de acceso de Microsoft Entra ayudan a su organización a mantener Enterprise más seguro mediante la administración del ciclo de vida de acceso a los recursos. Las revisiones de acceso permiten:
Programar revisiones periódicas o hacer revisiones ad hoc para descubrir quién tiene acceso a recursos específicos (por ejemplo, aplicaciones y grupos).
Hacer un seguimiento de las revisiones con fines de información, cumplimiento normativo o directivas.
Delegar las revisiones a administradores específicos, propietarios de empresas o usuarios que puedan atestiguar su necesidad de acceso continuado.
Usar la información para determinar eficazmente si los usuarios deben seguir teniendo acceso.
Automatizar los resultados de las revisiones (por ejemplo, eliminar el acceso de los usuarios a los recursos).
Las revisiones de acceso son una funcionalidad de Microsoft Entra ID Governance. Otras funcionalidades son la administración de derechos, la Privileged Identity Management (PIM), flujo de trabajo de ciclo de vida, aprovisionamiento y las condiciones de uso. Juntas, le ayudarán a abordar estas cuatro preguntas:
- ¿Qué usuarios deben tener acceso a qué recursos?
- ¿Qué hacen esos usuarios con el acceso concedido?
- ¿La organización dispone de un sistema de control eficaz para administrar el acceso?
- ¿Los auditores pueden comprobar que los controles funcionan?
Planear la implementación de revisiones de acceso es esencial, pues así podrá garantizar el cumplimiento de la estrategia de gobernanza prevista para los usuarios de su organización.
Ventajas principales
Las principales ventajas de habilitar las revisiones de acceso son:
- Control de la colaboración: las revisiones de acceso permiten administrar el acceso a todos los recursos que necesitan los usuarios. Cuando los usuarios comparten información y colaboran, usted tiene la garantía de que únicamente los usuarios autorizados manejan la información.
- Administración del riesgo: las revisiones de acceso le ofrecen una forma de revisar el acceso a los datos y a las aplicaciones. Así se reduce el riesgo de pérdida o filtración de datos. Además, tiene la capacidad de revisar periódicamente el acceso de los asociados externos a los recursos corporativos.
- Cumplimiento y gobernanza: con las revisiones de acceso, puede regular y volver a certificar el ciclo de vida del acceso a grupos, aplicaciones y sitios. Es posible regular y controlar las revisiones con fines de cumplimiento o para aplicaciones sensibles al riesgo específicas de su organización.
- Reducción del coste: Las revisiones de acceso se crean en la nube y son compatibles de forma nativa con otros recursos en la nube (por ejemplo, grupos, aplicaciones y paquetes de acceso). El uso de revisiones de acceso es más barato que desarrollar herramientas propias o actualizar su conjunto de herramientas local.
Recursos de aprendizaje
Estos vídeos le ayudarán a obtener información sobre las revisiones de acceso:
- ¿Qué son las revisiones de acceso en Microsoft Entra ID?
- Cómo crear revisiones de acceso en Microsoft Entra ID
- Cómo crear revisiones de acceso automáticas para todos los usuarios invitados con acceso a grupos de Microsoft 365 en Microsoft Entra ID
- Cómo habilitar las revisiones de acceso en Microsoft Entra ID
- Cómo revisar el acceso mediante Mi acceso
Licencias
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2. Consulte los artículos de cada capacidad para más información. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.
Nota:
Para crear una revisión del usuario inactivo con recomendaciones de afiliación usuario a grupo requiere una licencia Microsoft Entra ID Governance.
Planeamiento del proyecto de implementación de revisiones de acceso
A la hora de determinar la estrategia de implementación de las revisiones de acceso en su entorno, tenga en cuenta las necesidades de su organización.
Interactuar con las partes interesadas adecuadas
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas y que los roles del proyecto están claros.
En el caso de las revisiones de acceso, probablemente tenga que incluir a representantes de los siguientes equipos de su organización:
Administración de TI: administra la infraestructura de TI y las inversiones de su empresa en la nube, junto con las aplicaciones de software como servicio (SaaS). Este equipo:
- Revisa el acceso con privilegios a la infraestructura y las aplicaciones, incluidos Microsoft 365 y Microsoft Entra ID.
