Tutorial: Administración del acceso a los recursos en la administración de derechos

  • Artículo

Administrar el acceso a todos lol recursos que necesitan los empleados, como grupos, aplicaciones y sitios, es una función importante en las organizaciones. Querrá conceder a los empleados el nivel de acceso correcto que necesitan para ser productivos y eliminar su acceso cuando ya no se precise.

En este tutorial, trabajará para Woodgrove Bank como administrador de TI. Le han pedido que cree un paquete de recursos para una campaña de marketing que los usuarios internos puedan usar para realizar solicitudes de autoservicio. Las solicitudes no requerirán aprobación y el acceso del usuario expirará al cabo de 30 días. En este tutorial, los recursos de la campaña de marketing son simplemente la pertenencia a un único grupo, pero podrían ser una colección de grupos, aplicaciones o sitios de SharePoint Online.

Diagram that shows the scenario overview.

En este tutorial, aprenderá a:

  • Crear un paquete de acceso con un grupo como recurso
  • Permitir que un usuario del directorio solicite acceso
  • Demostrar cómo un usuario interno puede solicitar el paquete de acceso

Para ver una demostración paso a paso del proceso de implementación de la administración de derechos de Microsoft Entra, incluida la creación de su primer paquete de acceso, vea el siguiente video:

El resto de este artículo usa el centro de administración de Microsoft Entra para configurar y demostrar la administración de derechos.

Requisitos previos

Para usar la administración de derechos, debe tener una de las licencias siguientes:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Licencia de Enterprise Mobility + Security (EMS) E5

Para obtener más información, consulte Requisitos de licencia.

Paso 1: Configuración de usuarios y grupos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Un directorio de recurso tiene uno o más recursos para compartir. En este paso, creará un grupo denominado Recursos de marketing en el directorio de Woodgrove Bank que es el recurso de destino de la administración de derechos. También configurará un solicitante interno.

Requisitos previos de rol: Administrador global o Administrador de Identity Governance

Diagram that shows the users and groups for this tutorial.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.

  3. Creación de dos usuarios. Use los siguientes nombres u otros diferentes.

    Nombre Rol del directorio
    Admin1 Administrador global o administrador de Identity Governance. Este usuario puede ser el usuario con el que ha iniciado sesión.
    Solicitante1 User

  4. Cree un grupo de seguridad de Microsoft Entra llamado Recursos de marketing con el tipo de pertenencia Asignado. Este grupo es el recurso de destino para la administración de derechos. El grupo debe estar vacío para comenzar.

Paso 2: Creación de un paquete de acceso

Un paquete de acceso es un conjunto de recursos que un equipo o proyecto necesita y se rige por directivas. Los paquetes de acceso se definen en contenedores llamados catálogos. En este paso, creará un paquete de acceso Campaña de marketing en el catálogo General.

Roles requeridos previamente: Administrador global, Administrador de Identity Governance, Propietario del catálogo o Administrador de paquetes de acceso

Diagram that describes the relationship between the access package elements.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. En la página Paquetes de acceso, abra un paquete de acceso.

  4. Al abrir el paquete de acceso, si ve Acceso denegado, asegúrese de que en su directorio haya una licencia de Microsoft Entra ID P2 o Microsoft Entra ID Governance.

  5. Seleccione New access package (Nuevo paquete de acceso).

    Screenshots that shows how to create an access package.

  6. En la pestaña Básico, escriba el nombre Campaña de marketing y la descripción Acceso a los recursos de la campaña.

  7. Deje la lista desplegable Catálogo establecida en General.

    Screenshot showing how to set the basic of the access policy.

  8. Seleccione Siguiente para abrir la pestaña Roles de recurso. En esta pestaña, seleccione los recursos y el rol de recurso que se incluirán en el paquete de acceso. Puede optar por administrar el acceso a grupos y equipos, aplicaciones y sitios de SharePoint Online. En este escenario, seleccione Grupos y equipos.

    Screenshot showing how to select groups and teams.

  9. En el panel Seleccionar grupos, busque y seleccione el grupo Recursos de marketing que creó anteriormente.

    De forma predeterminada, verá grupos dentro del catálogo general. Al seleccionar un grupo fuera del catálogo general, que puede ver si activa la casilla Ver todo, se agrega al catálogo general.

