Descripción de las revisiones de acceso

  • 5 minutos

Las revisiones de acceso de Microsoft Entra permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Las revisiones de acceso periódicas garantizan que solo las personas adecuadas tienen acceso a los recursos. Los derechos de acceso excesivos suponen un riesgo de seguridad conocido. Sin embargo, cuando las personas se transfieren de un equipo a otro, o cuando asumen o ceden responsabilidades, los derechos de acceso pueden ser difíciles de controlar.

Microsoft Entra ID le permite colaborar con usuarios dentro de su organización y con usuarios externos. Los usuarios pueden unirse a grupos, invitar a otros usuarios, conectarse a aplicaciones en la nube y trabajar de forma remota desde sus dispositivos de trabajo o personales. Esta comodidad ha llevado a una necesidad de mejores funcionalidades de administración del acceso.

Hay muchos casos de uso en los que se deben usar las revisiones de acceso, estos son solo algunos ejemplos.

  • Demasiados usuarios en roles con privilegios: es recomendable comprobar cuántos usuarios tienen acceso administrativo y si hay algún invitado o asociado que no se haya quitado después de que se haya asignado una tarea administrativa. Puede volver a certificar los usuarios con asignación de roles en roles de Microsoft Entra como administradores globales, o en roles de recursos de Azure como, por ejemplo, administrador de acceso de usuario, en la experiencia Privileged Identity Management (PIM) de Microsoft Entra.
  • Acceso a datos críticos para la empresa: para determinados recursos, como aplicaciones críticas para la empresa, es posible que tenga que pedir a los usuarios que reconfirmen y proporcionen con regularidad una justificación sobre por qué necesitan acceso continuado, como parte de los procesos de cumplimiento.
  • Para mantener la lista de excepciones de una directiva: a veces hay casos empresariales que requieren que realice excepciones a las directivas. Como administrador de TI, puede administrar esta tarea y proporcionar a los auditores la prueba de que estas excepciones se revisan normalmente.
  • Preguntar a un grupo de propietarios para confirmar si aún necesitan invitados en sus grupos: si un grupo proporciona a los invitados acceso a contenido empresarial confidencial, es responsabilidad del propietario del grupo confirmar que los invitados todavía tienen una necesidad empresarial legítima de acceso.
  • Hacer que las revisiones se repitan periódicamente: puede configurar revisiones de acceso periódicas de los usuarios con una frecuencia establecida, como semanal, mensual, trimestral o anual, y los revisores recibirán una notificación al inicio de cada revisión. Los revisores pueden aprobar o denegar el acceso con una interfaz sencilla y con la ayuda de recomendaciones inteligentes.

Administración del acceso de usuarios y usuarios invitados con revisiones de acceso

Con las revisiones de acceso, puede garantizar fácilmente que los usuarios o invitados tienen el acceso adecuado. Puede pedir a los propios usuarios o a quien decida en su lugar que participen en una revisión de acceso y vuelvan a certificar (o atestiguar) el acceso de los usuarios. Los revisores pueden dar su aprobación para cada necesidad de acceso continuado de los usuarios, en función de las sugerencias de Microsoft Entra ID. Cuando una revisión de acceso haya terminado, es posible hacer cambios y retirar la concesión de acceso a los usuarios que ya no lo necesitan.

Revisiones de acceso de varias fases

Las revisiones de acceso de Microsoft Entra admiten hasta tres fases de revisión, en las que participan varios tipos de revisores para determinar quién necesita acceso todavía a los recursos de la empresa. Estas revisiones pueden ser para la pertenencia a grupos o equipos, el acceso a aplicaciones, asignaciones a roles con privilegios o asignaciones de paquetes de acceso. Cuando los administradores de revisión configuran la revisión para la aplicación automática de las decisiones, al final del período de revisión, se revoca el acceso a los usuarios denegados.

Las revisiones de acceso de varias fases permiten a usted y a su organización habilitar flujos de trabajo complejos para cumplir los requisitos de recertificación y auditoría mediante llamadas a varios revisores para atestiguar el acceso de los usuarios en una secuencia determinada. También le ayudan a diseñar revisiones más eficaces para los propietarios de recursos y auditores al reducir el número de decisiones de las que es responsable cada revisor.

Screen capture of an access review notification that invites users to review access rights.

Los administradores que crean revisiones de acceso pueden realizar un seguimiento del progreso a medida que los revisores completen el proceso. Los derechos de acceso no se cambian hasta que finaliza la revisión. Sin embargo, puede detener una revisión antes de que llegue a su final programado.

Una vez completada la revisión, se puede establecer para que los cambios se apliquen de forma manual o automática para quitar el acceso de una asignación de aplicación o pertenencia a un grupo, excepto para grupos dinámicos o grupos que se originen del entorno local. En esos casos, los cambios se deben aplicar directamente al grupo.