- Programa y ejecuta revisiones de acceso en grupos que se usan para mantener listas de excepciones o en proyectos piloto de TI para mantener las listas de acceso actualizadas.
- Se asegura de que el acceso mediante programación (scripts) a los recursos a través de entidades de servicio se regule y revise.
- Automatice procesos como la incorporación y retirada de usuarios, las solicitudes de acceso y las certificaciones de acceso.
Los equipos de seguridad garantizan que el plan cumpla los requisitos de seguridad de la organización y aplica confianza cero. Este equipo:
- Reduce el riesgo y refuerza la seguridad
- Aplica el acceso con privilegios mínimos a los recursos y las aplicaciones
- Usa herramientas para ver una fuente autoritativa centralizada de quién tiene acceso qué y durante cuánto tiempo.
Equipos de desarrollo: desarrollan y mantienen las aplicaciones para su organización. Este equipo:
- Controla quién puede acceder a los componentes de SaaS y a los recursos de plataforma como servicio (PaaS) y de infraestructura como servicio (IaaS) que componen las soluciones desarrolladas.
- Administra los grupos que tienen acceso a aplicaciones y herramientas para el desarrollo de aplicaciones internas.
- Exige las identidades con privilegios que tienen acceso a software de producción o a soluciones que están hospedadas para sus clientes.
Unidades de negocio: administran proyectos y tienen aplicaciones propias. Este equipo:
- Revisa y aprueba, o bien deniega, el acceso a grupos y aplicaciones para usuarios internos y externos.
- Programa y hace revisiones para atestiguar la necesidad de acceso continuado de empleados e identidades externas (por ejemplo, asociados).
- Necesita que los empleados tengan acceso a las aplicaciones necesarias para su trabajo.
- Permite a los departamentos administrar el acceso de sus usuarios.
Gobernanza corporativa: garantiza que la organización sigue las directivas internas y cumple la normativa. Este equipo:
- Solicita o programa nuevas revisiones de acceso.
- Evalúa los procesos y procedimientos para revisar el acceso (por ejemplo, la documentación y el mantenimiento de registros con fines de cumplimiento).
- Examina los resultados de las revisiones anteriores para los recursos más críticos.
- Valida que se han implementado los controles adecuados para cumplir las directivas obligatorias de seguridad y privacidad.
- Requiere procesos de acceso repetibles que sean fáciles de auditar e informar.
Nota:
Para las revisiones que requieren evaluaciones manuales, hay que disponer de revisores y ciclos de revisión adecuados de acuerdo con sus necesidades de cumplimiento y directivas. Si los ciclos de revisión son demasiado frecuentes, o hay pocos revisores, la calidad podría disminuir. Esto podría llevar a que demasiadas o muy pocas personas tengan acceso. Se recomienda establecer responsabilidades claras para las distintas partes interesadas y departamentos implicados en las revisiones de acceso. Todos los equipos y personas que participan deben comprender sus respectivos roles y obligaciones para mantener el principio de privilegios mínimos.
Planeamiento de las comunicaciones
La comunicación es fundamental para que cualquier nuevo proceso de negocio tenga éxito. Hay que comunicar proactivamente a los usuarios cómo y cuándo cambiará su experiencia. Indíqueles cómo obtener soporte técnico si tienen problemas.
Comunicar cambios que afectan a la rendición de cuentas
Las revisiones de acceso permiten a los propietarios de empresa cambiar la responsabilidad de revisar y tomar medidas en relación con el acceso continuado. Las decisiones sobre el acceso son más precisas al desvincularlas del departamento de TI. Esto supone un cambio cultural en términos de rendición de cuentas y responsabilidad del propietario del recurso. Comunique de forma proactiva este cambio y asegúrese de que los propietarios de recursos estén preparados y capacitados para utilizar la información con el fin de tomar buenas decisiones.
El departamento de TI necesita mantener el control sobre las decisiones de acceso a toda la infraestructura y sobre la asignación de roles con privilegios.
Comunicación personalizada por correo electrónico
Al programar una revisión, hay que designar a los usuarios que se encargarán de hacerla. A continuación, se notifica a estos revisores, por correo electrónico, que tienen nuevas revisiones asignadas. También reciben recordatorios antes de que expire la revisión que tienen asignada.
