Incorporar grupos en Privileged Identity Management

  • Artículo

En Microsoft Entra ID, puede usar Privileged Identity Management (PIM) para administrar la pertenencia Just-In-Time en el grupo o la propiedad Just-In-Time del grupo. Los grupos se pueden usar para proporcionar acceso a roles de Microsoft Entra, roles de Azure y otros escenarios. Para administrar un grupo de Microsoft Entra en PIM, debe colocarlo bajo la administración de PIM.

Identificación de los grupos que se administrarán

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Antes de empezar, necesita un grupo de seguridad de Microsoft Entra o un grupo de Microsoft 365. Para obtener más información sobre la administración de grupos en Microsoft Entra ID, consulte Administración de grupos y la pertenencia a grupos de Microsoft Entra.

Los grupos dinámicos y los grupos que se han sincronizado desde el entorno local no se pueden administrar en PIM para grupos.

Necesita permisos adecuados para incorporar grupos en PIM de Microsoft Entra. Para grupos a los que se puedan asignar roles, deberá tener los roles Administrador global, Administrador de roles con privilegios o Propietario del grupo. En el caso de los grupos a los que no se les puedan asignar roles, deberá tener Administrador global, Escritor de directorios, Administrador de grupos, Administrador de gobernanza de identidades, Administrador de usuarios o ser propietario del grupo. Las asignaciones de roles a los administradores deberían tener ámbito a nivel de directorio (no a nivel de unidad administrativa).

Nota:

Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos M365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en PIM de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Grupos.

  3. Puede ver los grupos que ya están habilitados para PIM para grupos aquí.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Seleccione Descubrir grupos y elija un grupo que quiera incorporar a la administración con PIM.

    Screenshot of where to select a group that you want to bring under management with PIM.

  5. Seleccione Administrar grupos y Aceptar.

  6. Selecciona Grupos para volver a la lista de grupos habilitados en PIM para grupos.

Nota:

Como alternativa, puede usar el panel Grupos para incluir el grupo en Privileged Identity Management.

Nota:

Una vez que se administra un grupo, no se puede quitar de la administración. Esto impide que otro administrador de recursos pueda quitar la configuración de PIM.

Importante

Si se elimina de Microsoft Entra ID un grupo, podría tardar hasta 24 horas en eliminarse de las hojas de PIM para grupos.

Pasos siguientes