Creación de una revisión de acceso de un paquete de acceso de la administración de derechos
Para reducir el riesgo de acceso obsoleto, debe habilitar revisiones periódicas de los usuarios que tienen asignaciones activas en un paquete de acceso de la administración de derechos. Puede habilitar las revisiones cuando cree un nuevo paquete de acceso o edite una directiva de asignación de paquetes de acceso existente. En este artículo se describe cómo habilitar revisiones de acceso de paquetes de acceso.
Prerrequisitos
Para habilitar las revisiones de los paquetes de acceso, debe cumplir los requisitos previos para crear un paquete de acceso:
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Administrador global, Administrador de Identity Governance, Propietario del catálogo o Administrador de paquetes de acceso
Nota:
Siguiendo el acceso con privilegios mínimos, se recomienda usar el rol de Administrador de Identity Governance, Propietario del catálogo o Administrador de paquetes de acceso.
Para obtener más información, consulte Requisitos de licencia.
Creación de una revisión de acceso de un paquete de acceso
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Puede habilitar revisiones de acceso cuando cree un paquete de acceso o edite una directiva de asignación paquetes de acceso existente. Si tiene varias directivas, para que diferentes comunidades de usuarios soliciten acceso, puede tener programaciones de revisión de acceso independientes para cada una de ellas. Siga estos pasos para habilitar las revisiones de acceso de las asignaciones de un paquete de acceso:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobernanza de identidades>Revisiones de acceso>Paquete de acceso.
Para crear una nueva directiva de acceso, seleccione Nuevo paquete de acceso.
Para editar una directiva de acceso existente, en el menú izquierdo, seleccione Paquetes de acceso y abra el paquete de acceso que desea editar. A continuación, en el menú de la izquierda, seleccione Directivas, y seleccione la directiva que tiene la configuración del ciclo de vida que desea editar.
Abra la pestaña Ciclo de vida de una directiva de asignación de paquetes de acceso para especificar cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones.
En la sección Expiración, establezca La asignación de paquetes de acceso expira en En la fecha, Número de días, Número de horas o Nunca.
Para la opción En la fecha, seleccione una fecha de expiración en el futuro.
Para la opción Número de días, especifique un número entre 0 y 3660 días.
Para Número de horas, especifique el número de horas.
En función de la selección, la asignación de un usuario al paquete de acceso expira en una fecha determinada, un número específico de días después de su aprobación o nunca.
Seleccione Mostrar configuración de expiración avanzada para mostrar otras opciones.
Para permitir que el usuario amplíe sus asignaciones, establezca Permitir que los usuarios extiendan el acceso en Sí.
Si en la directiva se permiten prórrogas, el usuario recibe un correo electrónico 14 días y también un día antes de que expire su asignación de paquete de acceso, en el que se le pide que prorrogue la asignación. El usuario todavía debe estar en el ámbito de la directiva en el momento de solicitar una extensión. Asimismo, si la directiva tiene una fecha de finalización explícita para las asignaciones y el usuario envía una solicitud para extender el acceso, la fecha de la extensión de la solicitud debe ser igual o anterior a la de expiración de las asignaciones, tal y como se define en la directiva que se usó para conceder al usuario acceso al paquete de acceso. Por ejemplo, si la directiva indica que las asignaciones están configuradas para expirar el 30 de junio, la extensión máxima que un usuario puede solicitar es el 30 de junio.
Si se extiende el acceso de un usuario, no podrán solicitar el paquete de acceso después de la fecha de extensión especificada (la fecha está establecida en la zona horaria del usuario que ha creado la directiva).
Para requerir la aprobación para conceder una extensión, establezca Requerir aprobación para conceder extensión en Sí.
Se utilizará la misma configuración de aprobación que se especificó en la pestaña Solicitudes.
A continuación, mueva el botón de alternancia Exigir revisiones de acceso a la posición Sí.
Especifique la fecha en la que se iniciarán las revisiones junto a Empezar el.
A continuación, establezca el valor de Frecuencia de revisión en Anualmente, Semestral, Trimestral o Mensual. Esta configuración determina la frecuencia con la que se producen las revisiones de acceso.
Establezca el Duración para definir cuántos días se abre cada revisión de la serie periódica para la entrada de los revisores. Por ejemplo, puede programar una revisión anual que comienza el 1 de enero y está abierta para su revisión durante 30 días, de modo que los revisores tengan hasta el final del mes para responder.