El correo electrónico enviado a los revisores puede personalizarse para incluir un breve mensaje que les anime a trabajar en la revisión. Use el texto adicional para:
Incluir un mensaje personal para los revisores. Así sabrán que se lo envía el departamento de TI o de cumplimiento.
Incluir una referencia a información interna sobre cuáles son las expectativas de la revisión, junto con material de referencia o aprendizaje adicional.
Después de seleccionar Iniciar revisión, los revisores serán dirigidos al portal Mi acceso para las revisiones de acceso de grupos y aplicaciones. El portal les proporciona una visión general de todos los usuarios que tienen acceso al recurso que están revisando, junto con recomendaciones del sistema basadas en información sobre el último inicio de sesión y acceso.
Planeamiento de un piloto
Se recomienda a los clientes que inicialmente prueben las revisiones de acceso con un grupo pequeño y que se centren en recursos que no sean críticos. La prueba piloto puede ayudar a ajustar los procesos y las comunicaciones según sea necesario. Puede ayudar a aumentar la capacidad de los usuarios y los revisores para cumplir con los requisitos de seguridad y cumplimiento.
Para la prueba piloto, se recomienda lo siguiente:
- Comenzar con revisiones en las que los resultados no se apliquen automáticamente, y que permitan controlar las repercusiones.
- Asegúrese de que todos los usuarios tengan direcciones de correo electrónico válidas en Microsoft Entra ID. Confirmar que reciben la comunicación por correo electrónico para realizar la acción adecuada.
- Tomar nota de cualquier acceso que se haya eliminado como parte de la prueba piloto por si necesita restaurarlo rápidamente.
- Supervisar los registros de auditoría para asegurarse de que todos los eventos se auditan correctamente.
Para más información, consulte los procedimientos recomendados para una prueba piloto.
Introducción a las revisiones de acceso
En esta sección se presentan los conceptos relacionados con las revisiones de acceso que debería conocer antes de planear revisiones.
¿Qué tipos de recursos se pueden revisar?
Después de integrar los recursos de su organización con Microsoft Entra ID (por ejemplo, usuarios, aplicaciones y grupos), se pueden administrar y revisar.
Entre los objetivos típicos de revisión, se incluyen:
- Aplicaciones integradas con Microsoft Entra ID para el inicio de sesión único, como aplicaciones SaaS y de línea de negocio.
- La pertenencia a grupos se sincroniza con Microsoft Entra ID o se crea en Microsoft Entra ID o Microsoft 365, incluido Microsoft Teams.
- Un paquete de acceso que agrupa recursos (por ejemplo, grupos, aplicaciones y sitios) en un único paquete para administrar el acceso.
- Roles de Microsoft Entra ID y roles de recursos de Azure, tal y como se definen en PIM.
¿Quién puede crear y administrar las revisiones de acceso?
El rol administrativo que se necesita para crear, administrar o leer una revisión de acceso depende del tipo de recurso cuya pertenencia se esté revisando. La tabla siguiente muestra los roles necesarios para cada tipo de recurso.
| Tipo de recurso | Crear y administrar revisiones de acceso (creadores) | Leer los resultados de la revisión de acceso |
|---|---|---|
| Grupo o aplicación | Administrador global Administrador de usuarios Administrador de Identity Governance Administrador de roles con privilegios (solo hace revisiones para los grupos de Microsoft Entra ID que puedan tener roles asignados) Propietario del grupo (si lo habilita un administrador) |
Administrador global Lector global Administrador de usuarios Administrador de Identity Governance Administrador de roles con privilegios Lector de seguridad Propietario del grupo (si lo habilita un administrador) |
| Roles de Microsoft Entra | Administrador global Administrador de roles con privilegios |
Administrador global Lector global Administrador de usuarios Administrador de roles con privilegios
Lector de seguridad |
| Roles de recursos de Azure | Administrador de acceso de usuario (para el recurso) Propietario del recurso Roles personalizados con el permiso Microsoft.Authorization/*. |
Administrador de acceso de usuario (para el recurso) Propietario del recurso Lector (para el recurso) Roles personalizados con permisos microsoft.Authorization/*/read. |
| Paquete de acceso | Administrador global Administrador de Identity Governance Propietario del catálogo (para el paquete de acceso) Administrador de paquetes de acceso (para el paquete de acceso) |
Administrador global Lector global Administrador de usuarios Administrador de Identity Governance Propietario del catálogo (para el paquete de acceso) Administrador de paquetes de acceso (para el paquete de acceso) Lector de seguridad |
Para obtener más información, consulte los Permisos del rol de administrador en Microsoft Entra ID.
