¿Qué es Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Governance le permite equilibrar la productividad de los empleados y la seguridad que necesita su organización con la visibilidad y los procesos adecuados. Proporciona funcionalidades que garantizan que las personas adecuadas tienen el acceso adecuado a los recursos adecuados. Estas características de Enterprise Mobility + Security y las relacionadas de Azure AD permiten mitigar el riesgo del acceso al proteger, supervisar y auditar el acceso a los recursos críticos, al mismo tiempo que garantizan la productividad de empleados y asociados empresariales.

Identity Governance ofrece a las organizaciones la posibilidad de realizar las siguientes tareas con empleados, asociados empresariales, proveedores, servicios y aplicaciones tanto en el entorno local como en la nube:

  • Controlar el ciclo de vida de las identidades.
  • Controlar el ciclo de vida de los accesos.
  • Proteger el acceso con privilegios para la administración

Está especialmente diseñado para ayudar a las organizaciones a abordar estas cuatro preguntas claves:

  • ¿Qué usuarios deben tener acceso a qué recursos?
  • ¿Qué hacen esos usuarios con el acceso concedido?
  • ¿La organización cuenta con controles eficaces para administrar el acceso?
  • ¿Los auditores pueden comprobar qué controles funcionan?

Ciclo de vida de las identidades

La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización) y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral). La administración del ciclo de vida de las identidades es la piedra angular de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a diferentes escalas, es preciso modernizar la infraestructura de administración del ciclo de vida de las identidades en las aplicaciones.

Ciclo de vida de las identidades

En muchas organizaciones, el ciclo de vida de las identidades de los empleados está relacionado con la representación del usuario en un sistema HCM (administración del capital humano). Azure AD Premium mantiene automáticamente las identidades de usuario de las personas representadas en Workday y SuccessFactors, tanto en Active Directory como en Azure Active Directory, tal y como se describe en la guía Planeamiento de la aplicación de RR. HH. en la nube para el aprovisionamiento de usuarios de Azure Active Directory. Azure AD Premium incluye también Microsoft Identity Manager, que permite importar registros desde los sistemas administradores de conexiones híbridas locales, como SAP, Oracle eBusiness y Oracle PeopleSoft.

Cada vez son más los escenarios en los que es preciso colaborar con personas que están fuera de la organización. La colaboración B2B de Azure AD permite compartir de forma segura las aplicaciones y servicios corporativos con usuarios invitados y asociados externos de cualquier organización, a la vez que mantiene el control sobre sus propios datos corporativos. La administración de derechos de Azure AD le permite seleccionar los usuarios de la organización que tienen permiso para solicitar acceso y que se pueden agregar como invitados B2B al directorio de la organización; también garantiza que estos invitados se eliminen cuando ya no necesiten acceso.

Las organizaciones pueden automatizar el proceso de administración del ciclo de vida de la identidad mediante flujos de trabajo de ciclo de vida. Los flujos de trabajo se pueden crear para ejecutar automáticamente tareas para un usuario antes de entrar en la organización, a medida que cambian los estados durante su tiempo en la organización y a medida que abandonan la organización. Por ejemplo, un flujo de trabajo se puede configurar para enviar un correo electrónico con una contraseña temporal al administrador de un nuevo usuario o un correo electrónico de bienvenida al usuario en su primer día.

Ciclo de vida de los accesos

Las organizaciones necesitan un proceso que administre el acceso sin limitarse a lo que se aprovisionó inicialmente, cuando se creó la identidad del usuario. Además, las organizaciones empresariales deben ser capaces de escalar sus recursos con eficacia para poder desarrollar y aplicar de forma continuada directivas y controles de acceso.

Ciclo de vida de los accesos

Normalmente, el departamento de TI delega las decisiones sobre la aprobación de los accesos en los responsables de la toma de decisiones de la empresa. Por otro lado, el departamento de TI puede involucrar él mismo a los usuarios. Por ejemplo, los usuarios que tienen acceso a los datos confidenciales de los clientes en una aplicación de marketing de una compañía en Europa tienen que conocer las directivas de la compañía. Es posible que los usuarios invitados no conozcan los requisitos de administración de los datos de una organización a la que han sido invitados.

Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos utilizando determinadas tecnologías, como los grupos dinámicos, junto con el aprovisionamiento de usuarios en aplicaciones SaaS o aplicaciones integradas con SCIM. Las organizaciones también pueden controlar qué usuarios invitados tienen acceso a las aplicaciones locales. Estos derechos de acceso se pueden revisar periódicamente utilizando revisiones de acceso de Azure AD recurrentes. La administración de derechos de Azure AD también le permite definir cómo los usuarios solicitan acceso en los paquetes de pertenencias a grupos y equipos, roles de aplicación y roles de SharePoint Online. Para más información, consulte la sección simplificación de las tareas de gobernanza de identidades con automatización a continuación para seleccionar las características adecuadas de Azure AD para los escenarios de automatización del ciclo de vida de acceso.

