Definición de los paquetes de acceso
¿Qué es la administración de derechos?
Las organizaciones empresariales a menudo se enfrentan a desafíos a la hora de administrar el acceso de los empleados a recursos tales como:
- Los usuarios no saben qué acceso deberían tener e, incluso si lo supieran, podrían tener dificultades para encontrar a los usuarios adecuados que aprueben su acceso
- Una vez que los usuarios buscan y reciben acceso a un recurso, retienen el acceso por más tiempo del necesario para fines empresariales
Estos problemas se agravan para los usuarios que necesitan acceso desde otra organización, como los usuarios externos que pertenecen a organizaciones de la cadena de suministro u otros asociados comerciales. Por ejemplo, la administración de derechos de Microsoft Entra puede ayudar a las organizaciones a asegurarse de que todos los usuarios tengan acceso a los directorios correctos y de que todos los accesos de los usuarios se administren de forma coherente.
Este vídeo proporciona información general sobre la administración de derechos y su valor:
Vea este vídeo para obtener más información sobre la administración de derechos de Microsoft Entra
¿Qué se puede hacer con la administración de derechos?
Las capacidades de administración de derechos incluyen:
| Funcionalidad de administración de derechos | Descripción y valor |
|---|---|
| Delegue a los usuarios que no son administradores la posibilidad de crear paquetes de acceso. | Estos paquetes de acceso contienen recursos que los usuarios pueden solicitar, y los administradores de paquetes de acceso delegados pueden definir directivas con reglas sobre lo que los usuarios pueden solicitar, quién debe aprobar su acceso y cuándo expira este. |
| Seleccione las organizaciones conectadas cuyos usuarios pueden solicitar acceso. | Cuando un usuario que todavía no está en su directorio solicita acceso y este se aprueba, se le invita automáticamente al directorio y se le asigna acceso. Cuando expira su acceso, si no tiene otras asignaciones de paquete de acceso, su cuenta de B2B en el directorio se puede quitar automáticamente. |
Resumen de la terminología
Antes de explorar la administración de derechos y su documentación en profundidad, debe conocer los términos siguientes. No dude en consultar esta lista en cualquier momento durante este curso.
| Término | Descripción |
|---|---|
| paquete de acceso | Conjunto de recursos que un equipo o proyecto necesita y se rige por directivas. Un paquete de acceso siempre se encuentra en un catálogo. Un paquete de acceso se crearía en un escenario en el que los usuarios necesiten solicitar acceso. |
| solicitud de acceso | Solicitud para acceder a los recursos de un paquete de acceso. Una solicitud suele pasa por un flujo de trabajo de aprobación. Si se aprueba, el usuario solicitante recibe una asignación de paquete de acceso. |
| asignación | La asignación de un paquete de acceso a un usuario garantiza que el usuario tenga todos los roles de recursos de ese paquete de acceso. Las asignaciones de paquetes de acceso suelen tener un límite de tiempo antes de que expiren. |
| catalog | Un contenedor de recursos relacionados y paquetes de acceso. Los catálogos se emplean en la delegación, de modo que las personas que no son administradores pueden crear sus propios paquetes de acceso. Los propietarios de catálogos pueden agregar recursos de su propiedad a un catálogo. |
| creador de catálogos | Una colección de usuarios que están autorizados para crear catálogos. Cuando un usuario que no es administrador y que está autorizado para ser un creador de catálogos crea un catálogo, se convierte automáticamente en el propietario de dicho catálogo. |
| organización conectada | Un directorio o dominio externo de Microsoft Entra con el que tiene una relación. Los usuarios de una organización conectada se pueden especificar en una directiva como que tienen permiso para solicitar acceso. |
| policy | Un conjunto de reglas que define el ciclo de vida del acceso, como por ejemplo, cómo los usuarios obtienen acceso, quién puede aprobarlo y cuánto tiempo tienen acceso mediante una asignación. Una directiva está vinculada a un paquete de acceso. Por ejemplo, un paquete de acceso podría tener dos directivas: una para que los empleados soliciten acceso y una segunda para que lo hagan los usuarios externos. |
| resource | Un recurso, como un grupo de Office, un grupo de seguridad, una aplicación o un sitio de SharePoint Online, con un rol para el que se puede conceder permisos a un usuario. |
| directorio de recursos | Un directorio que tiene uno o más recursos para compartir. |
| rol de recurso | Una colección de permisos asociados a un recurso y definidos por él. Un grupo tiene dos roles: miembro y propietario. Los sitios de SharePoint suelen tener tres roles, pero pueden tener roles personalizados adicionales. Las aplicaciones pueden tener roles personalizados. |
¿Qué son los paquetes de acceso y qué recursos puedo administrar con ellos?
