Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Como administrador de paquetes de acceso, puede cambiar las identidades que pueden solicitar un paquete de acceso en cualquier momento editando una directiva para las solicitudes de asignación de paquetes de acceso o agregando una nueva directiva al paquete de acceso. En este artículo, se explica cómo se pueden modificar las configuraciones de solicitudes para una política de asignación de un paquete de acceso existente.
Elegir entre una o varias políticas
Para especificar quién puede solicitar un paquete de acceso, debe usar una directiva. Antes de crear una directiva o editar una directiva existente en un paquete de acceso, debe determinar cuántas directivas necesita el paquete de acceso.
Al crear un paquete de acceso, se puede especificar la configuración de solicitud, aprobación y ciclo de vida, que se almacenan en la primera directiva del paquete de acceso. La mayoría de los paquetes de acceso tienen una sola directiva para que las identidades soliciten acceso, pero un único paquete de acceso puede tener varias directivas. Crearía varias directivas para un paquete de acceso si desea permitir que se concedan asignaciones a distintos conjuntos de identidades con configuraciones de solicitud y aprobación diferentes.
Por ejemplo, no se puede usar una sola directiva para asignar identidades internas y externas al mismo paquete de acceso. Sin embargo, puede crear dos directivas en el mismo paquete de acceso, una para identidades internas y otra para identidades externas. Si hay varias directivas aplicables a un usuario, se le solicitará en el momento de su solicitud que seleccione la directiva a la que desea ser asignado. En el diagrama siguiente se muestra un paquete de acceso con dos directivas.
Además de las directivas para que las identidades soliciten acceso, también puede tener directivas para la asignación automática y directivas para la asignación directa por parte de los administradores o propietarios del catálogo.
¿Cuántas directivas necesito?
| Escenario | Número de políticas |
|---|---|
| Quiero que todas las identidades de mi directorio tengan la misma configuración de solicitud y aprobación para un paquete de acceso. | Uno |
| Quiero que todas las identidades de determinadas organizaciones conectadas puedan solicitar un paquete de acceso | Uno |
| Quiero permitir identidades en mi directorio y también identidades fuera de mi directorio para solicitar un paquete de acceso | Dos |
| Quiero especificar una configuración de aprobación diferente para algunas identidades | Uno para cada grupo de identidades |
| Quiero que las asignaciones de paquetes de acceso de algunas identidades caduquen, mientras que otras identidades puedan extender su acceso. | Uno para cada grupo de identidades |
| Quiero que algunas identidades soliciten acceso y que un administrador asigne acceso a otras identidades. | Dos |
| Quiero que algunas identidades de mi organización reciban acceso automáticamente, otras identidades de mi organización para poder solicitar y otras identidades a las que un administrador asignará acceso. | tres |
Para obtener información sobre la lógica de prioridad que se usa cuando se aplican varias directivas, consulte Varias directivas.
Apertura de un paquete de acceso existente e incorporación de una nueva directiva con otra configuración de solicitudes
Si tiene un conjunto de identidades que deben tener una configuración de solicitud y aprobación diferente, es probable que tenga que crear una nueva directiva. Para empezar a agregar una nueva directiva a un paquete de acceso existente, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.
Sugerencia
Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.
Vaya a Gobernanza de identidades>Gestión de derechos>Paquete de acceso.
En la página Paquetes de acceso, abra el paquete de acceso que desea editar.
Seleccione Directivas y, a continuación, Agregar directiva.
En la pestaña Aspectos básicos , escriba un nombre y una descripción para la directiva.
Seleccione Siguiente para abrir la pestaña Solicitudes .
Cambie la configuración Usuarios que pueden solicitar acceso . Siga los pasos de las secciones siguientes para cambiar la configuración por una de las siguientes opciones:
Para usuarios, entidades de servicio e identidades de agente en el directorio
Siga estos pasos si desea permitir que las identidades del directorio puedan solicitar este paquete de acceso. Al definir la directiva de solicitud, puede especificar identidades individuales o grupos más comunes de identidades. Por ejemplo, la organización ya podría tener un grupo como Todos los empleados. Si ese grupo se incluye en la directiva de identidades que pueden solicitar acceso, cualquier miembro de ese grupo puede entonces solicitar acceso.
