¿Cuál es la diferencia entre los grupos de acceso con privilegios y los grupos a los que se pueden asignar roles?

Privileged Identity Management (PIM) admite la capacidad de habilitar el acceso con privilegios en grupos a los que se pueden asignar roles. Pero dado que se requiere que haya un grupo al que se pueden asignar roles disponible para crear un grupo de acceso con privilegios, en este artículo se explican las diferencias y cómo aprovecharlas.

¿Qué son los grupos a los que se pueden asignar roles de Azure AD?

Azure Active Directory (Azure AD), parte de Microsoft Entra, permite asignar un grupo de seguridad de Azure AD en la nube a un rol de Azure AD. Un administrador global o administrador de roles con privilegios tiene que crear un nuevo grupo de seguridad y permitir que se le asignen roles en el momento de la creación. Solo las asignaciones de roles de Administrador global, Administrador de roles con privilegios o Propietario del grupo pueden cambiar la pertenencia del grupo. Además, ningún otro usuario puede restablecer la contraseña de los usuarios que son miembros del grupo. Esta característica ayuda a evitar que los administradores cambien los roles a otro con más privilegios sin pasar por un procedimiento de solicitud y aprobación.

¿Qué son los grupos de acceso con privilegios?

Los grupos de acceso con privilegios permiten a los usuarios ascender al rol de propietario o miembro de un grupo de seguridad de Azure AD. Esta característica permite configurar flujos de trabajo Just-In-Time no solo para roles de Azure AD y Azure en lotes, y también permite escenarios Just-In-Time para otros casos de uso como Azure SQL, Azure Key Vault, Intune u otros roles de aplicación. Para más información, consulte Funcionalidades de grupos de acceso con privilegios.

Nota

En el caso de los grupos de acceso con privilegios que se usan para elevar a roles de Azure AD, Microsoft recomienda requerir un proceso de aprobación para las asignaciones de miembros elegibles. Las asignaciones que se pueden activar sin aprobación pueden plantearle un riesgo de seguridad por parte de administradores con menos privilegios. Por ejemplo, el administrador del departamento de soporte técnico tiene permiso para restablecer las contraseñas de un usuario que reúna las características para ello.

Cuándo usar un grupo al que se pueden asignar roles

Puede configurar el acceso Just-In-Time a permisos y roles más allá de Azure AD y recursos de Azure. Si tiene otros recursos cuya autorización se puede conectar a un grupo de seguridad de Azure AD (para Azure Key Vault, Intune, Azure SQL u otras aplicaciones y servicios), debe habilitar el acceso con privilegios en el grupo y determinar cuáles usuarios son aptos para pertenecer al grupo.

Si quiere asignar un grupo a un rol de Azure AD o recurso de Azure y requerir elevación a través de un proceso de PIM, solo hay una manera de hacerlo:

  • Asignar el grupo de manera persistente a un rol. A continuación, en PIM, puede conceder a los usuarios asignaciones de roles aptas al grupo. Cada usuario apto tiene que activar su asignación de roles para convertirse en miembro del grupo y la activación está sujeta a las directivas de aprobación. Esta ruta de acceso requiere que se habilite un grupo al que se pueden asignar roles en PIM como grupo de acceso con privilegios para el rol de Azure AD.

Este método permite la máxima granularidad de los permisos. Use este método para:

  • Asignar un grupo a varios roles de Azure AD o recursos de Azure y hacer que los usuarios se activen una vez para obtener acceso a varios roles.
  • Mantener distintas directivas de activación para que distintos conjuntos de usuarios para acceder a un rol de Azure AD o de recursos de Azure. Por ejemplo, si desea que algunos usuarios pasen por una aprobación antes de convertirse en Administrador global y permitir al mismo tiempo que otros usuarios se aprueben automáticamente, puede configurar dos grupos de acceso con privilegios, asignar ambos de forma persistente (una asignación "permanente" en Privileged Identity Management) al rol de Administrador global y luego utilizar una directiva de activación diferente para el rol de miembro de cada grupo.

Pasos siguientes