La administración de derechos presenta a Microsoft Entra ID el concepto de un paquete de acceso. Un paquete de acceso es una agrupación de todos los recursos con el acceso que necesita un usuario para trabajar en un proyecto o realizar su tarea. Los paquetes de acceso se utilizan para controlar el acceso de los empleados internos y los usuarios ajenos a la organización. Puede administrar el acceso de los usuarios a los siguientes recursos con la administración de derechos:
- Pertenencia a grupos de seguridad de Microsoft Entra.
- Pertenencia a Teams y Grupos de Microsoft 365.
- Asignación a aplicaciones empresariales de Microsoft Entra, incluidas las aplicaciones SaaS y las aplicaciones integradas personalizadas que admitan la federación o el inicio de sesión único o el aprovisionamiento.
- Pertenencia a sitios de SharePoint Online.
También puede controlar el acceso a otros recursos que dependen de los grupos de seguridad de Microsoft Entra o de Grupos de Microsoft 365. Por ejemplo, puede proporcionar:
- Licencias para Microsoft 365 con el uso de un grupo de seguridad en un paquete de acceso y la configuración de licencias basadas en grupos para ese grupo.
- Acceso para administrar los recursos de Azure mediante un grupo de seguridad en un paquete de acceso y la creación de una asignación de roles de Azure para ese grupo.
- Acceso para administrar roles de Microsoft Entra mediante grupos que se pueden asignar a los roles en un paquete de acceso y asignar un rol a ese grupo.
¿Cómo se controla quién tiene acceso?
Con un paquete de acceso, un administrador o un administrador de paquetes de acceso delegado enumera los recursos (grupos, aplicaciones y sitios) y los roles que los usuarios necesitan para esos recursos.
Los paquetes de acceso también incluyen una o varias directivas. Una directiva define las reglas o barreras para la asignación al paquete de acceso. Cada directiva puede usarse para garantizar que solo los usuarios adecuados puedan solicitar acceso, que haya aprobadores para su solicitud y que el acceso a esos recursos sea por tiempo limitado y expire si no se ha renovado.
Dentro de cada directiva, un administrador o el administrador de paquetes de acceso define los usuarios ya existentes que pueden solicitar acceso, el proceso de aprobación o denegación de acceso y la duración del acceso de un usuario.
¿Cuándo debo usar paquetes de acceso?
Los paquetes de acceso no reemplazan a otros mecanismos de asignación de acceso. Son más adecuados en situaciones como cuando:
- Los empleados necesitan acceso por tiempo limitado para una tarea determinada. Por ejemplo, podría usar licencias basadas en grupos y un grupo dinámico para asegurarse de que todos los empleados tengan un buzón de Exchange Online y usar luego los paquetes de acceso en situaciones en las que los empleados necesiten acceso adicional, por ejemplo, para leer los recursos de un departamento desde otro departamento.
- Acceso que requiera la aprobación del administrador de un empleado o de otras personas designadas.
- Los departamentos desean administrar sus propias directivas de acceso a los recursos sin la intervención del departamento de TI.
- Dos o más organizaciones colaboran en un proyecto y, como resultado, varios usuarios de una organización deberán incorporarse mediante Microsoft Entra B2B para tener acceso a los recursos de la otra organización.
El siguiente diagrama muestra un ejemplo de los elementos de la administración de derechos:
En el Paquete de acceso 1, solo hay un grupo como recurso. El acceso se define con una directiva que permite a un conjunto de usuarios del directorio solicitar acceso. El paquete de acceso 2 incluye un grupo, una aplicación y un sitio de SharePoint Online como recursos. El acceso se define con dos directivas diferentes. La primera directiva permite a un conjunto de usuarios del directorio solicitar acceso. La segunda directiva permite a los usuarios de un directorio externo solicitar acceso.