En la sección Usuarios que pueden solicitar acceso , seleccione Para usuarios, entidades de servicio e identidades de agente en el directorio.
Cuando se selecciona esta opción, aparecen nuevas opciones para restringir aún más quién en el directorio puede solicitar este paquete de acceso.
Seleccione una de las siguientes opciones:
Descripción Usuarios y grupos específicos Elige esta opción si deseas que solo los usuarios y grupos del directorio que especifiques puedan solicitar este paquete de acceso. Todos los miembros (excepto invitados) Elige esta opción si deseas que todos los usuarios miembros del directorio puedan solicitar este paquete de acceso. Esta opción no incluye ningún usuario invitado al que puedas haber invitado en tu directorio. Todos los usuarios (incluidos los invitados) Elija esta opción si desea que todos los usuarios miembros y los usuarios invitados del directorio puedan solicitar este paquete de acceso. Todas las entidades de servicio (versión preliminar) Elija esta opción si desea que todas las entidades de servicio del directorio puedan solicitar este paquete de acceso. Todos los agentes (versión preliminar) Elija esta opción si desea que todos los agentes del directorio puedan tener acceso asignado a ellos. Los usuarios invitados hacen referencia a usuarios externos que se han invitado a su directorio con Microsoft Entra B2B. Para obtener más información sobre las diferencias entre los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Microsoft Entra ID?.
La versión preliminar Todas las entidades de servicio y Todos los agentes requiere el identificador de Microsoft Entra Agent. Para obtener más información, consulte Gobernanza de identidades de agente (versión preliminar).
Si seleccionó Usuarios y grupos específicos, seleccione Agregar usuarios y grupos.
En el panel Seleccionar usuarios y grupos, seleccione los usuarios y grupos que quiera agregar.
Seleccione Seleccionar para agregar los usuarios y grupos.
Si desea requerir aprobación, siga los pasos descritos en Cambiar la configuración de aprobación de un paquete de acceso en la gestión de derechos para configurar las opciones de aprobación.
Vaya a la sección Quién puede solicitar acceso .
para los usuarios que no están en el directorio
Los usuarios que no están en el directorio hacen referencia a los usuarios que están en otro directorio o dominio de Microsoft Entra. Es posible que estos usuarios no hayan sido invitados todavía al directorio. Los directorios de Microsoft Entra deben configurarse para permitir invitaciones en restricciones de colaboración. Para obtener más información, consulte Configuración de las opciones de colaboración externa.
Nota:
Se creará una cuenta de usuario invitado para un usuario que aún no esté en el directorio cuya solicitud se haya aprobado o aprobado automáticamente. Se invitará al invitado, pero no recibirá un correo electrónico de invitación. En su lugar, recibirá un correo electrónico cuando se entregue su asignación de paquete de acceso. De forma predeterminada, más adelante cuando ese usuario invitado ya no tenga asignaciones de paquetes de acceso, ya que su última asignación ha expirado o se ha cancelado, esa cuenta de usuario invitado se bloqueará para iniciar sesión y, posteriormente, se eliminará. Si quiere que los usuarios invitados permanezcan en el directorio de manera indefinida, incluso si no tienen ninguna asignación de paquete de acceso, puede cambiar la configuración de la administración de derechos. Para obtener más información sobre el objeto de usuario invitado, vea Propiedades de un usuario de colaboración de Microsoft Entra B2B.
Siga estos pasos si quiere que los usuarios que no están en el directorio soliciten este paquete de acceso:
En la sección Usuarios que pueden solicitar acceso , seleccione Para los usuarios que no están en el directorio.
Cuando se selecciona esta opción, aparecen nuevas opciones.
