Realización de una revisión de acceso de los grupos y las aplicaciones en las revisiones de acceso

Como administrador, creas una revisión de acceso de grupos o aplicaciones y los revisores realizan la revisión de acceso. En este artículo se describe cómo ver los resultados de la revisión de acceso y aplicarlos.

Nota

En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Para obtener información general sobre el RGPD, consulte la sección RGPD del Centro de confianza de Microsoft y la sección RGPD del portal de confianza de servicios.

Requisitos previos

• Microsoft Entra ID P2 o Microsoft Entra ID Governance
• Al menos el rol de administrador de usuarios o administrador de gobernanza de identidades para administrar el acceso de las revisiones en grupos y aplicaciones. Los usuarios que tienen menos el rol Administrador de roles con privilegios pueden administrar revisiones de grupos asignables de roles, consulte: Uso de grupos de Microsoft Entra para administrar asignaciones de roles.
• Los lectores de seguridad tienen acceso de lectura.

Para obtener más información, consulte: Requisitos de licencia.

Visualización del estado de la revisión de acceso

Siga los siguientes pasos para realizar un seguimiento del progreso de las revisiones de acceso a medida que se completan.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de ID>Revisiones de acceso.

3. En la lista, seleccione una revisión de acceso.

   En la página Información general , puede ver el progreso de la instancia actual de la revisión. Si no hay una instancia activa abierta en ese momento, verá información sobre la instancia anterior. Los derechos de acceso no se cambian en el directorio hasta que la revisión finaliza.

   

   Todas las hojas situadas en actual solo se pueden ver mientras dure cada instancia de revisión.

   Nota

   Aunque la revisión de acceso actual solo muestra información sobre la instancia de revisión activa, puede obtener información sobre las revisiones que todavía se han de realizar en la serie en la sección Ver estado de revisión en varias fases (versión preliminar).

   La página de resultados proporciona más información sobre cada usuario en revisión de la instancia, incluida la capacidad de detener, restablecer y descargar resultados.

   

   Si ve una revisión de acceso donde se revisa el acceso de invitado en grupos de Microsoft 365, en el panel Información general se muestra cada grupo de la revisión.

   

   Seleccione un grupo para ver el progreso de la revisión en ese grupo, o para detenerla, restablecerla, aplicarla o eliminarla.

   

4. Si desea detener una revisión de acceso antes de que llegue a la fecha de finalización programada, seleccione el botón Detener .

   Al detener una revisión, los revisores ya no podrán proporcionar respuestas. No puede reiniciar una revisión una vez detenida.

   Nota

   La opción Detener solo está disponible para una instancia de revisión específica, no para toda la serie de revisión periódica. Para detener una serie de revisión periódica, puede editar la serie y actualizar la opción End a la fecha deseada cuando desee que se detenga la serie. Este cambio impide que se creen instancias de revisión futuras más allá de la fecha de finalización actualizada.

5. Si ya no está interesado en la revisión de acceso, puede eliminarla haciendo clic en el botón Eliminar .

Visualización del estado de la revisión de varias fases (versión preliminar)

Para ver el estado y la fase de una revisión de acceso de varias fases:

1. Seleccione la revisión de varias fases cuyo estado desea comprobar o ver en qué fase se encuentra.

2. Seleccione Resultados en el menú de navegación izquierdo en Actual.

3. Una vez que esté en la página de resultados, en Estado indica en qué fase se encuentra la revisión de varias fases. La siguiente fase de la revisión no se activará hasta que haya transcurrido la duración especificada durante la configuración de la revisión de acceso.

4. Si se toma una decisión, pero la duración de la revisión de esta fase aún no ha expirado, puede seleccionar el botón Detener fase actual en la página de resultados. Esto desencadenará la siguiente fase de revisión.

Recuperación de los resultados

Para ver los resultados de una revisión, seleccione la página Resultados . Para ver solo el acceso de un usuario, en el cuadro Buscar escriba el nombre para mostrar o el nombre principal de usuario de un usuario cuyo acceso se ha revisado.

Para ver los resultados de una instancia completada de una revisión de acceso periódica, seleccione Revisar historial y, a continuación, seleccione la instancia específica de la lista de instancias de revisión de acceso completadas, en función de la fecha de inicio y finalización de la instancia. Los resultados de esta instancia se pueden obtener en la página Resultados . Las revisiones de acceso periódicas permiten tener una imagen constante del acceso a los recursos que es posible que deba actualizarse con más frecuencia que las revisiones de acceso únicas.

Para recuperar los resultados de una revisión de acceso, ambos en curso o completados, seleccione el botón Descargar . El archivo CSV resultante puede verse en Excel o en otros programas que abren archivos CSV codificados en UTF-8.

Recuperación de los resultados mediante programación

También puedes recuperar los resultados de una revisión de acceso mediante Microsoft Graph o PowerShell.

En primer lugar, deberá buscar la instancia de la revisión de acceso. Si accessReviewScheduleDefinition es una revisión de acceso periódica, las instancias representan cada periodicidad. Una revisión que no se repite tiene exactamente una instancia. Las instancias también representan cada grupo único que se está revisando en la definición de programación. Si una definición de programación revisa varios grupos, cada grupo tiene una instancia única para cada periodicidad. Cada instancia contiene una lista de decisiones para las que los revisores pueden tomar medidas, con una decisión por identidad que se está revisando.