    Screenshot that shows how to select the groups

  10. Elija Seleccionar para agregar el usuario a la lista.

  11. En la lista desplegable Rol, seleccione Miembro. Si selecciona el rol Propietario, los usuarios podrán agregar o quitar otros miembros o propietarios. Para obtener más información sobre cómo seleccionar los roles adecuados para un recurso, lea Agregar roles de recursos.

    Screenshot the shows how to select the member role.

    Importante

    Los grupos a los que se pueden asignar roles que se agregan a un paquete de acceso se indicarán mediante el subtipo Assignable to roles. Para obtener más información, consulte el artículo Creación de un grupo al que se pueden asignar roles. Tenga en cuenta que una vez que un grupo al que se pueden asignar roles está presente en un catálogo de paquetes de acceso, los usuarios administrativos que pueden encargarse de la administración de derechos, incluidos los que tienen el rol Administrador global, Administrador de Identity Governance y propietarios de catálogos, podrán controlar los paquetes de acceso en el catálogo, lo que les permite decidir a quién agregar a esos grupos. Si no ve un grupo de roles asignables que quiera o pueda agregar, asegúrese de tener el rol de Microsoft Entra y de administración de derechos requerido para esta operación. Quizá necesite pedirle a alguien con los roles necesarios que agregue el recurso al catálogo. Para obtener más información, vea Roles necesarios para agregar recursos a un catálogo.

    Nota:

    Si usa grupos dinámicos no verá ningún otro rol disponible además del propietario; es así por diseño. Screenshots that shows a dynamic group available roles.

  12. Seleccione Siguiente para abrir la pestaña Solicitudes. En esta pestaña, creará una directiva de solicitud. Una directiva define las reglas o barreras para acceder a un paquete de acceso. Creará una directiva que permite que un usuario específico del directorio del recurso solicite este paquete de acceso.

  13. En la sección Usuarios que pueden solicitar acceso, seleccionen Para los usuarios de su directorio y, a continuación, Usuarios y grupos específicos.

    Screenshot of the access package requests tab.

  14. Seleccione Agregar usuarios y grupos.

  15. En el panel Seleccionar usuarios y grupos, seleccione el usuario Solicitante1 que creó anteriormente.

    Screenshot of select users and groups.

  16. Elija Seleccionar para agregar el usuario a la lista.

  17. Desplácese hacia abajo hasta las secciones Aprobación y Enable requests (Habilitar solicitudes).

  18. Deje Requerir aprobación establecido en No.

  19. En Enable requests, haga clic en para que este paquete de acceso se solicite tan pronto como se haya creado.

  20. Si su organización está configurada para recibir identificadores comprobados, hay una opción para configurar un paquete de acceso para requerir que los solicitantes proporcionen un identificador comprobado. Para obtener más información, consulte: configuración de las opciones de identificación verificada de un paquete de acceso en la administración de derechos (versión preliminar)

    Screenshot of the Verified ID picker selection.

  21. Haga clic en Next para abrir la pestaña Requestor information.

    Screenshots of the requests tab approval and enable requests settings.

  22. En la pestaña Requestor information, podrá formular preguntas para recopilar más información del solicitante. Estas preguntas se muestran en el formulario de solicitud y pueden ser obligatorias u opcionales. En este escenario, no se le ha pedido que incluya información del solicitante del paquete de acceso, por lo que puede dejar estos cuadros vacíos. Haga clic en Siguiente para abrir la pestaña Ciclo de vida.

  23. En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones. En la sección Expiración:

    1. Establezca Access package assignments expire en Number of days.
    2. Establezca Assignments expire after en 30 días.
    3. Mantenga el valor predeterminado de Los usuarios pueden solicitar una línea de tiempo específica en .
    4. Establezca Exigir revisiones de acceso en .

    Screenshot of the access package lifecycle tab

  24. Omita el paso Extensiones personalizadas.

  25. Seleccione Siguiente para abrir la pestaña Revisar y crear.

  26. En la pestaña Revisar y Crear, seleccione Crear. Transcurridos unos instantes, verá una notificación que dice que el paquete de acceso se ha creado correctamente.

