Compartir a través de

Asignación de roles de Microsoft Entra (versión preliminar)

La administración de derechos admite el ciclo de vida de acceso para varios tipos de recursos, como aplicaciones, sitios de SharePoint, grupos y equipos. A veces, las identidades necesitan permisos adicionales para usar estos recursos de maneras específicas. Por ejemplo, es posible que una identidad tenga que tener acceso a los paneles de Power BI de la organización, pero necesitaría el rol administrador de Power BI para ver las métricas de toda la organización. Aunque otras funcionalidades de Microsoft Entra ID, como los grupos asignables a roles, podrían admitir estas asignaciones de roles de Microsoft Entra, el acceso concedido a través de esos métodos es menos explícito. Por ejemplo, usted administraría la membresía de un grupo en lugar de administrar directamente las asignaciones de roles de las identidades.

Mediante la asignación de roles de Microsoft Entra a los empleados e invitados mediante la administración de derechos, puede examinar los derechos de una identidad para determinar rápidamente qué roles se asignan a esa identidad. Al incluir un rol de Microsoft Entra como recurso en un paquete de acceso, también puede especificar si esa asignación de roles es "apta" o "activa".

La asignación de roles de Microsoft Entra a través de paquetes de acceso y catálogos ayuda a administrar de forma eficaz las asignaciones de roles a escala y mejora el ciclo de vida de la asignación de roles.

Nota:

Como parte de nuestro compromiso continuo con el fortalecimiento de la seguridad, estamos evolucionando la funcionalidad de versión preliminar de los roles de Microsoft Entra en los paquetes de acceso de administración de derechos. En adelante, la Gestión de Derechos solo permitirá que los paquetes de acceso contengan roles de Microsoft Entra que no tengan permisos privilegiados. Los roles con permisos con privilegios deben administrarse a través de Privileged Identity Management.
Puede encontrar más información sobre los roles integrados con privilegios en la referencia de roles. Los roles con privilegios se etiquetan como Privileged dentro de la referencia.

Nota:

La asignación de un rol de Microsoft Entra a un catálogo cambia automáticamente su nivel de privilegios a Privileged.

Escenarios para la asignación de roles de Microsoft Entra mediante paquetes de acceso

Imaginemos que la organización contrató recientemente a 50 nuevos empleados para el equipo de soporte técnico y que tiene la tarea de proporcionar a estos nuevos empleados acceso a los recursos necesarios. Estos empleados necesitan acceso al grupo de soporte técnico y a determinadas aplicaciones relacionadas con el soporte técnico. También necesitan tres roles de Microsoft Entra, incluido el rol administrador del departamento de soporte técnico, para realizar sus trabajos. En lugar de asignar individualmente a cada uno de los 50 empleados todos los recursos y roles, es posible configurar un paquete de acceso que contenga el sitio de SharePoint, el grupo y los roles específicos de Microsoft Entra. A continuación, configure el paquete de acceso para que los administradores sean aprobadores y comparta el vínculo con el equipo de soporte técnico.

Captura de pantalla de la adición de un rol de recurso al nuevo paquete de acceso.

Ahora, los nuevos miembros que se unen al equipo de soporte técnico pueden solicitar acceso a este paquete de acceso en Mi acceso y obtener acceso a todo lo que necesitan en cuanto su administrador apruebe la solicitud. Esto le ahorrará tiempo y energía porque el equipo de soporte técnico planea expandirse globalmente contratando a unos 1000 nuevos empleados, pero ya no tendrá que asignar manualmente a cada uno un paquete de acceso.

Nota de acceso de PIM:

Nota:

Se recomienda usar Privileged Identity Management para proporcionar acceso Just-In-Time a usuarios para realizar tareas que requieran permisos elevados. Estos permisos se proporcionan a través de los roles de Microsoft Entra que se etiquetan como "con privilegios" en nuestra documentación aquí: Roles integrados de Microsoft Entra. La administración de derechos resulta más adecuada para asignar a los usuarios agrupaciones de recursos necesarios para realizar trabajos, que pueden incluir roles de Microsoft Entra. Los usuarios asignados a paquetes de acceso tienden a tener acceso a los recursos durante más tiempo. Aunque se recomienda administrar roles con privilegios elevados a través de Privileged Identity Management, es posible configurar la idoneidad de esos roles mediante paquetes de acceso en Administración de derechos.

Requisitos previos

El uso de esta característica requiere licencias de Gobierno de Microsoft Entra ID o el Conjunto de aplicaciones de Microsoft Entra. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias de gobernanza de identificadores de Microsoft Entra.