Una vez que identifique la instancia, para recuperar las decisiones mediante Graph, llame a Graph API para enumerar las decisiones de una instancia. Si la instancia es una revisión de varias fases, llame a Graph API para enumerar las decisiones de una revisión de acceso de varias fases. El autor de la llamada debe ser un usuario en un rol adecuado con una aplicación que tenga el permiso delegado AccessReview.Read.All o AccessReview.ReadWrite.All, o una aplicación con el permiso de aplicación AccessReview.Read.All o AccessReview.ReadWrite.All. Para obtener más información, consulte el tutorial sobre cómo revisar un grupo de seguridad.

También puedes realizar esta consulta en PowerShell con el cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision de los cmdlets de Microsoft Graph PowerShell para el módulo Identity Governance. El tamaño de página predeterminado de esta API es 100 elementos de decisión.

Aplicación de cambios

Si la opción Aplicar automáticamente los resultados al recurso estaba habilitada según sus selecciones de Configuración de finalización, la aplicación automática se ejecuta una vez completada una instancia de revisión o antes si detiene manualmente la revisión.

Si la aplicación automática de resultados al recurso no se ha habilitado para la revisión, vaya a Historial de revisión en Serie después de que finalice la duración de la revisión o la revisión se haya detenido antes y seleccione en la instancia de la revisión que desea aplicar.

Seleccione Aplicar para aplicar manualmente los cambios. Si se denegó el acceso de un usuario en la revisión, al seleccionar Aplicar, Microsoft Entra ID quita su membresía o asignación de aplicación.

El estado de la revisión cambia de Completado a estados intermedios, como Aplicar y, por último, al estado Resultado aplicado. Debería esperar ver a los usuarios denegados, si es que los hay, eliminados de la pertenencia al grupo o la asignación de aplicaciones en unos minutos.

Aplicar los resultados de manera manual o automática no tiene ningún efecto en un grupo que se origina en un directorio local. Si desea cambiar un grupo que se origina en un directorio local, descargue los resultados y aplique esos cambios a la representación del grupo en ese directorio.

Nota

A algunos usuarios denegados no se les pueden aplicar los resultados. Entre los escenarios en los que esto podría ocurrir se incluyen:

• Revisar los miembros de un grupo de Windows Server AD local sincronizado: si el grupo está sincronizado desde windows Server AD local, el grupo no se puede administrar en el identificador de Entra de Microsoft y, por tanto, no se puede cambiar la pertenencia.
• Revisar un recurso (rol, grupo, aplicación) con grupos anidados asignados: para los usuarios que tienen pertenencia a través de un grupo anidado, no quitaremos su pertenencia al grupo anidado y, por tanto, conservarán el acceso al recurso que se está revisando.
• Un usuario no encontrado u otros errores pueden dar lugar a que no se admita un resultado de aplicación.
• Revisar los miembros del grupo habilitado para correo: el grupo no se puede administrar en el identificador de Microsoft Entra, por lo que no se puede cambiar la pertenencia.
• La revisión de una aplicación que usa la asignación de grupo no quitará a los miembros de esos grupos, por lo que conservarán el acceso existente que proviene de la relación de grupo en la asignación de la aplicación.

Nota

Las decisiones de revisión de acceso no cambian la pertenencia a grupos dinámicos. Estos grupos se administran mediante usuarios sujetos a reglas y siguen siendo miembros siempre que coincidan con las condiciones de la regla.

Acciones realizadas en usuarios invitados denegados en una revisión de acceso

Al crear la revisión, el creador puede elegir entre dos opciones para los usuarios invitados denegados en una revisión de acceso.

• A los usuarios invitados denegados les pueden quitar acceso al recurso. Esta es la configuración predeterminada.
• Se puede bloquear el inicio de sesión del usuario invitado denegado durante 30 días y, a continuación, eliminarlo del inquilino. Durante el período de 30 días, un administrador puede restaurar el acceso al inquilino al usuario invitado. Una vez completado el período de 30 días, si el usuario invitado no ha vuelto a tener acceso al recurso que se le ha concedido, se le quitará del inquilino de forma permanente. Además, con el Centro de administración de Microsoft Entra, un administrador global puede eliminar de forma permanente un usuario eliminado recientemente antes de que se alcance ese período de tiempo. Una vez que un usuario se elimina permanentemente, los datos sobre ese usuario invitado se eliminan de las revisiones de acceso activas. La información de auditoría de los usuarios eliminados se conserva en el registro de auditoría.

Acciones realizadas en usuarios de conexión directa B2B denegados

Los equipos y usuarios de conexión directa B2B denegados perderán el acceso a todos los canales compartidos del equipo.

Pasos siguientes

• Gestionar las revisiones de acceso
• Creación de una revisión de acceso de grupos o aplicaciones
• Crear una revisión de acceso para usuarios que tienen un rol administrativo de Microsoft Entra