¿Quién revisará el acceso al recurso?
El creador de la revisión de acceso decide, en el momento de crearla, quién hará la revisión. Esta configuración no se puede cambiar después de que se inicie la revisión. Los revisores se representan mediante:
- Los propietarios de recursos, que son las empresas propietarias del recurso.
- Los delegados, seleccionados de forma individual por el administrador de revisiones de acceso.
- Los usuarios, que atestiguarán su necesidad de acceso continuado.
- Los administradores revisan el acceso de sus informes directos al recurso.
Nota:
Al seleccionar Propietarios de recursos o Administradores, los administradores designan revisores de reserva con los que se contacta si el contacto principal no está disponible.
Al crear una revisión de acceso, los administradores pueden elegir uno o más revisores. Todos los revisores pueden iniciar y llevar a cabo una revisión; y elegir los usuarios que seguirán teniendo acceso a un recurso, o bien eliminarlos.
Componentes de una revisión de acceso
Antes de implementar las revisiones de acceso, debe planear los tipos de revisión relevantes para su organización. Para ello, debe tomar decisiones empresariales en función de lo que desea revisar y las medidas que deberán tomarse con base en esas revisiones.
Para crear una directiva de revisión de acceso, debe disponer de la información siguiente:
¿Cuáles son los recursos que se van a revisar?
¿Qué acceso se va revisar?
¿Con qué frecuencia se debe realizar la revisión?
¿Quién hará la revisión?
- ¿Cómo se le notificará la revisión?
- ¿Cuáles son las escalas de tiempo que se aplicarán a la revisión?
¿Qué medidas automáticas deberían aplicarse en función de la revisión?
- ¿Qué ocurre si el revisor no responde a tiempo?
¿Qué medidas manuales deben aplicarse como consecuencia de los resultados de la revisión?
¿Qué comunicaciones deben enviarse en función de las medidas adoptadas?
Ejemplo de un plan de revisión de acceso
| Componente | Valor |
|---|---|
| Recursos para revisar | Acceso a Microsoft Dynamics. |
| Frecuencia de revisión | Mensual. |
| Quién hace la revisión | Administradores de programas del grupo de negocios de Dynamics. |
| Notificación | El correo electrónico se envía al principio de una revisión al alias Dynamics-Pms. Incluir un mensaje personalizado que motive a los revisores para garantizar su aceptación. |
| Escala de tiempo | 48 horas después de la notificación. |
| Acciones automáticas | Se elimina el acceso a cualquier cuenta que no haya tenido un inicio de sesión interactivo en 90 días. Para ello, quite al usuario del grupo de seguridad dynamics-access. Tome medidas si la revisión no se realiza dentro de la escala de tiempo prevista. |
| Medidas manuales | Si lo desean, los revisores pueden aprobar eliminaciones antes de la medida automatizada. |
Automatización de medidas basadas en las revisiones de acceso
Para automatizar la eliminación de accesos, establezca la opción Aplicar automáticamente los resultados al recurso en Habilitar.
Cuando la revisión esté completa y finalizada, los usuarios que no hayan recibido aprobación del revisor se eliminarán automáticamente del recurso o seguirán con acceso continuado. Esto podría llevarse a cabo con la eliminación de su pertenencia a grupos o de su asignación a aplicaciones. También con la revocación del derecho a obtener un rol con privilegios.
Aceptar recomendaciones
Las recomendaciones se muestran a los revisores como parte de su labor. Señalan el último inicio de sesión de un usuario en la cuenta empresarial o su último acceso a una aplicación. Esta información ayuda a los revisores a tomar la decisión de acceso adecuada. Si se selecciona la opción Aceptar recomendaciones, se aplicarán las recomendaciones de la revisión de acceso. Al final de una revisión de acceso, el sistema aplica estas recomendaciones automáticamente a los usuarios que no hayan sido gestionados por los revisores.
