Activación de un rol de Microsoft Entra en PIM

Microsoft Entra Privileged Identity Management (PIM) simplifica el modo en que las empresas administran al acceso con privilegios a los recursos en Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Si ha sido apto para un rol administrativo, debe activar la asignación de roles cuando necesite realizar acciones con privilegios. Por ejemplo, si administra de vez en cuando características de Microsoft 365, es posible que los administradores de roles con privilegios de su organización no le hayan asignado el rol de administrador global permanente, ya que ese rol afecta también a otros servicios. En su lugar, podrían haberle hecho elegible para roles de Microsoft Entra, como administrador de Exchange Online. Puede solicitar la activación de ese rol cuando necesite sus privilegios y tendrá control de administrador durante un período predeterminado.

Este artículo está dirigido a los administradores que necesitan activar su rol de Microsoft Entra en Privileged Identity Management. Aunque cualquier usuario puede enviar una solicitud para el rol que necesita a través de PIM sin tener el rol Administrador de roles con privilegios (PRA), este rol es necesario para administrar y asignar roles a otros usuarios de la organización.

Importante

Cuando se activa un rol, Microsoft Entra PIM agrega temporalmente la asignación activa para el rol. Microsoft Entra PIM crea una asignación activa (asigna un usuario a un rol) en cuestión de segundos. Cuando se produce la desactivación (manual o a través de la expiración de la hora de activación), Microsoft Entra PIM también quita la asignación activa en cuestión de segundos.

La aplicación puede proporcionar acceso en función del rol que tiene el usuario. En algunas situaciones, es posible que el acceso a la aplicación no refleje inmediatamente el hecho de que se le haya asignado o quitado el rol al usuario. Si la aplicación previamente almacenaba en caché el hecho de que el usuario no tuviera un rol, cuando el usuario intente volver a acceder a la aplicación, es posible que no se le proporcione el acceso. Del mismo modo, si la aplicación previamente almacenaba en caché el hecho de que el usuario tuviera un rol, cuando se desactiva el rol, es posible que el usuario siga obteniendo acceso. La situación específica depende de la arquitectura de la aplicación. Para algunas aplicaciones, cerrar la sesión y volver a iniciarla puede ayudar a agregar o quitar el acceso.

Importante

Si un usuario que activa un rol administrativo ha iniciado sesión en Microsoft Teams en un dispositivo móvil, recibirá una notificación de la aplicación teams que indica "Abrir Teams para seguir recibiendo notificaciones de <dirección de correo electrónico" o "la dirección><de correo electrónico debe iniciar sesión para ver las notificaciones".> El usuario deberá abrir la aplicación teams para continuar recibiendo notificaciones. Este comportamiento es por diseño.

Requisitos previos

None

Activación de un rol

Cuando necesite asumir un rol de Microsoft Entra, puede solicitar la activación abriendo Mis roles en Privileged Identity Management.

Nota:

PIM ya está disponible en la aplicación móvil de Azure (iOS | Android) para Microsoft Entra ID y los roles de recursos de Azure. Active fácilmente las asignaciones aptas, solicite renovaciones para las que van a expirar o compruebe el estado de las solicitudes pendientes. Más información

1. Inicie sesión en el centro de administración de Microsoft Entra como usuario que tenga una asignación de roles apta.

2. Vaya a Id. Governance>Privileged Identity Management>Mis roles. Para obtener información sobre cómo agregar el icono de Privileged Identity Management al panel, consulte Empezar a usar Privileged Identity Management.

3. Seleccione Roles de Microsoft Entra para ver una lista de los roles aptos de Microsoft Entra.

   

4. En la lista roles de Microsoft Entra , busque el rol que desea activar.

   

5. Seleccione Activar para abrir el panel Activar.

   

6. Seleccione Comprobación adicional necesaria y siga las instrucciones para proporcionar comprobación de seguridad. Se le requiere que se autentique solo una vez por sesión.

   

7. Después de la autenticación multifactor, seleccione Activar antes de continuar.

   

8. Si desea especificar un ámbito reducido, seleccione Ámbito para abrir el panel de filtro. En el panel de filtro, puede especificar los recursos de Microsoft Entra a los que necesita acceso. Se recomienda solicitar acceso al menor número de recursos que necesite.

9. Si es necesario, especifique una hora de inicio de activación personalizada. El rol de Microsoft Entra se activaría después de la hora seleccionada.

10. En el cuadro Motivo , escriba el motivo de la solicitud de activación.

11. Seleccione Activar.

    Si el rol requiere aprobación para activarse, aparece una notificación en la esquina superior derecha del explorador que le informa de que la solicitud está pendiente de aprobación.

    

    Activación del rol personalizado mediante Microsoft Graph API

    Para obtener más información sobre las API de Microsoft Graph para PIM, consulte Información general sobre la administración de roles a través de la API de administración de identidades con privilegios (PIM).

    Obtención de todos los roles aptos que se pueden activar

    Cuando un usuario obtiene la idoneidad de rol por su pertenencia a un grupo, esta solicitud de Microsoft Graph no devuelve su idoneidad.