El acceso al ciclo de vida se puede automatizar mediante flujos de trabajo. Los flujos de trabajo se pueden crear para agregar automáticamente usuarios a grupos, donde se concede acceso a aplicaciones y recursos. Los usuarios también se pueden mover cuando su condición dentro de la organización cambia a diferentes grupos e incluso se puede quitar por completo de todos los grupos.

Cuando un usuario intenta acceder a las aplicaciones, Azure AD impone directivas de acceso condicional. Por ejemplo, las directivas de acceso condicional pueden especificar que se muestren los términos de uso para garantizar que el usuario acepta los términos antes de acceder a una aplicación. Para más información, consulte Control del acceso a las aplicaciones del entorno.

Ciclo de vida de los accesos con privilegios

Históricamente, otros proveedores concebían el acceso con privilegios como una funcionalidad independiente de la gobernanza de identidades. Sin embargo, en Microsoft, creemos que el control del acceso con privilegios constituye una parte fundamental de la gobernanza de identidades, especialmente si tenemos en cuenta las consecuencias que podría tener para la organización un uso indebido con los derechos de administrador. Es preciso controlar a los empleados, los proveedores y los contratistas que tienen derechos administrativos.

Ciclo de vida de los accesos con privilegios

Azure AD Privileged Identity Management (PIM) dispone de controles adicionales que están adaptados para proteger los derechos de acceso de los recursos en Azure AD, Azure y otros servicios en línea de Microsoft. El acceso Just-In-Time y las funcionalidades de envío de alertas cuando cambia un rol disponibles en Azure AD PIM, junto con la autenticación multifactor y el acceso condicional, ofrecen un conjunto completo de controles de gobernanza que ayudan a proteger los recursos de la compañía (roles de recursos de directorio, de Azure y de Microsoft 365). Al igual que con otras formas de acceso, las organizaciones pueden usar las revisiones de acceso para configurar nuevas certificaciones de acceso periódicas para todos los usuarios con roles de administrador.

Funcionalidades de gobernanza en otras características de Azure AD

Además de las características mencionadas anteriormente, las características adicionales de Azure AD que se usan con frecuencia para proporcionar escenarios de gobernanza de identidad incluyen:

Capacidad Escenario Característica
Ciclo de vida de la identidad (empleados) Los administradores pueden habilitar el aprovisionamiento de cuentas de usuario de RR. HH. en la nube de WorkDay o SuccessFactors, o de recursos humanos locales. Aprovisionamiento de usuarios de RR. HH. en la nube en Azure AD
Ciclo de vida de la identidad (invitados) Los administradores pueden habilitar el autoservicio de incorporación de usuarios invitados desde otro inquilino de Azure AD, la federación directa, el código de acceso de un solo uso (OTP) o cuentas de Google. Los usuarios invitados se aprovisionan y desaprovisionan automáticamente de acuerdo con las directivas de ciclo de vida. Administración de derechos mediante B2B
Administración de derechos Los propietarios de recursos pueden crear paquetes de acceso que contengan aplicaciones, equipos, Azure AD y grupos de Microsoft 365, y sitios de SharePoint Online. Administración de derechos
Flujos de trabajo de ciclo de vida Los administradores pueden habilitar la automatización de las condiciones de usuario basadas en el proceso de ciclo de vida. Flujos de trabajo de ciclo de vida
Solicitudes de acceso Los usuarios finales pueden solicitar la pertenencia a un grupo o el acceso a las aplicaciones. Los usuarios finales, incluidos los invitados de otras organizaciones, pueden solicitar acceso a los paquetes. Administración de derechos
Flujo de trabajo Los propietarios de recursos pueden definir los aprobadores y aprobadores de escalación para las solicitudes de acceso y aprobadores para las de activación de rol. Administración de derechos y PIM
Administración de directivas y roles El administrador puede definir directivas de acceso condicional para el acceso en tiempo de ejecución a las aplicaciones. Los propietarios de recursos pueden definir directivas para el acceso del usuario mediante paquetes de acceso. Directivas de acceso condicional y de administración de derechos
Certificación de acceso Los administradores pueden habilitar la recertificación de acceso recurrente para: aplicaciones SaaS, aplicaciones locales o pertenencias a grupos en la nube, asignaciones de roles de Azure AD o de recursos de Azure. Quita automáticamente el acceso a los recursos, bloquea el acceso de invitados y elimina cuentas de invitado. Revisiones de acceso, también en PIM
Cumplimiento y aprovisionamiento Aprovisionamiento y desaprovisionamiento automáticos en las aplicaciones conectadas con Azure AD, también con SCIM, LDAP, SQL y en los sitios de SharePoint Online. aprovisionamiento de usuarios
Informes y análisis Los administradores pueden recuperar los registros de auditoría de la actividad reciente de aprovisionamiento e inicio de sesión de los usuarios. Integración con Azure Monitor y "quién tenga acceso" mediante los paquetes de acceso. Informes y supervisión de Azure AD
Acceso con privilegios Flujos de trabajo de aprobación, alertas y acceso programado y Just-In-Time para los roles de Azure AD (roles personalizados incluidos) y de los recursos de Azure. Azure AD PIM
Auditoría Se puede avisar a los administradores de la creación de cuentas de administrador. Alertas de Azure AD PIM

