Cambio de la configuración de la información de aprobación y del solicitante para un paquete de acceso en la administración de derechos

Cada paquete de acceso debe tener una o varias directivas de asignación de paquetes de acceso para que se pueda asignar acceso a un usuario. Cuando se crea un paquete de acceso en el Centro de administración de Microsoft Entra, este creará automáticamente la primera directiva de asignación de paquetes de acceso para ese paquete de acceso. La directiva determina quién puede solicitar acceso y quién debe aprobar el acceso.

Como administrador de un paquete de acceso, puede cambiar la configuración de aprobación e información del solicitante para un paquete de acceso en cualquier momento editando una directiva existente o agregando una nueva directiva adicional para solicitar acceso.

En este artículo, se explica cómo se puede modificar la configuración de información de aprobación y del solicitante de un paquete de acceso existente mediante una directiva del paquete de acceso.

Aprobación

En la sección Aprobación, especifique si se requiere una aprobación cuando los usuarios soliciten este paquete de acceso. La configuración de aprobación funciona de la siguiente manera:

• Una solicitud para una aprobación de una sola fase solo debe aprobarla uno de los aprobadores seleccionados o un aprobador de reserva.
• Solo uno de los aprobadores seleccionados de cada fase debe aprobar una solicitud de aprobación en varias fases para que la solicitud avance a la siguiente fase.
• Si uno de los aprobadores seleccionados en una fase deniega una solicitud antes de que otro aprobador de esa fase la apruebe, o si nadie la aprueba, la solicitud termina y el usuario no obtiene acceso.
• El aprobador puede ser un usuario o un miembro de un grupo especificado, el administrador, el patrocinador interno o el patrocinador externo del solicitante en función de para quién rige el acceso la directiva.

Para ver una demostración de cómo agregar aprobadores a una directiva de solicitud, vea el vídeo siguiente:

Para ver una demostración de cómo agregar una aprobación de varias fases a una directiva de solicitud, vea el vídeo siguiente:

Cambio de la configuración de aprobación de un paquete de acceso existente

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Siga estos pasos para especificar la configuración de aprobación de las solicitudes para el paquete de acceso:

Roles requeridos previamente: Administrador global, Administrador de Identity Governance, Propietario del catálogo o Administrador de paquetes de acceso

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

2. Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.

3. En la página Paquetes de acceso, abra un paquete de acceso.

4. Seleccione una directiva para editar o agregar una nueva directiva al paquete de acceso.

   1. Seleccione Directivas y, a continuación, Agregar directiva si desea crear una nueva directiva.
   2. Seleccione la directiva que desee editar y después Editar.

5. Vaya a la pestaña Solicitud.

6. Para requerir la aprobación de las solicitudes de los usuarios seleccionados, establezca el botón de alternancia Requerir aprobación en Sí. O bien, para que las solicitudes se aprueban automáticamente, establezca el botón de alternancia en No. Si la directiva permite a los usuarios externos de fuera de su organización solicitar acceso, debe requerir la aprobación para que haya supervisión sobre quién se agrega al directorio de la organización.

7. Para requerir que los usuarios proporcionen una justificación para solicitar el paquete de acceso, establezca la opción R en Sí.

8. Ahora determine si las solicitudes requerirán la aprobación en una o en varias fases. En Número de fases, indique el número de fases de aprobación necesarias.

   

Siga los pasos que se indican a continuación para agregar aprobadores después de seleccionar el número de fases que requiere:

Aprobación de una sola fase

1. Agregue el Primer aprobador:

   Si la directiva está configurada para regir el acceso de los usuarios en el directorio, puede seleccionar Administrador como aprobador. O bien agregue un usuario específico seleccionando Agregar aprobadores después de Elegir aprobadores específicos en el menú desplegable.

   

   Si esta directiva está configurada para regir el acceso de usuarios que no están en el directorio, puede seleccionar Patrocinador externo o Patrocinador interno. O bien agregue un usuario específico con un clic en Agregar aprobadores o grupos en Elegir aprobadores específicos.

   

2. Si seleccionó Administrador como el primer aprobador, seleccione **Agregar reserva para seleccionar uno o más usuarios o grupos del directorio como aprobadores de reserva. Los aprobadores de reserva reciben la solicitud si la administración de derechos no encuentra al administrador del usuario que solicita el acceso.

   La administración de derechos encuentra al administrador mediante el atributo Manager. El atributo está en el perfil de usuario en Microsoft Entra ID. Para más información, consulte Agregar o actualizar la información de perfil de un usuario usando Microsoft Entra ID.

3. Si seleccionó Elegir aprobadores específicos, elija Agregar aprobadores para seleccionar uno o varios usuarios o grupos del directorio para que sean aprobadores.

4. En el cuadro bajo ¿Dentro de cuántos días es necesario tomar una decisión? , especifique el número de días que un aprobador tiene que revisar una solicitud para este paquete de acceso.

