Creación y administración de un catálogo de recursos en la administración de derechos

En este artículo se muestra cómo crear y administrar un catálogo de recursos y paquetes de acceso en la administración de derechos.

Creación de un catálogo

Un catálogo es un contenedor de recursos y paquetes de acceso. Creará un catálogo cuando quiera agrupar recursos relacionados y paquetes de acceso. Un administrador puede crear un catálogo. Además, un usuario delegado en el rol de creador del catálogo puede crear un catálogo para los recursos que poseen. Un usuario que no sea administrador que cree el catálogo se convertirá en su primer propietario. Un propietario del catálogo puede agregar más usuarios, grupos de usuarios o entidades de servicio de aplicaciones como propietarios del catálogo.

Para crear un catálogo:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

   Sugerencia

   Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el de Creador de catálogos. Los usuarios a los que se les haya asignado el rol Administrador de usuarios ya no podrán crear catálogos ni administrar paquetes de acceso en un catálogo que no sea de su propiedad. Si a los usuarios de la organización se les asignó el rol Administrador de usuarios para configurar catálogos, paquetes de acceso o directivas en la administración de derechos, en su lugar debe asignarles a estos usuarios el rol Administrador de Identity Governance.

2. Navegar hasta Gestión de identidades>Gestión de derechos>Catálogos.

   

3. Seleccione Nuevo catálogo.

4. Escriba un nombre único para el catálogo y proporcione una descripción.

   Los usuarios ven esta información en los detalles de un paquete de acceso.

5. Si quiere que los usuarios puedan solicitar los paquetes de acceso de este catálogo en cuanto se creen, establezca Habilitado en Sí.

6. Si quiere permitir que los usuarios de directorios externos de organizaciones conectadas puedan solicitar los paquetes de acceso de este catálogo, establezca Habilitado para usuarios externos en Sí. Los paquetes de acceso también deben tener una directiva que permita que los usuarios de las organizaciones conectadas lo soliciten. Si los paquetes de acceso de este catálogo solo están diseñados para los usuarios que ya están en el directorio, establezca Habilitado para usuarios externos en No.

   

7. Seleccione Crear para crear el catálogo.

Creación de un catálogo mediante programación

Hay dos formas de crear un catálogo mediante programación.

Creación de un catálogo con Microsoft Graph

Puede crear un catálogo mediante Microsoft Graph. Un usuario de un rol apropiado con una aplicación con el permiso delegado EntitlementManagement.ReadWrite.All, o una aplicación con el permiso de aplicación EntitlementManagement.ReadWrite.All, puede llamar la API para crear un catálogo.

Creación de un catálogo con PowerShell

Puede crear un catálogo en PowerShell con el cmdlet New-MgEntitlementManagementCatalog de los cmdlets de PowerShell de Microsoft Graph para el módulo Identity Governance versión 2.2.0 o posterior.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Adición de recursos a un catálogo

Para incluir recursos en un paquete de acceso, deben estar en un catálogo. Los tipos de recursos que puede agregar a los catálogos son grupos, aplicaciones y sitios de SharePoint Online.

• Los grupos pueden ser grupos de Microsoft 365 creados en la nube o grupos de seguridad de Microsoft Entra creados en la nube.

  • Los grupos que se originan en una instancia local de Active Directory no pueden asignarse como recursos porque su propietario o los atributos de miembro no se pueden cambiar en Microsoft Entra ID. Para proporcionar a un usuario acceso a una aplicación que usa pertenencias a grupos de seguridad de AD, cree un nuevo grupo de seguridad en Microsoft Entra ID, configure la escritura diferida de grupos en AD y habilite que ese grupo se escriba en AD, de modo que una aplicación basada en AD pueda usar el grupo creado en la nube.

  • Los grupos que se originan en Exchange Online como grupos de distribución tampoco se pueden modificar en Microsoft Entra ID, por lo que no se pueden agregar a los catálogos.

• Las aplicaciones pueden ser aplicaciones empresariales de Microsoft Entra, que incluyen aplicaciones de software como servicio (SaaS), aplicaciones locales y aplicaciones propias integradas en Microsoft Entra ID.

  • Si la aplicación aún no se ha integrado con Microsoft Entra ID, consulte controlar el acceso a las aplicaciones del entorno e integrar una aplicación con el Microsoft Entra ID y agregar la aplicación al directorio antes de agregarla al catálogo.

  • Para más información sobre cómo seleccionar los recursos apropiados en aplicaciones con múltiples roles, consulte Cómo determinar qué roles de recursos incluir en un paquete de acceso.