Seleccione si los usuarios que pueden solicitar acceso deben estar afiliados a una organización conectada existente o pueden ser cualquier usuario de Internet. Una organización conectada es aquella con la que tiene una relación preexistente, que podría tener un directorio externo de Microsoft Entra u otro proveedor de identidades. Seleccione una de las siguientes opciones:
Descripción Organizaciones conectadas específicas Elija esta opción si desea seleccionar de una lista de organizaciones que el administrador haya agregado anteriormente. Todos los usuarios de las organizaciones seleccionadas pueden solicitar este paquete de acceso. Todas las organizaciones configuradas conectadas Elija esta opción si todos los usuarios de todas las organizaciones conectadas configuradas pueden solicitar este paquete de acceso. Solo los usuarios de organizaciones conectadas configuradas pueden solicitar paquetes de acceso, por lo que si un usuario no procede de un inquilino de Microsoft Entra, un dominio o proveedor de identidades asociado a una organización conectada existente, no podrá solicitarlos. Todos los usuarios (todas las organizaciones conectadas + cualquier nuevo usuario externo) Elija esta opción si cualquier usuario de Internet debe poder solicitar este paquete de acceso. Si no pertenecen a una organización conectada del directorio, se creará automáticamente una organización conectada para ellos cuando soliciten el paquete. La organización conectada creada automáticamente se encuentra en un estado propuesto . Para obtener más información sobre el estado propuesto, vea Propiedad de estado de las organizaciones conectadas. Si seleccionó Organizaciones conectadas específicas, seleccione Agregar directorios para seleccionar en una lista de organizaciones conectadas que el administrador agregó anteriormente.
Escriba el nombre o el nombre de dominio para buscar una organización anteriormente conectada.
Si la organización con la que desea colaborar no está en la lista, puede pedir al administrador que la agregue como una organización conectada. Para obtener más información, consulte Incorporación de una organización conectada.
Una vez que haya seleccionado todas las organizaciones conectadas, seleccione Seleccionar.
Nota:
Todos los usuarios de las organizaciones seleccionadas conectadas pueden solicitar este paquete de acceso. En el caso de una organización conectada que tenga un directorio de Microsoft Entra, los usuarios de todos los dominios comprobados asociados al directorio de Microsoft Entra pueden solicitar, a menos que esos dominios estén bloqueados por la lista de permitidos o bloqueados de Azure B2B. Para obtener más información, consulte Permitir o bloquear invitaciones a usuarios B2B de organizaciones específicas.
A continuación, siga los pasos descritos en Cambiar la configuración de aprobación de un paquete de acceso en la administración de derechos para configurar las opciones de aprobación para especificar quién debe aprobar las solicitudes de los usuarios que no están en su organización.
Vaya a la sección Quién puede solicitar acceso .
ninguno (solo para las asignaciones directas del administrador)
Siga estos pasos si quiere omitir las solicitudes de acceso y permitir a los administradores asignar directamente a usuarios específicos al paquete de acceso. Los usuarios no tendrán que solicitar el paquete de acceso. Aún puede establecer las configuraciones de ciclo de vida, pero no hay configuraciones de solicitud.
En la sección Usuarios que pueden solicitar acceso, seleccione Ninguno (solo asignaciones directas de administrador).
Después de crear el paquete de acceso, puede asignar directamente usuarios internos y externos específicos al paquete de acceso. Si especifica un usuario externo, se crea una cuenta de usuario invitado en su directorio. Para obtener información sobre cómo asignar directamente un usuario, vea Ver, agregar y quitar asignaciones para un paquete de acceso.
Salte a la sección Quién puede solicitar acceso.
Nota:
Al asignar usuarios a un paquete de acceso, los administradores tendrán que comprobar que los usuarios cumplen los requisitos de la directiva existente para ese paquete de acceso. De lo contrario, los usuarios no se podrán asignar correctamente al paquete de acceso. Si el paquete de acceso contiene una directiva que requiere que la aprobación de las solicitudes de usuario, no se podrán asignar usuarios directamente al paquete sin las aprobaciones necesarias de los aprobadores designados.