Las recomendaciones se basan en los criterios de la revisión de acceso. Por ejemplo, si la revisión se configura para que elimine el acceso en caso de que no se haya producido un inicio de sesión interactivo durante 90 días, se recomendará eliminar a todos los usuarios que coincidan con esos criterios. Microsoft trabaja continuamente para mejorar las recomendaciones.
Revisión del acceso de usuarios invitados
Se pueden utilizar las revisiones de acceso para revisar y limpiar las identidades de los asociados de organizaciones externas. Configurar una revisión por cada asociado podría satisfacer los requisitos de cumplimiento.
A las identidades externas se les puede conceder acceso a los recursos de la empresa. Pueden ser:
- Agregadas a un grupo.
- Invitadas a Teams.
- Asignadas a una aplicación empresarial o a un paquete de acceso.
- Asignado a un rol con privilegios en Microsoft Entra ID o a una suscripción de Azure.
Para más información, consulte estescript de ejemplo. El script mostrará dónde se usan las identidades externas invitadas a la cuenta empresarial. Puede consultar la pertenencia a grupos, las asignaciones de roles y las asignaciones de aplicaciones del usuario externo en Microsoft Entra ID. El script no mostrará ninguna asignación fuera de Microsoft Entra ID, como la asignación de derechos directos a los recursos de SharePoint, sin utilizar grupos.
Al crear una revisión de acceso para grupos o aplicaciones, podrá permitir que el revisor se centre en Todos los usuarios o que compruebe Solo usuarios invitados. Al seleccionar Solo usuarios invitados, los revisores recibirán una lista específica de las identidades externas de Microsoft Entra ID B2B (colaboración entre negocios) que tienen acceso al recurso.
Importante
Esta lista no incluirá a miembros externos que tengan el atributouserType. Esta lista tampoco incluirá usuarios invitados fuera de la colaboración B2B de Microsoft Entra ID. Un ejemplo son los usuarios que tienen acceso al contenido compartido directamente a través de SharePoint.
Planeamiento de revisiones de acceso para paquetes de acceso
Los paquetes de acceso pueden simplificar enormemente su estrategia de gobernanza y de revisión de acceso. Un paquete de acceso agrupa todos los recursos e incluye el acceso que un usuario necesita para trabajar en un proyecto o hacer sus funciones. Por ejemplo, tal vez desee crear un paquete de acceso que incluya todas las aplicaciones que los desarrolladores de su organización necesitan, o bien todas las aplicaciones a las que los usuarios externos deberían tener acceso. A continuación, un administrador, o un administrador de paquetes de acceso delegado, agrupará los recursos (grupos, aplicaciones y sitios) y los roles que los usuarios necesitan para utilizar esos recursos.
Al crear un paquete de acceso, podrá definir una o varias directivas de paquete de acceso para establecer las condiciones en las que los usuarios pueden solicitar un paquete de acceso, determinar cómo será el proceso de aprobación y especificar la frecuencia con la que un usuario tendrá que volver a solicitar acceso o pedir una revisión de acceso. Las revisiones de acceso se configuran al crear o editar esas directivas de paquete de acceso.
Seleccione la pestaña Ciclo de vida y desplácese hacia abajo hasta Revisiones de acceso.
Planeamiento de revisiones de acceso para grupos
Además de los paquetes de acceso, revisar la pertenencia a los grupos es la forma más eficaz de regular el acceso. Se pueden asignar accesos a los recursos a través de Grupos de seguridad o Grupos de Microsoft 365. Agregue usuarios a esos grupos para obtener acceso.
Un único grupo puede obtener acceso a todos los recursos pertinentes. Se puede asignar acceso al grupo para recursos individuales, o bien a un paquete de acceso que agrupe aplicaciones y otros recursos. Este método permite revisar el acceso al grupo en lugar del acceso de un usuario a cada aplicación.
La pertenencia a grupos pueden revisarla los siguientes perfiles:
- Administradores.
- Propietarios del grupo.
- Usuarios seleccionados, con capacidad de revisión delegada al crear la revisión.
- Miembros del grupo, que atestiguarán su necesidad de acceso.
- Los administradores que revisan el acceso de sus informes directos.