Junto a Revisores, seleccione Autorrevisión si quiere que los usuarios realicen su propia revisión de acceso o seleccione Revisores específicos si quiere designar un revisor. También puede seleccionar Administrador si quiere designar al administrador del revisor para que sea el revisor. Si selecciona esta opción, tendrá que agregar una reserva para reenviar la revisión a en caso de que no se pueda encontrar el administrador en el sistema.
Si seleccionó revisores específicos, especifique qué usuarios realizarán la revisión de acceso:
- Seleccione Agregar revisores.
- En el panel Seleccionar revisores, busque y seleccione los usuarios que desea que sean revisores.
- Cuando haya seleccionado los revisores, haga clic en el botón Seleccionar.
Si ha seleccionado Administrador, especifique el revisor de reserva:
- Seleccione Agregar revisores de reserva.
- En el panel Seleccionar revisores de reserva, busque y seleccione los usuarios que quiera que sean revisores de reserva para el administrador del revisor.
- Cuando haya seleccionado los revisores de reserva, haga clic en el botón Seleccionar.
Hay otras opciones avanzadas que puede configurar. Para configurar otras opciones avanzadas de revisión de acceso, seleccione Mostrar configuración avanzada de revisión de acceso:
Si quiere especificar lo que sucede con el acceso de los usuarios cuando un revisor no responde, seleccione Si los revisores no responden y, después, seleccione una de las siguientes opciones:
- Sin cambios si no desea que se tome una decisión sobre el acceso de los usuarios.
- Quitar acceso si desea quitar el acceso de los usuarios.
- Aceptar recomendaciones si desea que se tome una decisión basada en las recomendaciones de MyAccess.
Si quiere ver las recomendaciones del sistema, seleccione Mostrar asistentes de decisiones de revisor. Las recomendaciones del sistema se basan en la actividad de los usuarios. Los revisores ven una de las siguientes recomendaciones:
- aprobar la revisión si el usuario ha iniciado sesión al menos una vez en los últimos 30 días.
- denegar la revisión si el usuario no ha iniciado sesión en los últimos 30 días.
Si quiere que el revisor comparta las razones de su decisión de aprobación, seleccione Requerir justificación del revisor. La justificación puede verla tanto otros revisores como el solicitante.
Seleccione Revisar y crear o bien Siguiente si está creando un nuevo paquete de acceso. Seleccione Actualizar si está editando un paquete de acceso, en la parte inferior de la página.
Visualización del estado de la revisión de acceso
Después de la fecha de inicio, se mostrará una revisión de acceso en la sección Revisiones de acceso. Siga estos pasos para ver el estado de una revisión de acceso:
En Gobierno de identidades, seleccione Paquetes de acceso y seleccione el paquete de acceso con el estado de revisión de acceso que quiera comprobar.
Cuando se encuentre en la página de información general del paquete de acceso, seleccione Revisiones de acceso en el menú de la izquierda.
Aparece una lista que contiene todas las directivas que tienen revisiones de acceso asociadas a ellas. Seleccione la revisión para ver su informe.
Al ver el informe, se muestra el número de usuarios revisados y las acciones que realiza el revisor en ellos.
Notificaciones por correo electrónico de revisiones de acceso
Se pueden designar revisores o los usuarios pueden revisar su propio acceso. De forma predeterminada, Microsoft Entra ID envía un correo electrónico a los autorrevisores poco después de iniciar la revisión.
El correo electrónico incluye instrucciones sobre cómo revisar el acceso a los paquetes de acceso. Si la revisión es para que los usuarios revisen su acceso, muéstreles las instrucciones sobre cómo realizar una autorrevisión de sus paquetes de acceso.
Si ha asignado usuarios invitados como revisores, y no han aceptado su invitación a Microsoft Entra, no recibirán correos electrónicos de las revisiones de acceso. Primero deben aceptar la invitación y crear una cuenta con Microsoft Entra ID para poder recibir los mensajes de correo electrónico.
Nota:
Mientras el ciclo de revisión está abierto, los revisores siempre pueden cambiar sus decisiones de revisión de acceso. En el punto medio de la revisión de acceso, incluso si el revisor ha tomado previamente una decisión, se sigue enviando un correo electrónico de recordatorio a los revisores que les notifican que el ciclo de revisión de acceso sigue abierto.