  27. En el menú izquierdo del paquete de acceso Campaña de marketing, seleccione Información general.

  28. Copie el vínculo del portal Mi acceso.

    Este vínculo lo usará en el paso siguiente.

    Screenshot that demonstrates how to copy the link to the access policy.

Paso 3: Solicitar acceso

En este paso, realizará los pasos como solicitante interno y solicitará acceso al paquete acceso. Los solicitantes envían sus solicitudes mediante un sitio conocido como el portal Mi acceso. El portal Mi acceso permite a los solicitantes enviar solicitudes de paquetes de acceso, ver los paquetes de acceso a los que ya tienen acceso y ver sus historiales de solicitudes. Cuando un nuevo invitado solicita un paquete de acceso en MyAccess, su idioma preferido se marca en función del idioma del explorador MyAccess en el momento de la solicitud. Esto permite a los nuevos invitados recibir comunicaciones por correo electrónico en un idioma que comprendan.

Rol necesario: solicitante interno

  1. Cierre la sesión del centro de administración de Microsoft Entra.

  2. En una nueva ventana del explorador, vaya al vínculo del portal Mi acceso que copió en el paso anterior.

  3. Inicie sesión en el portal Mi acceso como Solicitante1.

    Debería ver el paquete de acceso Campaña de marketing.

  4. En el cuadro Justificación comercial, indique I'm working on the new marketing campaign.

    Screenshot of the My Access portal listing the access packages.

  5. Seleccione Submit (Enviar).

  6. En el menú izquierdo, haga clic en Historial de solicitudes para comprobar que la solicitud se ha enviado. Para obtener más información, seleccione Ver.

    Screenshot of the My Access portal request history.

Paso 4: Validación de que se ha asignado el acceso

En este paso, confirmará que se asignó el paquete de acceso al solicitante interno y que este es ahora miembro del grupo Recursos de marketing.

Roles requeridos previamente: Administrador global, Administrador de Identity Governance, Propietario del catálogo o Administrador de paquetes de acceso

  1. Cierre sesión en el portal Mi acceso.

  2. Inicio de sesión en el centro de administración de Microsoft Entra como Admin1.

  3. Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.

  4. Busque y seleccione el paquete de acceso Campaña de marketing.

  5. En el menú de la izquierda, seleccione Solicitudes.

    Verá Solicitante1 y la directiva inicial con el estado Entregado.

  6. Seleccione la solicitud para ver los detalles.

    Screenshot of the access package request details.

  7. En el menú de navegación de la izquierda, seleccione Identidad.

  8. Haga clic en Grupos y abra el grupo Recursos de marketing.

  9. Seleccione Miembros.

    Verá que Solicitante1 aparece como miembro.

    Screenshot shows the requestor one has been added to the marketing resources group.

Paso 5: Limpieza de recursos

En este paso, se quitarán los cambios realizados y se eliminará el paquete de acceso Campaña de marketing.

Requisitos previos de rol: Administrador global o Administrador de Identity Governance

  1. En el centro de administración de Microsoft Entra Identity Governance.

  2. Abra el paquete de acceso Campaña de marketing.

  3. Seleccione Asignaciones.

  4. Para Solicitante1, seleccione los puntos suspensivos (...) y, a continuación, Quitar acceso. En el mensaje que aparece, seleccione .

    Tras unos momentos, el estado cambiará de Entregado a Expirado.

  5. Seleccione Roles de recurso.

  6. En Recursos de marketing, seleccione en el botón de puntos suspensivos (... ) y luego Eliminar rol de recurso. En el mensaje que aparece, seleccione .

  7. Abra la lista de paquetes de acceso.

  8. En Campaña de marketing, seleccione el botón de puntos suspensivos (...) y Eliminar. En el mensaje que aparece, seleccione .

  9. En Identidad, elimine los usuarios que haya creado, como Requestor1 y Admin1.

  10. Elimine el grupo Recursos de marketing.

Pasos siguientes

Avance al siguiente artículo para conocer los pasos del escenario común de administración de derechos.

Escenarios comunes