Abre y edita la configuración de solicitudes de una política existente
Para cambiar la configuración de solicitudes y aprobación de un paquete de acceso, debe abrir la directiva correspondiente con esa configuración. Siga estos pasos para abrir y editar la configuración de solicitudes de una directiva de asignación de paquetes de acceso:
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.
Sugerencia
Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.
Vaya a Gobernanza de identidades>Gestión de derechos>Paquete de acceso.
En la página Paquetes de acceso, abra el paquete de acceso cuya configuración de solicitud de directiva desea editar.
Seleccione Directivas y, a continuación, seleccione la directiva que desea editar.
Se abre el panel Detalles de la directiva en la parte inferior de la página.
Seleccione Editar para editar la directiva.
Seleccione la pestaña Solicitudes para abrir la configuración de la solicitud.
Siga los pasos descritos en las secciones anteriores para cambiar la configuración de solicitud según sea necesario.
Vaya a la sección Quién puede solicitar acceso .
Quién puede solicitar acceso
Nota:
Anteriormente, una configuración denominada "Habilitar nuevas solicitudes y asignaciones" controla las solicitudes de acceso de autoservicio. Esta funcionalidad ahora se refleja con más precisión mediante la opción "Self".
Después de elegir quién puede obtener acceso y especificar el ámbito, podrá determinar quién puede solicitar acceso al paquete de acceso. Aquí puede otorgar a Self, Admin o Manager la posibilidad de solicitar acceso al paquete de acceso.
Podrá habilitarla en todo momento cuando haya terminado de crear el paquete de acceso.
Si seleccionó Ninguno (solo asignaciones directas de administrador), los cuadros de sección quién puede solicitar acceso no se pueden seleccionar.
Seleccione Siguiente.
Si desea requerir que los solicitantes proporcionen información adicional al solicitar acceso a un paquete de acceso, siga los pasos descritos en Cambio de la configuración de la información del solicitante y aprobación para un paquete de acceso en la administración de derechos para configurar la información del solicitante.
Configure los ajustes del ciclo de vida.
Si va a editar una directiva, seleccione Actualizar. Si va a agregar una nueva directiva, seleccione Crear.
Creación de una directiva de asignación de paquete de acceso mediante programación
Hay dos maneras de crear una directiva de asignación de paquetes de acceso mediante programación: con Microsoft Graph y con los cmdlets de PowerShell para Microsoft Graph.
Creación de una directiva de asignación de paquetes de acceso con Graph
Puede crear una directiva mediante Microsoft Graph. Un usuario en un rol adecuado con una aplicación que tenga el permiso delegado EntitlementManagement.ReadWrite.All, una aplicación en un rol de catálogo, o una aplicación con el permiso de aplicación EntitlementManagement.ReadWrite.All, puede llamar a la API createAssignmentPolicy.
Creación de una directiva de asignación de paquetes de acceso con PowerShell
También puede crear un paquete de acceso en PowerShell usando los cmdlets del módulo Microsoft Graph PowerShell para Identity Governance versión 2.1.x o posterior.
El siguiente script muestra la creación de una directiva de asignación directa a un paquete de acceso. En esta directiva, solo el administrador puede asignar acceso, y no hay aprobaciones o revisiones de acceso. Consulte Creación de una directiva de asignación automática para obtener un ejemplo de cómo crear una directiva de asignación automática y crear una assignmentPolicy para obtener más ejemplos.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Impedir solicitudes de identidades con acceso incompatible
Además de las comprobaciones de políticas sobre quién puede solicitar, podría querer restringir aún más el acceso, para evitar que una identidad que ya tenga algunos accesos, como parte de un grupo u otro paquete de acceso, obtenga acceso excesivo.
Si desea configurar que una identidad no puede solicitar un paquete de acceso, si ya tienen una asignación a otro paquete de acceso o son miembros de un grupo, siga los pasos descritos en Configuración de la separación de tareas comprueba si hay un paquete de acceso.