   Si no se aprueba una solicitud durante este período de tiempo, se rechazará automáticamente. El usuario tendrá que enviar otra solicitud para el paquete de acceso.

5. Para requerir que los aprobadores justifiquen su decisión, establezca la opción Requerir justificación del aprobador en Sí.

   La justificación es visible para otros aprobadores y el solicitante.

Aprobación en varias fases

Si ha seleccionado la aprobación en varias fases, debe agregar un aprobador para cada fase adicional.

1. Agregue el Segundo aprobador:

   Si los usuarios están en el directorio, agregue un usuario específico como el segundo aprobador seleccionando Agregar aprobadores en Elegir aprobadores específicos.

   

   Si los usuarios no están en el directorio, seleccione Patrocinador interno o Patrocinador externo como el segundo aprobador. Después de seleccionar el aprobador, agregue los aprobadores de reserva.

   

2. Especifique el número de días que tiene el segundo aprobador para aprobar la solicitud en el cuadro bajo ¿Dentro de cuántos días es necesario tomar una decisión?

3. Establezca el botón de alternancia Requerir justificación del aprobador en Sí o en No.

   También tiene la opción de agregar una fase adicional para tener un proceso de aprobación de tres fases. Por ejemplo, es posible que quiera que el administrador de un empleado sea el aprobador de la primera fase para un paquete de acceso. Sin embargo, uno de los recursos del paquete de acceso contiene información confidencial. En este caso, podría designar al propietario del recurso como un segundo aprobador y a un revisor de seguridad como el tercer aprobador. Esto permite al equipo de seguridad supervisar el proceso y proporciona la capacidad de, por ejemplo, rechazar una solicitud en función de los criterios de riesgo que el propietario del recurso no conoce.

4. Agregue el tercer aprobador:

   Si los usuarios están en el directorio, agregue un usuario específico como el tercer aprobador mediante un clic en Agregar aprobadores en Elegir aprobadores específicos.

   Si los usuarios no están en el directorio, también existe la posibilidad de seleccionar Patrocinador interno o Patrocinador externo como tercer aprobador. Después de seleccionar el aprobador, agregue los aprobadores de reserva.

   Nota

   Al igual que ocurre con la segunda fase, si los usuarios están en su directorio y la opción **Administrador como aprobador** se selecciona en la primera o segunda fase de la aprobación, solo verá una opción para seleccionar aprobadores específicos para la tercera fase de la aprobación.

   Si quiere designar al administrador como tercer aprobador, puede ajustar las selecciones en las fases de aprobación anteriores a fin de asegurarse de que la opción **Administrador como aprobador** no esté seleccionada. Luego, debería ver **Administrador como aprobador** como una opción en la lista desplegable.

   Si los usuarios no están en su directorio y no seleccionó **Patrocinador interno** o **Patrocinador externo** como aprobadores en las fases anteriores, los verá como opciones para el **Tercer aprobador**. De lo contrario, solo podrá seleccionar **Elegir aprobadores específicos**.

5. Especifique la cantidad de días que tiene el tercer aprobador para aprobar la solicitud, en el cuadro debajo de la siguiente pregunta ¿De cuántos días se dispone para tomar una decisión?

6. Establezca el botón de alternancia Requerir justificación del aprobador en Sí o en No.

Aprobadores alternativos

Puede especificar aprobadores alternativos, de forma similar a la especificación de los aprobadores principales que pueden aprobar solicitudes en cada fase. Tener aprobadores alternativos lo ayudará a asegurarse de que las solicitudes se aprueban o deniegan antes de que expiren (tiempo de expiración). Puede enumerar aprobadores alternativos junto con el aprobador principal en cada fase.

Al especificar aprobadores alternativos en una fase, si los aprobadores principales no puedan aprobar ni rechazar la solicitud, se reenvía a los aprobadores alternativos según la programación de reenvío que haya especificado durante la configuración de la directiva. Reciben un correo electrónico para aprobar o denegar la solicitud pendiente.

Después de reenviar la solicitud a los aprobadores alternativos, los aprobadores principales pueden seguir aprobando o denegando la solicitud. Los aprobadores alternativos usan el mismo sitio Mi acceso para aprobar o denegar la solicitud pendiente.

Puede designar personas o grupos como aprobadores y aprobadores alternativos. Asegúrese de que se muestran distintos conjuntos de personas como el primer aprobador, el segundo aprobador y los aprobadores alternativos. Por ejemplo, si ha designado a Alice y Bob como aprobadores en la primera fase, designe a Carol y Dave como aprobadores alternativos. Siga estos pasos para agregar aprobadores alternativos a un paquete de acceso:

1. Debajo del aprobador de una fase, seleccione Mostrar configuración de solicitud avanzada.

   

2. Establezca la opción Si no se toman medidas, ¿quiere realizar el reenvío a los aprobadores alternativos? en Sí.

3. Seleccione Agregar aprobadores alternativos y seleccione los aprobadores alternativos de la lista.

   

   Si selecciona Administrador como aprobador en Primer aprobador, tendrá una opción más, Second level manager as alternate approver (Administrador de segundo nivel como aprobador alternativo), que puede elegir en el campo de aprobador alternativo. Si selecciona esta opción, debe agregar un aprobador de reserva al que reenviar la solicitud en caso de que el sistema no encuentre el administrador de segundo nivel.

