Azure Active Directory Privileged Identity Management (PIM) para grupos
Microsoft Entra ID permite conceder a usuarios la pertenencia Just-In-Time y la propiedad de grupos a través de Privileged Identity Management (PIM) para grupos. Los grupos se pueden usar para controlar el acceso a varios escenarios, como roles de Microsoft Entra, roles de Azure, Azure SQL, Azure Key Vault, Intune, otros roles de aplicación y aplicaciones de terceros.
¿Qué es PIM para grupos?
PIM para grupos forma parte de Microsoft Entra Privileged Identity Management. Junto con PIM para roles de Microsoft Entra y PIM para recursos de Azure, PIM para grupos permite a los usuarios activar la propiedad o pertenencia a un grupo de seguridad de Microsoft Entra o a un grupo de Microsoft 365. Los grupos se pueden usar para controlar el acceso a varios escenarios, como roles de Microsoft Entra, roles de Azure, Azure SQL, Azure Key Vault, Intune, otros roles de aplicación y aplicaciones de terceros.
Con PIM para grupos, puedes usar directivas similares a las que se usan en PIM para roles de Microsoft Entra y PIM para recursos de Azure: puedes requerir aprobación para la activación de pertenencia o propiedad, aplicar la autenticación multifactor (MFA), requerir justificación, limitar el tiempo de activación máximo y mucho más. Cada grupo de PIM para grupos tiene dos directivas: una para la activación de la pertenencia y otra para la activación de la propiedad en el grupo. Hasta enero de 2023, la característica PIM para grupos se denominaba "Grupos de acceso con privilegios".
Nota:
En el caso de los grupos que se usan para elevar a roles de Microsoft Entra, recomendamos requerir un proceso de aprobación para las asignaciones de miembros elegibles. Las asignaciones que se pueden activar sin aprobación pueden plantearle un riesgo de seguridad por parte de administradores con menos privilegios. Por ejemplo, el administrador del departamento de soporte técnico tiene permiso para restablecer las contraseñas de un usuario que reúna las características para ello.
¿Qué son los grupos a los que se pueden asignar roles de Microsoft Entra?
Al trabajar con Microsoft Entra ID, puedes asignar un grupo de seguridad de Microsoft Entra o un grupo de Microsoft 365 a un rol de Microsoft Entra. Esto solo es posible con grupos creados para que se les puedan asignar roles.
Para obtener más información sobre los grupos a los que se pueden asignar roles de Microsoft Entra, consulta Creación de un grupo al que se pueden asignar roles en Microsoft Entra ID.
Los grupos a los que se pueden asignar roles se benefician de protecciones adicionales en comparación con los grupos a los que no se les pueden asignar:
- En el caso de los grupos a los que se pueden asignar roles, solo pueden administrar el grupo el administrador global, el administrador de roles con privilegios o el propietario del grupo. Además, ningún otro usuario puede cambiar las credenciales de los usuarios que son miembros (activos) del grupo. Esta característica ayuda a evitar que los administradores cambien los roles a otro con más privilegios sin pasar por un procedimiento de solicitud y aprobación.
- Grupos a los que no se pueden asignar roles: varios roles de Microsoft Entra pueden administrar estos grupos. Aquí se incluyen los administradores de Exchange, administradores de grupos, administradores de usuarios, etc. Además, varios roles de Microsoft Entra pueden cambiar las credenciales de los usuarios que son miembros (activos) del grupo. Aquí se incluyen los administradores de autenticación, administradores del departamento de soporte técnico, administradores de usuarios, etc.
Para obtener más información sobre los roles integrados de Microsoft Entra y sus permisos, consulta Roles integrados de Microsoft Entra.
La característica de grupo al que se le pueden asignar roles de Microsoft Entra no forma parte de Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Para obtener más información sobre las licencias, consulta Aspectos básicos de las licencias de Gobierno de Microsoft Entra ID.
Relación entre los grupos a los que se pueden asignar roles y PIM para grupos
Los grupos de Microsoft Entra ID se pueden clasificar como a los que se les pueden asignar roles o a los que no se les pueden asignar roles. Además, cualquier grupo se puede habilitar o no habilitar para su uso con Microsoft Entra Privileged Identity Management (PIM) para grupos. Esto son propiedades independientes del grupo. Cualquier grupo de seguridad de Microsoft Entra y cualquier grupo de Microsoft 365 (excepto los grupos de pertenencia dinámica y los grupos sincronizados desde el entorno local) se pueden habilitar en PIM para grupos. No es necesario que se puedan asignar roles a un grupo para habilitarlo en PIM para grupos.
Si quieres asignar un rol de Microsoft Entra a un grupo, es necesario que al grupo se le puedan asignar roles. Incluso si no tienes previsto asignar un rol de Microsoft Entra al grupo, si el grupo proporciona acceso a recursos confidenciales, se recomienda plantearse la creación del grupo para que se le puedan asignar roles. Esto se debe a que los grupos a los que se pueden asignar roles tienen más protección. Vea "¿Qué son los grupos a los que se pueden asignar roles de Microsoft Entra?" en la sección anterior.