    Solicitud HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Respuesta HTTP

    Para ahorrar espacio, solo se muestra la respuesta para un rol, pero se enumerarán todas las asignaciones de roles aptas que puede activar.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Activación automática de una elegibilidad de roles con justificación

    Solicitud HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Respuesta HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Visualización del estado de las solicitudes de activación

Puede ver el estado de las solicitudes pendientes de activación.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Id. Governance>Privileged Identity Management>Mis solicitudes.

3. Al seleccionar Mis solicitudes , verá una lista del rol de Microsoft Entra y las solicitudes de rol de recursos de Azure.

   

4. Desplácese a la derecha para ver la columna Estado de la solicitud .

Cancelación de una solicitud pendiente de nueva versión

Si no necesita activar un rol que requiera aprobación, puede cancelar una solicitud pendiente en cualquier momento.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Id. Governance>Privileged Identity Management>Mis solicitudes.

3. Para el rol que desea cancelar, seleccione el vínculo Cancelar .

   Al seleccionar Cancelar, se cancelará la solicitud. Para volver a activar el rol, tendrá que enviar una nueva solicitud de activación.

   

Desactivación de una asignación de roles

Cuando se activa una asignación de roles, verá una opción Desactivar en el portal de PIM para la asignación de roles. Además, no puede desactivar una asignación de roles a los cinco minutos de la activación.

Activación de roles de PIM mediante Azure Mobile App

PIM ya está disponible en Microsoft Entra ID y en las aplicaciones móviles de roles de recursos de Azure en iOS y Android.

Nota:

Se requiere una licencia premium P2 o EMS E5 activa para que el usuario que haya iniciado sesión lo use dentro de la aplicación.

1. Para activar una asignación de roles de Microsoft Entra apta, empiece por descargar la aplicación móvil de Azure (iOS | Android). También puede descargar la aplicación seleccionando "Abrir en dispositivos móviles" en Privileged Identity Management, en roles de Microsoft Entra > Mis roles >.

   

2. Abra Azure Mobile App e inicie sesión. Seleccione la tarjeta Privileged Identity Management y seleccione Mis roles de Microsoft Entra para ver las asignaciones de roles válidas y activas.

   

3. Seleccione la asignación de roles y haga clic en Activar > acción en los detalles de la asignación de roles. Complete los pasos para activar y rellenar los detalles necesarios antes de hacer clic en "Activar" en la parte inferior.

   

4. Vea el estado de las solicitudes de activación y las asignaciones de roles en Mis roles de Microsoft Entra.

   

Contenido relacionado

• Visualización del historial de auditoría para los roles de Microsoft Entra

Microsoft Entra Privileged Identity Management (PIM) simplifica el modo en que las empresas administran al acceso con privilegios a los recursos en Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Si ha sido apto para un rol administrativo, debe activar la asignación de roles cuando necesite realizar acciones con privilegios. Por ejemplo, si administra de vez en cuando características de Microsoft 365, es posible que los administradores de roles con privilegios de su organización no le hayan asignado el rol de administrador global permanente, ya que ese rol afecta también a otros servicios. En su lugar, podrían haberle hecho elegible para roles de Microsoft Entra, como administrador de Exchange Online. Puede solicitar la activación de ese rol cuando necesite sus privilegios y tendrá control de administrador durante un período predeterminado.

Este artículo está dirigido a los administradores que necesitan activar su rol de Microsoft Entra en Privileged Identity Management. Aunque cualquier usuario puede enviar una solicitud para el rol que necesita a través de PIM sin tener el rol Administrador de roles con privilegios (PRA), este rol es necesario para administrar y asignar roles a otros usuarios de la organización.

Importante

Cuando se activa un rol, Microsoft Entra PIM agrega temporalmente la asignación activa para el rol. Microsoft Entra PIM crea una asignación activa (asigna un usuario a un rol) en cuestión de segundos. Cuando se produce la desactivación (manual o a través de la expiración de la hora de activación), Microsoft Entra PIM también quita la asignación activa en cuestión de segundos.

La aplicación puede proporcionar acceso en función del rol que tiene el usuario. En algunas situaciones, es posible que el acceso a la aplicación no refleje inmediatamente el hecho de que se le haya asignado o quitado el rol al usuario. Si la aplicación previamente almacenaba en caché el hecho de que el usuario no tuviera un rol, cuando el usuario intente volver a acceder a la aplicación, es posible que no se le proporcione el acceso. Del mismo modo, si la aplicación previamente almacenaba en caché el hecho de que el usuario tuviera un rol, cuando se desactiva el rol, es posible que el usuario siga obteniendo acceso. La situación específica depende de la arquitectura de la aplicación. Para algunas aplicaciones, cerrar la sesión y volver a iniciarla puede ayudar a agregar o quitar el acceso.