4. En el cuadro ¿Dentro de cuántos días quiere realizar el reenvío a los aprobadores alternativos? , escriba el número de días durante los cuales los aprobadores pueden aprobar o denegar una solicitud. Si ningún aprobador ha aprobado o denegado la solicitud en ese período, la solicitud expirará (tiempo de expiración) y el usuario deberá enviar otra solicitud para el paquete de acceso.

   Las solicitudes solo se pueden reenviar a los aprobadores alternativos un día después de que se haya iniciado la solicitud. Para usar la aprobación alternativa, el tiempo de espera de la solicitud debe ser de al menos 4 días.

Habilitación de solicitudes

1. Si quiere que el paquete de acceso esté disponible de inmediato para los usuarios de la directiva de solicitud para que puedan solicitarlo, cambie el conmutador de alternancia Habilitar a Sí.

   Podrá habilitarla en todo momento cuando haya terminado de crear el paquete de acceso.

   Si seleccionó Ninguno (solo para las asignaciones directas del administrador) y establece la habilitación en No, los administradores no podrán asignar directamente este paquete de acceso.

   

2. Seleccione Siguiente.

Recopilación de información adicional del solicitante para su aprobación

Para asegurarse de que los usuarios obtienen acceso a los paquetes de acceso adecuados, puede requerir que los solicitantes respondan a preguntas personalizadas en el campo de texto o de tipo test en el momento de la solicitud. A continuación, se mostrarán a las preguntas a los aprobadores para ayudarles a tomar una decisión.

1. Vaya a la pestaña Requestor information (Información del solicitante) y seleccione la subpestaña Questions (Preguntas).

2. Escriba lo que desea pedir al solicitante, lo cual también se conoce como cadena que se va a mostrar, para la pregunta del cuadro Pregunta.

   

3. Si la comunidad de usuarios que requerirán acceso al paquete de acceso no tienen un idioma preferido común, puede mejorar la experiencia de los usuarios que solicitan acceso en myaccess.microsoft.com. Para mejorar la experiencia, puede proporcionar cadenas de visualización alternativas para diferentes idiomas. Por ejemplo, si el explorador web de un usuario está establecido en español y tiene configuradas cadenas de visualización en español, dichas cadenas se mostrarán al usuario solicitante. Para configurar la localización de las solicitudes, seleccione Agregar localización.

   1. En el panel Add localizations for question (Agregar traducciones para la pregunta), seleccione el código de idioma para el idioma en el que va a traducir la pregunta.
   2. En el idioma configurado, escriba la pregunta en el cuadro Localized Text (Texto traducido).
   3. Una vez que haya agregado todas las localizaciones necesarias, seleccione Save (Guardar).

   

4. Seleccione el formato de respuesta en el que desea que los solicitantes respondan. Entre los formatos de respuesta se incluyen: Texto breve, Varias opciones y Texto largo.

   

5. Si elige Varias opciones, seleccione el botón Editar y localizar para configurar las opciones de respuesta.

   1. Al seleccionar la opción Ver y editar, se abre el panel View/edit question (Ver o editar pregunta).
   2. Escriba las opciones de respuesta que desea dar al solicitante al responder a la pregunta de los cuadros Answer values (Valores de respuesta).
   3. Escriba tantas respuestas como sea necesario.
   4. Si quiere agregar su propia traducción para las opciones de las preguntas de tipo test, seleccione el código de idioma opcional para el idioma al que desea traducir una opción específica.
   5. En el idioma que ha configurado, escriba la opción en el cuadro Localized Text (Texto traducido).
   6. Cuando haya agregado todas las traducciones necesarias para cada opción, seleccione Guardar.

   

6. Si desea incluir una comprobación de la sintaxis para las respuestas del cuadro de texto a preguntas, también puede especificar un patrón regex personalizado.
   Si desea incluir una comprobación de la sintaxis para las respuestas del cuadro de texto a preguntas, también puede especificar un patrón regex personalizado.

7. Para requerir a los solicitantes que respondan esta pregunta al solicitar acceso a un paquete de acceso, seleccione la casilla situada debajo de Required (Obligatorio).

8. Rellene las pestañas restantes (por ejemplo, Ciclo de vida) en función de sus necesidades.

Una vez que haya configurado la información del solicitante en la directiva del paquete de acceso, podrá ver las respuestas del solicitante a las preguntas. Si desea obtener instrucciones para ver la información del solicitante, consulte Visualización de las respuestas del solicitante a las preguntas (versión preliminar).

Pasos siguientes

• Cambiar la configuración del ciclo de vida de un paquete de acceso
• Ver las solicitudes de un paquete de acceso