Nota:

Debe ser administrador global o administrador de roles con privilegios con permisos de propietario del catálogo para agregar roles de Microsoft Entra a un catálogo. Una vez que se agrega un rol de Microsoft Entra a un catálogo, los administradores de gobernanza de identidades y los administradores de paquetes de acceso pueden crear paquetes de acceso que contengan ese rol entra de Microsoft y otros usuarios con permisos para administrar paquetes de acceso pueden asignar usuarios a ese rol de Microsoft Entra. De forma similar, las aplicaciones con permisos EntitlementManagement.RW.All no pueden agregar roles de Microsoft Entra a los catálogos a menos que también tengan el rol Administrador global o Administrador de roles con privilegios con los permisos de administración de derechos necesarios.

Agregar roles de Microsoft Entra como recursos en paquetes de acceso

Siga estos pasos para cambiar la lista de grupos incompatibles u otros paquetes de acceso para un paquete de acceso existente:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador global o administrador de roles con privilegios con permisos de propietario del catálogo.

  2. Vaya a Gobierno de Identidades>Gestión de derechos>Paquetes de acceso.

  3. En la página Paquetes de acceso, abra el paquete de acceso al que desea agregar roles de recursos y seleccione Roles de recursos.

  4. En la página Agregar roles de recursos para acceder al paquete, seleccione Roles de Microsoft Entra (versión preliminar) para abrir el panel Seleccionar roles de Microsoft Entra.

  5. Seleccione los roles de Microsoft Entra que desee incluir en el paquete de acceso. Captura de pantalla de la selección del rol para el paquete de acceso.

  6. En la lista Rol , seleccione Miembro apto o Miembro activo. Captura de pantalla de la elección del rol de recurso en el paquete de acceso.

  7. Seleccione Agregar.

Nota:

Si selecciona Apto, los usuarios podrán optar a ese rol y podrán activar su asignación mediante Privileged Identity Management en el Centro de administración de Microsoft Entra. Si selecciona Activo, los usuarios tienen una asignación de roles activa hasta que ya no tienen acceso al paquete de acceso. En el caso de los roles de Microsoft Entra etiquetados como "con privilegios", solo podrá seleccionar Apto. Puede encontrar una lista de roles con privilegios aquí: Roles integrados de Microsoft Entra.

Agregar roles de Microsoft Entra como recursos en paquetes de acceso mediante programación

Puede agregar roles de Microsoft Entra como roles de recursos en un paquete de acceso mediante Microsoft Graph. Si usa permisos delegados, el usuario que quiere agregar el rol al catálogo debe ser un administrador global o un administrador de roles con privilegios con permisos de propietario del catálogo. Las aplicaciones con los Entitlement Management.ReadWrite.All permisos no pueden agregar roles de Microsoft Entra a los catálogos a menos que también tengan permisos de administrador global o administrador de roles de privilegios.

Nota:

El permiso delegado EntitlementManagement.ReadWrite.All no es suficiente para realizar estas operaciones.

Agregar roles de Microsoft Entra como recursos en paquetes de acceso mediante Graph

En primer lugar, llame a Create accessPackageResourceRequest para agregar el rol Entra de Microsoft como un recurso al catálogo.

A continuación, para agregar ese rol de Microsoft Entra a un paquete de acceso como rol de recurso, use la siguiente carga para Create resourceRoleScope:

{
    "role": {
        "originId": "Eligible",
        "displayName": "Eligible Member",
        "originSystem": "DirectoryRole",
        "resource": {
            "id": "ea036095-57a6-4c90-a640-013edf151eb1"
        }
    },
    "scope": {
        "description": "Root Scope",
        "displayName": "Root",
        "isRootScope": true,
        "originSystem": "DirectoryRole",
        "originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
    }
}

Agregar roles de Microsoft Entra como recursos en paquetes de acceso mediante PowerShell

También puede agregar roles de Microsoft Entra como roles de recursos para paquetes de acceso en PowerShell con cmdlets del módulo Microsoft Graph PowerShell para Identity Governance de la versión 1.16.0 o posterior.

En el siguiente script se muestra cómo agregar un rol de Microsoft Entra como rol de recurso en un paquete de acceso. Esto asume que existe un rol de Microsoft Entra como recurso en el catálogo.

En primer lugar, recupera el id. del catálogo y del recurso en ese catálogo y sus ámbitos y roles que quieras incluir en el paquete de acceso. Usa un script similar al ejemplo siguiente.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Luego, asigna el rol de Microsoft Entra de ese recurso al paquete de acceso. Por ejemplo, para incluir el primer rol de recurso del recurso devuelto anteriormente como un rol de recurso de un paquete de acceso, usarías un script similar al siguiente.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Paso siguiente

Ver, agregar y quitar asignaciones para un paquete de accesoVer informes y registros

  • Last updated on