Importante
Hasta enero de 2023, era necesario que todos los grupos de acceso con privilegios (nombre anterior de la característica PIM para grupos) fueran grupos a los que se pueden asignar roles. Actualmente se ha quitado esta restricción. Por eso, ahora es posible habilitar más de 500 grupos por inquilino en PIM, pero solo un máximo de 500 pueden ser grupos a los que se pueden asignar roles.
Establecimiento de un grupo de usuarios como apto para un rol de Microsoft Entra
Hay dos maneras de hacer que un grupo de usuarios sea apto para un rol de Microsoft Entra:
- Realiza asignaciones activas de usuarios al grupo y, después, asigna el grupo a un rol como apto para la activación.
- Realiza la asignación activa de un rol a un grupo y asigna usuarios elegibles para la pertenencia al grupo.
Para proporcionar a un grupo de usuarios acceso Just-In-Time a roles de Microsoft Entra con permisos en SharePoint, Exchange o Seguridad y portal de cumplimiento de Microsoft Purview (por ejemplo, el rol Administrador de Exchange), asegúrate de realizar asignaciones activas de usuarios al grupo y asigna luego el grupo a un rol como apto para la activación (opción 1 anterior). Si en su lugar decides realizar asignaciones activas de un grupo a un rol y asignar usuarios para que sean aptos para la pertenencia al grupo, es posible que tardes mucho tiempo en tener todos los permisos del rol activados y listos para su uso.
Privileged Identity Management y anidación de grupos
En Microsoft Entra ID, los grupos a los que se pueden asignar roles no pueden tener otros grupos anidados dentro de ellos. Para obtener más información, consulta Uso de grupos de Microsoft Entra para administrar la asignación de roles. Esto se aplica a la pertenencia activa: un grupo no puede ser un miembro activo de otro grupo al que se pueden asignar roles.
Un grupo puede ser un miembro apto de otro grupo, incluso si se pueden asignar roles a uno de esos grupos.
Si un usuario es miembro activo del grupo A y el grupo A es un miembro apto del grupo B, el usuario puede activar su pertenencia al grupo B. Esta activación solo será para el usuario que la solicitó, no significa que todo el grupo A se convierta en miembro activo del grupo B.
Privileged Identity Management y el aprovisionamiento de aplicaciones
Si el grupo está configurado para el aprovisionamiento de aplicaciones, la activación de la pertenencia a grupos desencadenará el aprovisionamiento de la pertenencia a grupos (y la propia cuenta de usuario si no se ha aprovisionado anteriormente) en la aplicación mediante el protocolo SCIM.
Tenemos una funcionalidad que desencadena el aprovisionamiento justo después de activar la pertenencia a grupos en PIM. La configuración del aprovisionamiento depende de la aplicación. Por lo general, se recomienda tener al menos dos grupos asignados a la aplicación. En función del número de roles de la aplicación, puede optar por definir "grupos con privilegios":
Group (Grupo) | Propósito | Miembros | Pertenencia a grupos | Rol asignado en la aplicación |
---|---|---|---|---|
El grupo Todos los usuarios | Asegúrese de que todos los usuarios que necesitan acceso a la aplicación se aprovisionen constantemente en la aplicación. | Todos los usuarios que necesitan acceder a la aplicación. | Activas | Ninguno, o rol con pocos privilegios |
Grupo con privilegios | Proporcionar acceso Just-In-Time al rol con privilegios en la aplicación. | Usuarios que necesitan tener acceso Just-In-Time al rol con privilegios en la aplicación. | Elegible | Rol con privilegios |
Consideraciones clave
- ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?
- Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Microsoft Entra Privileged Identity Management (PIM):
- La pertenencia a grupos se aprovisiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
- Cuando un usuario activa su pertenencia a grupos en Microsoft Entra PIM:
- La pertenencia a grupos se aprovisiona en 2 – 10 minutos. Cuando hay una alta tasa de solicitudes a la vez, las solicitudes se limitan a una velocidad de cinco solicitudes por cada 10 segundos.
- Para los cinco primeros usuarios en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en un plazo de 2 a 10 minutos.
- Para el sexto usuario y versiones posteriores en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
- Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Microsoft Entra Privileged Identity Management (PIM):
- Si el usuario no puede acceder al grupo necesario en la aplicación de destino, revise los registros de PIM y los registros de aprovisionamiento para asegurarse de que la pertenencia al grupo se actualizó correctamente. En función de cómo se haya diseñado la aplicación de destino, la pertenencia al grupo puede tardar más tiempo en surtir efecto en la aplicación.
- Con Azure Monitor, los clientes pueden crear alertas de errores.