Importante

Si un usuario que activa un rol administrativo ha iniciado sesión en Microsoft Teams en un dispositivo móvil, recibirá una notificación de la aplicación teams que indica "Abrir Teams para seguir recibiendo notificaciones de <dirección de correo electrónico" o "la dirección><de correo electrónico debe iniciar sesión para ver las notificaciones".> El usuario deberá abrir la aplicación teams para continuar recibiendo notificaciones. Este comportamiento es por diseño.

Cuando necesite asumir un rol de Microsoft Entra, puede solicitar la activación abriendo Mis roles en Privileged Identity Management.

Nota:

PIM ya está disponible en la aplicación móvil de Azure (iOS | Android) para Microsoft Entra ID y los roles de recursos de Azure. Active fácilmente las asignaciones aptas, solicite renovaciones para las que van a expirar o compruebe el estado de las solicitudes pendientes. Más información

1. Inicie sesión en el centro de administración de Microsoft Entra como usuario que tenga una asignación de roles apta.

2. Vaya a Id. Governance>Privileged Identity Management>Mis roles. Para obtener información sobre cómo agregar el icono de Privileged Identity Management al panel, consulte Empezar a usar Privileged Identity Management.

3. Seleccione Roles de Microsoft Entra para ver una lista de los roles aptos de Microsoft Entra.

   

4. En la lista roles de Microsoft Entra , busque el rol que desea activar.

   

5. Seleccione Activar para abrir el panel Activar.

   

6. Seleccione Comprobación adicional necesaria y siga las instrucciones para proporcionar comprobación de seguridad. Se le requiere que se autentique solo una vez por sesión.

   

7. Después de la autenticación multifactor, seleccione Activar antes de continuar.

   

8. Si desea especificar un ámbito reducido, seleccione Ámbito para abrir el panel de filtro. En el panel de filtro, puede especificar los recursos de Microsoft Entra a los que necesita acceso. Se recomienda solicitar acceso al menor número de recursos que necesite.

9. Si es necesario, especifique una hora de inicio de activación personalizada. El rol de Microsoft Entra se activaría después de la hora seleccionada.

10. En el cuadro Motivo , escriba el motivo de la solicitud de activación.

11. Seleccione Activar.

    Si el rol requiere aprobación para activarse, aparece una notificación en la esquina superior derecha del explorador que le informa de que la solicitud está pendiente de aprobación.

    

    Activación del rol personalizado mediante Microsoft Graph API

    Para obtener más información sobre las API de Microsoft Graph para PIM, consulte Información general sobre la administración de roles a través de la API de administración de identidades con privilegios (PIM).

    Obtención de todos los roles aptos que se pueden activar

    Cuando un usuario obtiene la idoneidad de rol por su pertenencia a un grupo, esta solicitud de Microsoft Graph no devuelve su idoneidad.

    Solicitud HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Respuesta HTTP

    Para ahorrar espacio, solo se muestra la respuesta para un rol, pero se enumerarán todas las asignaciones de roles aptas que puede activar.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Activación automática de una elegibilidad de roles con justificación

    Solicitud HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Respuesta HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Puede ver el estado de las solicitudes pendientes de activación.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Id. Governance>Privileged Identity Management>Mis solicitudes.

3. Al seleccionar Mis solicitudes , verá una lista del rol de Microsoft Entra y las solicitudes de rol de recursos de Azure.

   

4. Desplácese a la derecha para ver la columna Estado de la solicitud .

Si no necesita activar un rol que requiera aprobación, puede cancelar una solicitud pendiente en cualquier momento.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Id. Governance>Privileged Identity Management>Mis solicitudes.

3. Para el rol que desea cancelar, seleccione el vínculo Cancelar .

   Al seleccionar Cancelar, se cancelará la solicitud. Para volver a activar el rol, tendrá que enviar una nueva solicitud de activación.

   

Cuando se activa una asignación de roles, verá una opción Desactivar en el portal de PIM para la asignación de roles. Además, no puede desactivar una asignación de roles a los cinco minutos de la activación.

Activación de roles de PIM mediante Azure Mobile App

PIM ya está disponible en Microsoft Entra ID y en las aplicaciones móviles de roles de recursos de Azure en iOS y Android.

Nota:

Se requiere una licencia premium P2 o EMS E5 activa para que el usuario que haya iniciado sesión lo use dentro de la aplicación.

1. Para activar una asignación de roles de Microsoft Entra apta, empiece por descargar la aplicación móvil de Azure (iOS | Android). También puede descargar la aplicación seleccionando "Abrir en dispositivos móviles" en Privileged Identity Management, en roles de Microsoft Entra > Mis roles >.

   

2. Abra Azure Mobile App e inicie sesión. Seleccione la tarjeta Privileged Identity Management y seleccione Mis roles de Microsoft Entra para ver las asignaciones de roles válidas y activas.

   

3. Seleccione la asignación de roles y haga clic en Activar > acción en los detalles de la asignación de roles. Complete los pasos para activar y rellenar los detalles necesarios antes de hacer clic en "Activar" en la parte inferior.

   

4. Vea el estado de las solicitudes de activación y las asignaciones de roles en Mis roles de Microsoft Entra.