Propiedad del grupo
Los propietarios del grupo revisan la pertenencia porque están mejor calificados para saber quién necesita acceso. La propiedad de los grupos cambia según el tipo de grupo:
Los grupos creados en Microsoft 365 y Microsoft Entra ID tienen uno o más propietarios bien definidos. En la mayoría de los casos, estos propietarios son los revisores idóneos para sus grupos, ya que saben quién debe tener acceso.
Por ejemplo, Microsoft Teams usa grupos de Microsoft 365 como el modelo de autorización subyacente para conceder a los usuarios acceso a los recursos disponibles en SharePoint, Exchange, OneNote u otros servicios de Microsoft 365. El creador del equipo se convierte automáticamente en propietario y debería ser responsable de atestiguar la pertenencia a ese grupo.
Los grupos que se crean manualmente en el Centro de administración de Microsoft Entra o mediante scripting a través de Microsoft Graph no necesitan tener propietarios definidos. Puede definirlos mediante el Centro de administración de Microsoft Entra, en la sección Propietarios del grupo, o a través de Microsoft Graph.
Los grupos que se sincronizan desde una instancia de Active Directory local no pueden tener un propietario en Microsoft Entra ID. Al crear una revisión de acceso para esos grupos, seleccione a las personas más adecuadas para decidir quién debe pertenecer a ellos.
Nota:
Defina directivas empresariales que determinen cómo se crean los grupos para establecer su propiedad y rendición de cuentas de forma clara. Así se podrá revisar periódicamente la pertenencia a estos grupos.
Revisión de la pertenencia a grupos de exclusión en las directivas de acceso condicional
Para obtener información sobre cómo revisar la pertenencia a grupos de exclusión, consulte Uso de las revisiones de acceso de Microsoft Entra para administrar los usuarios excluidos de las directivas de acceso condicional.
Revisión de la pertenencia a grupos de usuarios invitados
Para obtener información sobre cómo revisar el acceso de los usuarios invitados a pertenencias a grupos, consulte Administración del acceso de los invitados con las revisiones de acceso de Microsoft Entra.
Revisión del acceso a grupos locales
Las revisiones de acceso no permiten cambiar la pertenencia a grupos que se sincronicen desde el AD en el entorno local con Microsoft Entra Connect. Esta restricción se debe a que el origen de autoridad de un grupo que se origina en AD es AD local. Para controlar el acceso a las aplicaciones basadas en grupos de AD, use la escritura diferida de grupos de Microsoft Entra Cloud Sync.
Hasta que haya migrado a grupos de Microsoft Entra con reescritura de grupos, puede seguir usando revisiones de acceso para programar y mantener revisiones periódicas de los grupos locales existentes. En este caso, los administradores tomarán medidas en el grupo local después de que se complete cada revisión. Esta estrategia utiliza las revisiones de acceso como una herramienta para todas las revisiones.
Puede usar los resultados de una revisión de acceso en grupos locales y procesarlos aún más. Para ello:
- Descargue el informe CSV de la revisión de acceso y aplique la medida manualmente.
- Utiliza Microsoft Graph para recuperar mediante programación los resultados de decisiones de revisiones de acceso completadas.
Por ejemplo, para recuperar los resultados de un grupo administrado mediante Windows Server AD, utiliza este script de ejemplo de PowerShell. El script describe las llamadas necesarias a Microsoft Graph y exporta los comandos de Windows Server AD PowerShell para hacer los cambios.
Planeamiento de revisiones de acceso para aplicaciones
Al revisar todos los usuarios asignados a la aplicación, está revisando los usuarios, incluidos los empleados y las identidades externas, que pueden autenticarse en esa aplicación mediante su identidad de Microsoft Entra. Lleve a cabo una revisión cuando necesite saber quién tiene acceso a una aplicación específica, en lugar de a un paquete de acceso o a un grupo.
Planifique revisiones para aplicaciones en los escenarios siguientes:
- Los usuarios tienen acceso directo a una aplicación (al margen de un grupo o un paquete de acceso).
- La aplicación expone información crítica o confidencial.
- La aplicación tiene requisitos específicos de cumplimiento que usted debe atestiguar.
- Existen sospechas de acceso inadecuado.
