Creación de una revisión de acceso de un paquete de acceso de la administración de derechos

Para reducir el riesgo de acceso obsoleto, debe habilitar revisiones periódicas de los usuarios que tienen asignaciones activas en un paquete de acceso de la administración de derechos. Puede habilitar las revisiones cuando cree un nuevo paquete de acceso o edite una directiva de asignación de paquetes de acceso existente. En este artículo se describe cómo habilitar revisiones de acceso de paquetes de acceso.

Prerrequisitos

El uso de esta característica requiere licencias de Gobierno de Microsoft Entra ID o Microsoft Entra Suite. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias de gobernanza de identificadores de Microsoft Entra.

Creación de una revisión de acceso de un paquete de acceso

Puede habilitar las revisiones de acceso al crear un nuevo paquete de acceso o editar una directiva de asignación de paquetes de acceso existente . Si tiene varias directivas, para que diferentes comunidades de usuarios soliciten acceso, puede tener programaciones de revisión de acceso independientes para cada una de ellas. Siga estos pasos para habilitar las revisiones de acceso de las asignaciones de un paquete de acceso:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de identidad>Revisiones de acceso>Paquete de acceso.

3. Para crear una nueva directiva de acceso, seleccione Nuevo paquete de acceso .

4. Para editar una directiva de acceso existente, en el menú izquierdo, seleccione Paquetes de acceso y abra el paquete de acceso que desea editar. A continuación, en el menú de la izquierda, seleccione Directivas y seleccione la directiva que tiene la configuración del ciclo de vida que desea editar.

5. Abra la pestaña Ciclo de vida de una directiva de asignación de paquetes de acceso para especificar cuándo expira la asignación de un usuario al paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones.

6. En la sección Expiración, establezca que las asignaciones de paquetes de Access expiran en Fecha, Número de días, Número de horas o Nunca.

   En Fecha, seleccione una fecha de expiración en el futuro.

   En Número de días, especifique un número entre 0 y 3660 días.

   En Número de horas, especifique el número de horas.

   En función de la selección, la asignación de un usuario al paquete de acceso expira en una fecha determinada, un número específico de días después de su aprobación o nunca.

   

7. Seleccione Mostrar configuración de expiración avanzada para mostrar otras opciones.

8. Para permitir que el usuario extienda sus asignaciones, establezca Permitir que los usuarios amplíen el acceso a Sí.

   Si en la directiva se permiten prórrogas, el usuario recibe un correo electrónico 14 días y también un día antes de que expire su asignación de paquete de acceso, en el que se le pide que prorrogue la asignación. El usuario todavía debe estar en el ámbito de la directiva en el momento de solicitar una extensión. Asimismo, si la directiva tiene una fecha de finalización explícita para las asignaciones y el usuario envía una solicitud para extender el acceso, la fecha de la extensión de la solicitud debe ser igual o anterior a la de expiración de las asignaciones, tal y como se define en la directiva que se usó para conceder al usuario acceso al paquete de acceso. Por ejemplo, si la directiva indica que las asignaciones están configuradas para expirar el 30 de junio, la extensión máxima que un usuario puede solicitar es el 30 de junio.

   Si se extiende el acceso de un usuario, no podrán solicitar el paquete de acceso después de la fecha de extensión especificada (la fecha está establecida en la zona horaria del usuario que ha creado la directiva).

9. Para requerir aprobación para conceder una extensión, establezca Requerir aprobación para conceder la extensión aSí.

   Se utilizará la misma configuración de aprobación que se especificó en la pestaña Solicitudes.

10. A continuación, mueva el interruptor Requerir revisiones de acceso a Sí.

    

11. Especifique la fecha en que las revisiones comienzan junto a Iniciar.

12. A continuación, establezca la frecuencia de revisión en Anualmente, Bianuales, Trimestrales o Mensuales. Esta configuración determina la frecuencia con la que se producen las revisiones de acceso.

13. Establezca la duración para determinar cuántos días cada revisión de la serie recurrente está abierta para la entrada de los revisores. Por ejemplo, puede programar una revisión anual que comienza el 1 de enero y está abierta para su revisión durante 30 días, de modo que los revisores tengan hasta el final del mes para responder.