• Los sitios pueden ser sitios de SharePoint Online o colecciones de sitios de SharePoint Online.

Nota

Busque SharePoint Site por nombre de sitio o una dirección URL exacta, ya que el cuadro de búsqueda distingue mayúsculas de minúsculas.

Requisitos previos de rol: consulte Roles necesarios para agregar recursos a un catálogo.

Para agregar recursos a un catálogo:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

2. Navegar hasta Gestión de identidades>Gestión de derechos>Catálogos.

3. En la página Catálogos, abra el catálogo al que desea agregar recursos.

4. En el menú izquierdo, seleccione Recursos.

5. Seleccione Add resources (Agregar recursos).

6. Seleccione el tipo de recurso Grupos y equipos, Aplicaciones o Sitios de SharePoint.

   Si no ve un recurso que quiere agregar o no puede agregar un recurso, asegúrese de que tiene los roles de administración de derechos y de directorio de Microsoft Entra necesarios. Es posible que alguien que tenga los roles necesarios tenga que agregar el recurso al catálogo. Para obtener más información, vea Roles necesarios para agregar recursos a un catálogo.

7. Seleccione uno o varios recursos del tipo que quiera agregar al catálogo.

   

8. Cuando termine, seleccione Agregar.

   Ahora, estos recursos se pueden incluir en paquetes de acceso del catálogo.

Adición de atributos de recursos al catálogo

Los atributos son campos obligatorios que se pide a los solicitantes que respondan antes de enviar su solicitud de acceso. Sus respuestas a estos atributos se muestran a los aprobadores y también se marcan en el objeto de usuario en el Microsoft Entra ID.

Nota:

Todos los atributos configurados en un recurso necesitarán una respuesta antes de que se pueda enviar una solicitud de un paquete de acceso que contenga ese recurso. Si los solicitantes no proporcionan una respuesta, la solicitud no se procesará.

Para exigir atributos para las solicitudes de acceso:

1. Seleccione Recursos en el menú de la izquierda y se mostrará una lista de recursos del catálogo.

2. Seleccione los puntos suspensivos situados junto al recurso al que quiera agregar atributos y, después, seleccione Requerir atributos.

   

3. Seleccione el tipo de atributo:

   1. Integrado incluye los atributos de perfil de usuario de Microsoft Entra.
   2. La extensión de esquema de directorio proporciona una manera de almacenar más datos en los usuarios de Microsoft Entra. Puede ampliar el esquema mediante la creación de un atributo de extensión. Solo se pueden usar atributos de extensión en objetos de usuario para enviar notificaciones a aplicaciones durante el aprovisionamiento o el inicio de sesión único.

4. Si elige Integrado, seleccione un atributo en la lista desplegable. Si elige Extensión de esquema de directorio, escriba el nombre del atributo en el cuadro de texto.

   Nota:

   El atributo User.mobilePhone es una propiedad confidencial que solo algunos administradores pueden actualizar. Obtenga más información en ¿Quién puede actualizar los atributos de usuario confidenciales?.

5. Seleccione el formato de respuesta que desea que los solicitantes usen para su respuesta. Entre los formatos de respuesta se incluyen texto breve, opciones múltiples y texto largo.

6. Si selecciona varias opciones, seleccione Editar y localizar para configurar las opciones de respuesta.

   1. En el panel Ver o editar pregunta que aparece, escriba las opciones de respuesta que desea proporcionar al solicitante cuando responda a la pregunta en los cuadros Valores de respuesta.
   2. Seleccione el idioma de la opción de respuesta. Puede localizar las opciones de respuesta si elige más idiomas.
   3. Escriba tantas respuestas como necesite y, a continuación, seleccione Guardar.

7. Si quiere que el valor del atributo se pueda editar durante las asignaciones directas y las solicitudes de autoservicio, seleccione Sí.

   Nota:

   

   • Si selecciona No en el campo Attribute value is editable (El valor de atributo es editable) y el valor del atributo está vacío, los usuarios pueden escribir el valor de ese atributo. Después de guardarlo, el valor no se puede editar.
   • Si selecciona No en el campo Attribute value is editable (El valor de atributo es editable) y el valor del atributo no está vacío, los usuarios no pueden editar el valor preexistente, tanto durante las asignaciones directas como durante las solicitudes de autoservicio.

   

8. Si desea agregar una localización, seleccione Agregar localización.

   1. En el panel Add localizations for question (Agregar localizaciones para la pregunta), seleccione el código de idioma para el idioma en el que quiere localizar la pregunta relacionada con el atributo seleccionado.

   2. En el idioma configurado, escriba la pregunta en el cuadro Localized Text (Texto localizado).

   3. Después de agregar todas las localizaciones que necesita, seleccione Guardar.

      

9. Cuando se haya completado toda la información de los atributos en la página Requerir atributos, seleccione Guardar.

Incorporación de un sitio de SharePoint con varias ubicaciones geográficas

1. Si tiene habilitado Multi-Geo para SharePoint, seleccione el entorno desde el que quiere seleccionar sitios.

   

2. A continuación, seleccione los sitios que quiere que se agreguen al catálogo.

Adición de un recurso a un catálogo mediante programación

También puede agregar un recurso a un catálogo mediante Microsoft Graph. Un usuario de un rol apropiado, o un administrador del recurso y catálogo, con una aplicación con el permiso delegado EntitlementManagement.ReadWrite.All puede llamar la API para crear un elemento resourceRequest. Una aplicación con el permiso de aplicación EntitlementManagement.ReadWrite.All y los permisos para cambiar recursos, como Group.ReadWrite.All, también puede agregar recursos al catálogo.

Adición de un recurso a un catálogo con PowerShell

También puede agregar un recurso a un catálogo en PowerShell con el cmdlet New-MgEntitlementManagementResourceRequest de los cmdlets de PowerShell de Microsoft Graph para el módulo Identity Governance versión 2.1.x o posterior. En el ejemplo siguiente se muestra cómo agregar un grupo a un catálogo como recurso mediante los cmdlets de PowerShell de Microsoft Graph versión 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Eliminación de recursos de un catálogo

Puede quitar recursos de un catálogo. Solo se puede quitar un recurso de un catálogo si no se usa en ninguno de los paquetes de acceso del catálogo.

Requisitos previos de rol: consulte Roles necesarios para agregar recursos a un catálogo.

Para eliminar recursos de un catálogo:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de Identity Governance.

2. Navegar hasta Gestión de identidades>Gestión de derechos>Catálogos.

3. En la página Catálogos, abra el catálogo del que desea quitar recursos.

4. En el menú izquierdo, seleccione Recursos.

5. Seleccione los recursos que quiera quitar.

6. Seleccione Quitar. Opcionalmente, seleccione los puntos suspensivos ( ... ) y, a continuación, seleccione Quitar recurso.

Adición de más propietarios de catálogos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

El usuario que crea un catálogo se convierte en su primer propietario. Para delegar la administración de un catálogo, se agregan usuarios al rol de propietario del catálogo. Agregar más propietarios de catálogos ayuda a compartir las responsabilidades de administración del catálogo.

Para asignar un usuario al rol de propietario del catálogo, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

   Sugerencia

   Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el propietario del catálogo.

2. Vaya a Gobernanza de identidades>Administración de derechos>Catálogos.

3. En la página Catálogos, abra el catálogo al que desea añadir administradores.

4. En el menú izquierdo,seleccione Roles y administradores.

   

5. Seleccione Agregar propietarios para seleccionar miembros para estos roles.

6. Elija Seleccionar para agregar estos miembros.

Edición de un catálogo

Puede editar el nombre y la descripción de un catálogo. Los usuarios ven esta información en los detalles de un paquete de acceso.

Para editar un catálogo:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

   Sugerencia

   Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el de Creador de catálogos.

2. Navegar hasta Gestión de identidades>Gestión de derechos>Catálogos.

3. En la página Catálogos, abra el catálogo que desea editar.

4. En la página Introducción del catálogo, seleccione Editar.

5. Edite el nombre, la descripción o la configuración habilitada del catálogo.

   

6. Seleccione Guardar.

Eliminación de un catálogo

Puede eliminar un catálogo, pero solo si no tiene ningún paquete de acceso.

Para eliminar un catálogo:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

   Sugerencia

   Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el de Creador de catálogos.

2. Navegar hasta Gestión de identidades>Gestión de derechos>Catálogos.

3. En la página Catálogos, abra el catálogo que desea eliminar.

4. En la página Introducción del catálogo, seleccione Eliminar.

5. En el cuadro de mensaje que aparece, seleccione Sí.

Eliminación de un catálogo mediante programación

También puede eliminar un catálogo mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para EntitlementManagement.ReadWrite.All.

Pasos siguientes

Delegación de la gobernanza del acceso en administradores de paquetes de acceso