Antes de crear revisiones de acceso para una aplicación, la aplicación debe integrarse con Microsoft Entra ID como una aplicación del inquilino, con los usuarios asignados a los roles de aplicación y la opción ¿Asignación de usuario necesaria? en la aplicación establecida en Sí. Si se establece enNo, todos los usuarios del directorio, incluidas las identidades externas, podrán acceder a la aplicación y usted no podrá revisar el acceso a la aplicación.
A continuación, asigne los usuarios y grupos cuyo acceso quiere que se revise.
Obtenga más información sobre cómo prepararse para una revisión del acceso de los usuarios a una aplicación.
Revisores de una aplicación
Las revisiones de acceso pueden ser para los miembros de un grupo o para los usuarios que fueron asignados a una aplicación. Las aplicaciones de Microsoft Entra ID no necesitan tener un propietario. Esta es la razón por la que no se puede seleccionar al propietario de la aplicación como revisor. El ámbito de una revisión se puede limitar aún más para revisar únicamente a los usuarios invitados asignados a una aplicación, en lugar de revisar todos los accesos.
Planeamiento de la revisión de Microsoft Entra ID y los roles de recursos de Azure
Privileged Identity Management simplifica el modo en que las empresas administran el acceso con privilegios a los recursos de Microsoft Entra ID. El uso de PIM reduce en gran medida la lista de roles con privilegios en Microsoft Entra ID y en recursos de Azure. También aumenta la seguridad general del directorio.
Las revisiones de acceso permiten a los revisores atestiguar si los usuarios todavía necesitan pertenecer a un rol. Al igual que sucede con las revisiones de acceso para los paquetes de acceso, las revisiones de roles en Microsoft Entra y en recursos de Azure se integran en la experiencia de usuario del administrador de PIM.
Revise periódicamente las siguientes asignaciones de roles:
- Administrador global
- Administrador de usuarios
- Administrador de autenticación con privilegios
- Administrador de acceso condicional
- Administrador de seguridad
- Todos los roles de administración del servicio Dynamics y de Microsoft 365
Los roles que se revisan incluyen asignaciones permanentes y elegibles.
En la sección Revisores, seleccione una o más personas para que revisen a todos los usuarios. O bien, puede seleccionar Administrador, para que un administrador revise el acceso de las personas que administran o Miembros (uno mismo) para que los miembros revisen su propio acceso.
Implementación de revisiones de acceso
Después de preparar una estrategia y un plan para revisar el acceso a los recursos integrados con Microsoft Entra ID, implemente y administre las revisiones mediante los siguientes recursos.
Revisión de paquetes de acceso
Para reducir el riesgo de acceso por parte de dispositivos obsoletos, los administradores pueden habilitar revisiones periódicas de los usuarios que tienen asignaciones activas en un paquete de acceso. Siga las instrucciones de los artículos enumerados en la tabla.
| Artículos de procedimientos | Descripción |
|---|---|
| Crear revisiones de acceso | Habilite las revisiones de un paquete de acceso. |
| Hacer revisiones de acceso | Haga revisiones de acceso para otros usuarios asignados a un paquete de acceso. |
| Autorrevisar paquetes de acceso asignado | Haga una autorrevisión de paquetes de acceso asignado. |
Nota:
Los usuarios que, en una autorrevisión, informan de que ya no necesitan acceso, no son eliminados del paquete de acceso inmediatamente. Se les elimina del paquete de acceso cuando la revisión finaliza o si un administrador la detiene.
Revisión de grupos y aplicaciones
Las necesidades de acceso a grupos y aplicaciones para empleados e invitados probablemente cambien a lo largo del tiempo. Para reducir el riesgo asociado a las asignaciones de acceso obsoletas, los administradores pueden crear revisiones de acceso para los miembros de un grupo o para el acceso a aplicaciones. Siga las instrucciones de los artículos enumerados en la tabla.
| Artículos de procedimientos | Descripción |
|---|---|
| Crear revisiones de acceso | Puede crear una o varias revisiones de acceso para los miembros de un grupo o para el acceso a aplicaciones. |
| Hacer revisiones de acceso | Haga una revisión de acceso para los miembros de un grupo o para los usuarios con acceso a una aplicación. |
| Autorrevisión del acceso | Permita que los miembros revisen su propio acceso a un grupo o a una aplicación. |
| Finalización de una revisión de acceso | Visualice una revisión de acceso y aplique los resultados. |
| Tomar medidas para los grupos locales | Use un script de ejemplo de PowerShell para decidir según los resultados de las revisiones de acceso para grupos locales. |
Revisión de los roles de Microsoft Entra
Para reducir el riesgo asociado a las asignaciones de roles obsoletas, revise periódicamente el acceso con privilegios a los roles de recursos de Microsoft Entra.