14. Junto a Revisores, seleccione Revisión automática si desea que los usuarios realicen su propia revisión de acceso o seleccione Revisores específicos si desea designar un revisor. También puede seleccionar Administrador si desea designar al administrador del revisor para que sea el revisor. Si selecciona esta opción, debe agregar una alternativa para reenviar la revisión en caso de que no se pueda localizar al administrador en el sistema.

15. Si seleccionó Revisores específicos, especifique qué usuarios realizan la revisión de acceso:

    

    1. Seleccione Agregar revisores.
    2. En el panel Seleccionar revisores, busque y seleccione los usuarios que quiereN ser revisorES.
    3. Cuando haya seleccionado los revisores, seleccione el botón Seleccionar .

    

16. Si seleccionó Administrador, especifique el revisor de reserva:

    1. Seleccione Agregar revisores de reserva.
    2. En el panel Seleccionar revisores de reserva, busque y seleccione los usuarios que quiera que sean revisores de reserva para el administrador del revisor.
    3. Cuando haya seleccionado los revisores de reserva, seleccione el botón Seleccionar .

    

17. Hay otras opciones avanzadas que puede configurar. Para configurar otras opciones avanzadas de revisión de acceso, seleccione Mostrar opciones de revisión de acceso avanzada:

    1. Si desea especificar lo que sucede con el acceso de los usuarios cuando un revisor no responde, seleccione Si los revisores no responden y, a continuación, seleccione una de las siguientes opciones:

       • No hay ningún cambio si no desea tomar una decisión sobre el acceso de los usuarios.
       • Quite el acceso si desea que se quite el acceso de los usuarios.
       • Tome recomendaciones si desea tomar una decisión en función de las recomendaciones de MyAccess.

       

    2. Si desea ver las recomendaciones del sistema, seleccione Mostrar asistentes de decisión del revisor. Las recomendaciones del sistema se basan en la actividad de los usuarios. Los revisores ven una de las siguientes recomendaciones:

       • apruebe la revisión si el usuario ha iniciado sesión al menos una vez durante los últimos 30 días.
       • denegar la revisión si el usuario no ha iniciado sesión durante los últimos 30 días.

    3. Si desea que el revisor comparta sus razones para su decisión de aprobación, seleccione Requerir justificación del revisor. La justificación puede verla tanto otros revisores como el solicitante.

18. Seleccione Revisar y crear o seleccione siguiente si va a crear un nuevo paquete de acceso. Seleccione Actualizar si está editando un paquete de acceso, en la parte inferior de la página.

Visualización del estado de la revisión de acceso

Después de la fecha de inicio, se mostrará una revisión de acceso en la sección Revisiones de acceso . Siga estos pasos para ver el estado de una revisión de acceso:

1. En Identity Governance, seleccione Paquetes de acceso y, a continuación, seleccione el paquete de acceso con el estado de revisión de acceso que desea comprobar.

2. Una vez que esté en la información general del paquete de acceso, seleccione Revisiones de acceso en el menú de la izquierda.

   

3. Aparece una lista que contiene todas las directivas que tienen revisiones de acceso asociadas a ellas. Seleccione la revisión para ver su informe.

   

4. Al ver el informe, se muestra el número de usuarios revisados y las acciones que realiza el revisor en ellos.

   

Notificaciones por correo electrónico de revisiones de acceso

Se pueden designar revisores o los usuarios pueden revisar su propio acceso. De forma predeterminada, Microsoft Entra ID envía un correo electrónico a los autorrevisores poco después de iniciar la revisión.

El correo electrónico incluye instrucciones sobre cómo revisar el acceso a los paquetes de acceso. Si la revisión es para que los usuarios revisen su acceso, muéstreles las instrucciones sobre cómo realizar una autorrevisión de sus paquetes de acceso.

Si ha asignado usuarios invitados como revisores, y no han aceptado su invitación a Microsoft Entra, no recibirán correos electrónicos de las revisiones de acceso. Primero deben aceptar la invitación y crear una cuenta con Microsoft Entra ID para poder recibir los mensajes de correo electrónico.

Nota:

Mientras el ciclo de revisión está abierto, los revisores siempre pueden cambiar sus decisiones de revisión de acceso. En el punto medio de la revisión de acceso, incluso si el revisor ha tomado previamente una decisión, se sigue enviando un correo electrónico de recordatorio a los revisores que les notifican que el ciclo de revisión de acceso sigue abierto.

Pasos siguientes

• Revisar el acceso a los paquetes de acceso
• Revisión automática de paquetes de acceso