Revisión de derechos por usuario

  • 3 minutos

En la administración de derechos de Microsoft Entra, puede ver a quién se le han asignado los paquetes de acceso, su directiva y su estado. Si un paquete de acceso tiene una directiva adecuada, también puede asignar directamente al usuario un paquete de acceso. En este artículo se explica cómo consultar, agregar y eliminar asignaciones en paquetes de acceso.

Gobernanza

Con las reglas de confianza cero, revise periódicamente los paquetes de derechos. Hay herramientas integradas en el sistema para admitir esta revisión.

Ver quién tiene una asignación

Rol necesario

  • Administrador global
  • Administrador de Identity Governance
  • Administrador de usuarios
  • Propietario del catálogo
  • Administrador de paquetes de acceso
  • Administrador de asignaciones de paquetes de acceso

Siga estos pasos para revisar las asignaciones:

  1. En el centro de administración de Microsoft Entra, seleccione Gobernanza de id. y, a continuación, seleccione Administración de derechos.

  2. En el menú de la izquierda, seleccione Paquetes de acceso y luego abra el paquete de acceso.

  3. Seleccione Asignaciones para ver una lista de las asignaciones activas.

    Screenshot of the list of user in the access package, and their usage status of the entitlement.

  4. Seleccione una asignación específica para ver detalles adicionales.

  5. Para ver una lista de asignaciones que no tenían aprovisionados correctamente todos los roles de recursos, seleccione el filtro de estado y, después, seleccione Entrega.

    • Puede ver detalles adicionales sobre los errores de entrega localizando la solicitud del usuario correspondiente en la página Solicitudes.

  6. Para ver las asignaciones expiradas, seleccione el filtro de estado y, después, seleccione Expiradas.

  7. Para descargar un archivo CSV de la lista filtrada, seleccione Descargar.

Revisión de las asignaciones con PowerShell

Puede realizar una consulta en PowerShell para obtener la lista de asignaciones por usuario. Esto puede ayudar con el scripting y la automatización de las tareas de administración.

PowerShell

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
Select-MgProfile -Name "beta"
$accesspackage = Get-MgEntitlementManagementAccessPackage -DisplayNameEq "Marketing Campaign"
$assignments = Get-MgEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop
$assignments | ft Id,AssignmentState,TargetId,{$_.Target.DisplayName}

Eliminación de una asignación

Si encuentra una asignación obsoleta, realice una acción. Puede quitar una asignación que un usuario o un administrador habían solicitado anteriormente.

  1. En el centro de administración de Microsoft Entra, seleccione Gobernanza de id. y, a continuación, seleccione Administración de derechos.
  2. En el menú de la izquierda, seleccione Paquetes de acceso y luego abra el paquete de acceso.
  3. En el menú de la izquierda, seleccione Asignaciones.
  4. Seleccione la casilla que hay al lado del usuario cuya asignación desea quitar del paquete de acceso.
  5. Seleccione el botón Quitar situado cerca de la parte superior del panel izquierdo.