Introducción

Consulte la pestaña Introducción de la Gobernanza de identidades en Azure Portal para comenzar a usar la administración de derechos, las revisiones de accesos, Privileged Identity Management y los términos de uso, y consultar algunos casos de uso frecuentes.

Introducción al gobierno de identidades

También hay tutoriales para administrar el acceso a los recursos en la administración de derechos, incorporar usuarios externos a Azure AD mediante un proceso de aprobación y controlar el acceso a las aplicaciones existentes y a los usuarios existentes de las aplicaciones.

Si tiene algún comentario sobre las características de Gobierno de identidades, haga clic en ¿Tiene algún comentario? en Azure Portal para enviar sus comentarios. El equipo revisa periódicamente los comentarios.

Aunque no existe ninguna solución o recomendación perfecta para cada cliente, las siguientes guías de configuración también proporcionan las directivas de referencia que Microsoft recomienda seguir para garantizar unos recursos más seguros y productivos.

Simplificación de tareas de gobernanza de identidades con automatización

Una vez que haya empezado a usar estas características de gobernanza de identidades, puede automatizar fácilmente escenarios comunes de gobernanza de identidades. En la tabla siguiente se muestra cómo empezar a trabajar en cada escenario:

Escenario para automatizar Guía de automatización
Creación, actualización y eliminación de cuentas de usuario de AD y Azure AD automáticamente para los empleados Plan de aprovisionamiento de usuarios de RR. HH. en la nube en Azure AD
Actualización de la pertenencia de un grupo, en función de los cambios en los atributos del usuario miembro Creación de un grupo dinámico
Asignación de licencias Licencias basadas en grupos
Agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en función de los cambios en los atributos del usuario Configuración de una directiva de asignación automática para un paquete de acceso en la administración de derechos (versión preliminar)
Agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en una fecha específica Configuración del ciclo de vida para un paquete de acceso en la administración de derechos
Ejecución de flujos de trabajo personalizados cuando un usuario solicita o recibe acceso, o se quita el acceso Desencadenamiento de Logic Apps en la administración de derechos (versión preliminar)
Periódicamente, se revisan las pertenencias de invitados en grupos de Microsoft y Teams, y se quitan las pertenencias de invitado denegadas Creación de una revisión de acceso
Eliminación de cuentas de invitado denegadas por un revisor Revisión y eliminación de usuarios externos que ya no tienen acceso a los recursos
Eliminación de cuentas de invitado que no tienen asignaciones de paquetes de acceso Administración del ciclo de vida de los usuarios externos
Aprovisionamiento de usuarios en aplicaciones locales y en la nube que tienen sus propios directorios o bases de datos Configuración del aprovisionamiento automático de usuarios con asignaciones de usuarios o filtros de ámbito
Otras tareas programadas Automatización de tareas de gobernanza de identidades con Azure Automation y Microsoft Graph mediante el módulo de PowerShell Microsoft.Graph.Identity.Governance

Apéndice: Roles con menos privilegios para administrar en características de Identity Governance

Se recomienda usar el rol con menos privilegios para realizar tareas administrativas en la gobernanza de identidades. Igualmente, para realizar estas tareas, se recomienda usar Azure AD PIM para activar un rol según sea necesario. A continuación se muestran los roles de directorio con menos privilegios para configurar las características de gobernanza de identidades:

Característica Rol con privilegios mínimos
Administración de derechos Administrador de Identity Governance
Revisiones de acceso Administrador de usuarios (con la excepción de las revisiones de acceso de Azure o los roles de Azure AD, que requiere el administrador de roles con privilegios)
Privileged Identity Management Administrador de roles con privilegios
Términos de uso Administrador de seguridad o Administrador de acceso condicional

Nota:

El rol con privilegios mínimos para la administración de derechos ha cambiado del rol Administrador de usuarios al rol Administrador de gobernanza de identidades.

Pasos siguientes