Siga las instrucciones de los artículos enumerados en la tabla.
| Artículos de procedimientos | Descripción |
|---|---|
| Crear revisiones de acceso | Cree revisiones de acceso para los roles con privilegios de Microsoft Entra en PIM. |
| Autorrevisión del acceso | Si se le ha asignado un rol administrativo, apruebe o deniegue el acceso al rol. |
| Finalización de una revisión de acceso | Visualice una revisión de acceso y aplique los resultados. |
Revisión de roles de los recursos de Azure
Para reducir el riesgo asociado a las asignaciones de roles obsoletas, revise periódicamente el acceso a roles de recursos de Azure con privilegios.
Siga las instrucciones de los artículos enumerados en la tabla.
| Artículos de procedimientos | Descripción |
|---|---|
| Crear revisiones de acceso | Puede crear revisiones de acceso para roles de recursos de Azure con privilegios en PIM. |
| Autorrevisión del acceso | Si se le ha asignado un rol administrativo, apruebe o deniegue el acceso al rol. |
| Finalización de una revisión de acceso | Visualice una revisión de acceso y aplique los resultados. |
Uso de la API de revisiones de acceso
Para interactuar con los recursos revisables y administrarlos, consulte los métodos de Graph API y las comprobaciones de autorización de roles y aplicaciones. Los métodos de revisiones de acceso de Microsoft Graph API están disponibles para contextos de aplicación y usuario. Al ejecutar scripts en el contexto de aplicación, se debe conceder el permiso "AccessReview.Read.All" a la cuenta utilizada para ejecutar la API (la entidad de servicio) para consultar la información sobre revisiones de acceso.
Algunas tareas de revisiones de acceso que se suelen automatizar mediante Microsoft Graph API son:
- Crear e iniciar una revisión de acceso.
- Finalizar manualmente una revisión de acceso antes de la finalización programada.
- Enumerar todas las revisiones de acceso en ejecución e indicar su estado.
- Ver el historial de una serie de revisiones, junto con las decisiones y las medidas tomadas en cada revisión.
- Recopilar las decisiones de una revisión de acceso.
- Recopilar las decisiones de revisiones completadas en las que el revisor tomó una decisión distinta a la recomendada por el sistema.
Al crear consultas de Microsoft Graph API para la automatización, use Graph Explorer para compilar y explorar las consultas de Microsoft Graph antes de colocarlas en scripts y código. Esto puede ayudarle a iterar rápidamente la consulta para que obtenga exactamente los resultados que espera, sin cambiar el código del script.
Supervisión de revisiones de acceso
Las actividades de revisión de acceso se registran y están disponibles en los registros de auditoría de Microsoft Entra. Puede filtrar los datos de auditoría según la categoría, el tipo de actividad y el intervalo de fechas. Esta es una consulta de ejemplo.
| Categoría | Directiva |
|---|---|
| Tipo de actividad | Creación de revisión de acceso |
| Actualizar revisión de acceso | |
| Revisión de acceso finalizada | |
| Eliminación de revisión de acceso | |
| Aprobar decisión | |
| Denegar decisión | |
| Restablecer decisión | |
| Aplicar decisión | |
| Intervalo de fechas | Siete días |
Para consultas y análisis más avanzados de las revisiones de acceso, y para hacer un seguimiento de los cambios y la finalización de las revisiones, exporte los registros de auditoría de Microsoft Entra a Azure Log Analytics o a Azure Event Hubs. Cuando los registros de auditoría se almacenan en Log Analytics, es posible usar el lenguaje de análisis eficaz y crear sus propios paneles.
Pasos siguientes
Más información sobre las siguientes tecnologías relacionadas: