Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración de derechos es una característica de gobernanza de identidad que permite a las organizaciones administrar el ciclo de vida de identidad y acceso a escala, mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y la expiración.
Las personas de las organizaciones necesitan acceso a varios grupos, aplicaciones y sitios de SharePoint Online para realizar su trabajo. La administración de este acceso es un reto, ya que los requisitos cambian. Se añaden nuevas aplicaciones o las identidades necesitan más derechos de acceso. Este escenario resulta más complicado cuando se colabora con organizaciones externas. Es posible que no sepa qué usuarios de la otra organización necesitan acceder a los recursos de su organización y ellos no sabrán qué aplicaciones, grupos o sitios usa la organización.
La gestión de derechos puede ayudarte a gestionar de forma más eficiente el acceso a grupos, aplicaciones y sitios de SharePoint Online para identidades internas, así como para identidades externas a tu organización que necesitan acceso a esos recursos. También puedes usar la gestión de derechos en la vista previa para asignar grupos, permisos de API y roles a los ID de agentes.
¿Por qué usar la administración de derechos?
Las organizaciones empresariales encaran a menudo retos a la hora de administrar el acceso de los trabajadores a recursos como:
- Las identidades pueden no saber qué acceso deberían tener ellos, sus subordinados directos o los agentes que patrocinan, y aunque lo supieran, podrían tener dificultades para localizar a las personas adecuadas que aprueben su acceso
- Una vez que se descubre y asigna el acceso a los recursos, las identidades podrían conservar el acceso más tiempo del necesario para sus necesidades empresariales
Estos problemas se agravan para identidades que necesitan acceso desde otra organización, como identidades externas que provienen de organizaciones de la cadena de suministro u otros socios comerciales. Por ejemplo:
- Es posible que nadie conozca a todas las personas de los directorios de otra organización para poder invitarlos
- Aunque pudieran invitar a estas identidades, nadie en esa organización podría recordar gestionar todos los accesos a identidades de forma consistente
La administración de derechos puede ayudar a abordar estos desafíos. Para saber más sobre cómo los clientes han estado utilizando la gestión de derechos, puedes consultar a la División de Medicaid de Mississippi, Storebrand y al equipo de Seguridad y Resiliencia Digital en Microsoft Case Studies. Este vídeo proporciona información general sobre la administración de derechos y su valor:
¿Qué se puede hacer con la administración de derechos?
Estas son algunas de las funcionalidades de la administración de derechos:
- Controlar quién puede obtener acceso a aplicaciones, grupos, Teams, sitios de SharePoint, derechos de acceso de SAP IAG y otros recursos, con aprobación de varias fases y asegurarse de que las identidades no conservan el acceso indefinidamente a través de asignaciones de tiempo limitado y revisiones de acceso periódicas.
- Dar acceso automático a esos recursos a las identidades, según propiedades de identidad como departamento o centro de costes, y eliminar el acceso de una identidad cuando esas propiedades cambien.
- Conceder a los ID de agente acceso a los recursos necesarios y permitir que los patrocinadores de dichos IDs se aseguren de que el acceso se mantenga solo mientras sea necesario.
- Delegue a usuarios que no sean administradores la capacidad de crear paquetes de acceso. Estos paquetes de acceso contienen recursos que las identidades pueden solicitar, y los gestores de paquetes de acceso delegados pueden definir políticas con reglas para las que las identidades pueden solicitar, quién debe aprobar su acceso y cuándo expira el acceso.
- Selecciona organizaciones conectadas cuyas identidades puedan solicitar acceso. Cuando una identidad que aún no está en tu directorio solicita acceso y es aprobada, se le invita automáticamente a entrar en tu directorio y se le asigna acceso. Cuando expira su acceso, si no tiene otras asignaciones de paquete de acceso, su cuenta de B2B en el directorio se puede quitar automáticamente.
Nota:
Si está listo para probar la administración de derechos, puede empezar a trabajar con nuestro tutorial para crear su primer paquete de acceso.
También puede leer los escenarios comunes o ver los vídeos siguientes:
- Implementación de la administración de derechos en su organización
- Supervisión y escala del uso de la administración de derechos
- Delegación en la administración de derechos
¿Qué son los paquetes de acceso y qué recursos puedo administrar con ellos?
La administración de derechos introduce el concepto de un paquete de acceso. Un paquete de acceso es un conjunto de todos los recursos con el acceso que una identidad necesita para trabajar en un proyecto o realizar su tarea. Los paquetes de acceso pueden usarse para regular el acceso de identidades internas, así como para identidades que se originan fuera de tu organización.
Estos son los tipos de recursos a los que puedes gestionar el acceso de las identidades, con la gestión de derechos:
- Pertenencia a grupos de seguridad de Microsoft Entra
- Pertenencia a Teams y Grupos de Microsoft 365
- Asignación a aplicaciones empresariales de Microsoft Entra, incluidas las aplicaciones SaaS y las aplicaciones integradas personalizadas que admitan la federación o el inicio de sesión único o el aprovisionamiento
- Pertenencia a sitios de SharePoint Online
- Permisos de API, para agentes con ID de agente o principales de servicio, en vista previa como parte de Microsoft Entra Agent ID
- Roles empresariales de SAP IAG y otros derechos de acceso, en versión preliminar
También puede controlar el acceso a otros recursos que dependen de los grupos de seguridad de Microsoft Entra o de Grupos de Microsoft 365. Por ejemplo:
- Puedes conceder licencias a las identidades para Microsoft 365 usando un grupo de seguridad de Microsoft Entra en un paquete de acceso y configurando licencias basadas en grupos para ese grupo.
- Puedes dar acceso a las identidades para gestionar los recursos de Azure usando un grupo de seguridad de Microsoft Entra en un paquete de acceso y creando una asignación de roles en Azure para ese grupo.
- Puedes dar acceso a las identidades para gestionar roles de Microsoft Entra usando grupos asignables a roles de Microsoft Entra en un paquete de acceso y asignando un rol de Microsoft Entra a ese grupo.
¿Cómo controlo quién tiene acceso?
Con un paquete de acceso, un administrador o gestor de paquetes de acceso delegado lista los recursos (grupos, aplicaciones y sitios, roles de Microsoft Entra y permisos de la API) y los roles que las identidades necesitan para esos recursos.
Los paquetes de acceso también incluyen una o varias directivas. Una directiva define las reglas o barreras para la asignación al paquete de acceso. Cada política puede utilizarse para asegurar que solo las identidades adecuadas puedan tener asignaciones de acceso, y que el acceso tenga un límite temporal para expirar si no se renueva.
Puedes tener políticas para que las identidades soliciten acceso. En estos tipos de directivas, un administrador o administrador de paquetes de acceso define:
- Ya sea las identidades ya existentes (normalmente empleados o invitados ya invitados), o las organizaciones asociadas de identidades externas que pueden solicitar acceso
- El proceso de aprobación y las identidades que pueden aprobar o denegar el acceso
- La duración de la asignación de acceso de una identidad, una vez aprobada, antes de que expire la asignación
También puedes tener políticas para que las identidades tengan acceso, ya sea por un administrador, automáticamente basadas en reglas o mediante flujos de trabajo del ciclo de vida.
El siguiente diagrama muestra un ejemplo de los diferentes elementos de la administración de derechos. Aparece un catálogo con dos paquetes de acceso de ejemplo.
- El paquete de acceso 1 incluye un único grupo como un recurso. El acceso se define con una política que permite que un conjunto de identidades en el directorio solicite acceso.
- El paquete de acceso 2 incluye un grupo, una aplicación y un sitio de SharePoint Online como recursos. El acceso se define con dos directivas diferentes. La primera política permite que un conjunto de identidades en el directorio solicite acceso. La segunda política permite que las identidades en un directorio externo soliciten acceso.
¿Cuándo debo usar paquetes de acceso?
Los paquetes de acceso no reemplazan a otros mecanismos de asignación de acceso. Son más adecuados en situaciones como las siguientes:
- Migración de definiciones de directivas de acceso de una administración de roles empresariales de terceros a Microsoft Entra ID.
- Las identidades necesitan acceso limitado en el tiempo para una tarea concreta. Por ejemplo, podría usar licencias basadas en grupos y un grupo dinámico para asegurarse de que todos los empleados tengan un buzón de Exchange Online y usar luego los paquetes de acceso en situaciones en las que los empleados necesiten más derechos de acceso. Por ejemplo, derechos para leer recursos de departamento de otro departamento.
- Acceso que requiere la aprobación del administrador de una persona u otras personas designadas.
- Acceso que se debe asignar automáticamente a las personas de una parte determinada de una organización durante su tiempo con ese puesto de trabajo; también debe estar disponible para que lo soliciten personas de otra parte de la organización o de una organización empresarial asociada.
- Los departamentos desean administrar sus propias directivas de acceso a los recursos sin la intervención del departamento de TI.
- Dos o más organizaciones colaboran en un proyecto y, como resultado, es necesario incorporar múltiples identidades de una misma organización a través de Microsoft Entra B2B para acceder a los recursos de otra organización.
¿Cómo delego el acceso?
Los paquetes de acceso se definen en contenedores llamados catálogos. Puede tener un único catálogo para todos los paquetes de acceso o puede designar a personas para que creen o posean sus propios catálogos. Un administrador puede agregar recursos a cualquier catálogo, pero un usuario que no sea administrador solo puede agregar a un catálogo los recursos que posea. Un propietario de catálogo puede añadir otras identidades como copropietarios del catálogo o como gestores de paquetes de acceso. Estos escenarios se describen con más detalle en el artículo Delegación y roles en la administración de derechos.
Resumen de la terminología
Para comprender mejor la administración de derechos y su documentación, puede consultar la siguiente lista de términos.
| Término | Descripción |
|---|---|
| paquete de acceso | Conjunto de recursos que un equipo o proyecto necesita y se rige por directivas. Un paquete de acceso siempre se encuentra en un catálogo. Crearías un nuevo paquete de acceso para un escenario en el que las identidades deben solicitar acceso por sí mismas. |
| solicitud de acceso | Solicitud para acceder a los recursos de un paquete de acceso. Una solicitud suele pasa por un flujo de trabajo de aprobación. Si se aprueba, la identidad solicitante recibe una asignación de paquete de acceso. |
| asignación | La asignación de un paquete de acceso a una identidad asegura que la identidad tenga todos los roles de recursos de ese paquete de acceso. Las asignaciones de paquetes de acceso suelen tener un límite de tiempo antes de que expiren. |
| catálogo | Un contenedor de recursos relacionados y paquetes de acceso. Los catálogos se usan para la delegación, de modo que los usuarios que no son administradores pueden crear sus propios paquetes de acceso. Los propietarios de catálogos pueden agregar recursos de su propiedad a un catálogo. Los catálogos pueden tener un nivel de privilegios de Estándar o un catálogo con recursos regulares en él o Con privilegios donde contiene recursos que conceden permisos elevados. |
| creador de catálogos | Un conjunto de identidades autorizadas para crear nuevos catálogos. Cuando una identidad no administradora autorizada para ser creadora de catálogos crea un nuevo catálogo, automáticamente se convierte en la propietaria de ese catálogo. |
| organización conectada | Un directorio o dominio externo de Microsoft Entra con el que tiene una relación. Las identidades de una organización conectada pueden especificarse en una política como si se pudiera solicitar acceso. |
| política | Un conjunto de reglas que definen el ciclo de vida del acceso, como cómo obtienen acceso las identidades, quién puede aprobarlo y cuánto tiempo tienen acceso a través de una asignación. Una directiva está vinculada a un paquete de acceso. Por ejemplo, un paquete de acceso podría tener dos políticas: una para que los empleados soliciten acceso y otra para que identidades externas soliciten acceso. |
| recurso | Un activo, como un grupo de Office, un grupo de seguridad, una aplicación o un sitio de SharePoint Online, con un rol al que se le puede conceder permisos una identidad. |
| directorio de recursos | Un directorio que tiene uno o más recursos para compartir. |
| rol de recurso | Una colección de permisos asociados a un recurso y definidos por él. Un grupo tiene dos roles: miembro y propietario. Los sitios de SharePoint suelen tener tres roles, pero podrían tener otros roles personalizados. Las aplicaciones pueden tener roles personalizados. |
Requisitos de licencia
Esta característica requiere suscripciones de Gobierno de Microsoft Entra ID o el Conjunto de aplicaciones de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2. Para obtener más información, consulte los artículos de cada funcionalidad para obtener más información. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.
Requisitos de licencia para asignar agentes al acceso a paquetes (vista previa)
Importante
El identificador de Microsoft Entra Agent forma parte de Microsoft Agent 365, disponible ahora en Frontier, el programa de acceso anticipado de Microsoft para las últimas innovaciones de inteligencia artificial. Para obtener más información, consulte Id. de Microsoft Entra Agent.
Pasos siguientes
- Si está interesado en el uso del centro de administración de Microsoft Entra para administrar el acceso a los recursos, vea Tutorial: Administrar el acceso a los recursos - Microsoft Entra.
- Si está interesado en el uso de Microsoft Graph para administrar el acceso a los recursos, consulte Tutorial: Administración del acceso a los recursos (Microsoft Graph).
- Escenarios comunes