Planeación de una implementación de Privileged Identity Management

Privileged Identity Management (PIM) proporciona una activación de rol basada en tiempo y en aprobación para mitigar los riesgos de tener unos permisos de acceso excesivos, innecesarios o mal utilizados en los recursos importantes. Estos recursos incluyen recursos en Microsoft Entra ID, Azure y otros servicios de Microsoft Online Services, como Microsoft 365 o Microsoft Intune.

PIM permite admitir un conjunto específico de acciones en un ámbito determinado. Características clave:

  • Conceda privilegios de acceso Just-In-Time a los recursos

  • Asigne la idoneidad para pertenecer a PIM para grupos o poseerlos

  • Asigne acceso limitado a los recursos con fechas de inicio y fin

  • Requiera aprobación para activar los roles con privilegios

  • Aplicar la autenticación multifactor para activar cualquier rol

  • Aplicar directivas de acceso condicional para activar cualquier rol (versión preliminar pública)

  • Use la justificación para comprender por qué se activan los usuarios

  • Obtenga notificaciones cuando se activan los roles con privilegios

  • Lleve a cabo revisiones de acceso para asegurarse de que los usuarios siguen necesitando roles

  • Descargue el historial de auditoría para la auditoría interna o externa

Para sacar el máximo partido de este plan de implementación, es importante que obtenga información general de Qué es Privileged Identity Management.

Descripción de PIM

Los conceptos de PIM de esta sección le ayudarán a comprender los requisitos de Privileged Identity de su organización.

Qué puede administrar en PIM

En la actualidad, puede usar PIM con:

  • Roles de Microsoft Entra: a veces denominados roles de directorio, los roles de Microsoft Entra incluyen roles integrados y personalizados para administrar Microsoft Entra ID y otros servicios en línea de Microsoft 365.

  • Roles de Azure: roles de control de acceso basado en rol (RBAC) de Azure que conceden acceso a grupos de administración, suscripciones, grupos de recursos y recursos.

  • PIM para grupos: para configurar el acceso Just-In-Time al rol de propietario o miembro de un grupo de seguridad de Microsoft Entra. PIM para grupos no solo le ofrece un método alternativo para configurar PIM para roles de Microsoft Entra y Azure, también le permiten configurar PIM para otros permisos en servicios en línea de Microsoft como Intune, Azure Key Vault y Azure Information Protection. Si el grupo está configurado para el aprovisionamiento de aplicaciones, la activación de la pertenencia a grupos desencadena el aprovisionamiento de la pertenencia a grupos (y de la cuenta de usuario, si no se ha aprovisionado anteriormente) en la aplicación mediante el protocolo System for Cross-domain Identity Management (SCIM).

Puede asignar lo siguiente a estos roles o grupos:

  • Usuarios: para obtener acceso Just-In-Time a los roles de Microsoft Entra, los roles de Azure y PIM para grupos.

  • Grupos: cualquier miembro de un grupo para obtener acceso Just-In-Time a los roles de Microsoft Entra y los roles de Azure. En el caso de los roles de Microsoft Entra, el grupo debe ser un grupo en la nube recién creado marcado como asignable a un rol, mientras que en el caso de los roles de Azure, el grupo puede ser cualquier grupo de seguridad de Microsoft Entra. No se recomienda asignar ni anidar un grupo a PIM para Grupos.

Nota:

No puede asignar entidades de servicio como aptas para los roles de Microsoft Entra, los roles de Azure y PIM para grupos, pero puede conceder una asignación activa de tiempo limitado a los tres.

Principio de privilegio mínimo

Asigne a los usuarios el rol con los privilegios mínimos necesarios para realizar sus tareas. Esta práctica minimiza el número de administradores globales, ya que en su lugar utiliza roles de administrador específicos para determinados escenarios.

Nota

Microsoft tiene muy pocos administradores globales. Obtenga más información sobre cómo usa Microsoft la característica Privileged Identity Management.

Tipo de asignaciones

Hay dos tipos de asignación: válido y activo. Si un usuario es apto para un rol, eso significa que puede activarlo cuando necesite para realizar tareas con privilegios.

Ahora también puede establecer una hora de inicio y finalización para cada tipo de asignación. Esta adición proporciona cuatro tipos de asignaciones posibles:

  • Válido permanente

  • Activo permanente

  • Válido temporal, con las fechas de inicio y finalización especificadas para la asignación

  • Activo temporal, con las fechas de inicio y finalización especificadas para la asignación

En caso de que expire el rol, puede ampliar o renovar estas asignaciones.

Recomendamos tener cero asignaciones activas permanentemente para roles aparte de las dos cuentas de acceso para escenarios de máxima emergencia recomendadas, que deben tener el rol de administrador global permanente.

Planeamiento del proyecto

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que involucra a las partes interesadas adecuadas y que estas conocen bien sus roles.

Planeamiento de un piloto

En cada fase de la implementación, asegúrese de que está evaluando que los resultados son los esperados. Consulte Procedimientos recomendados para un piloto.

  • Empiece por un conjunto de usuarios pequeño (grupo piloto) y verifique que PIM se comporta según lo previsto.

  • Compruebe si toda la configuración que estableció para los roles o PIM para grupos funciona correctamente.

  • Revierta a producción solo tras realizarse pruebas exhaustivas.

Planeamiento de las comunicaciones

La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si experimentan cualquier problema.

Dedique tiempo al equipo de soporte técnico de TI interno para ofrecerle orientación sobre el flujo de trabajo de PIM. Debe proporcionarle los documentos apropiados y su información de contacto.

Planeamiento de pruebas y reversión

Nota:

En el caso de los roles de Microsoft Entra, las organizaciones suelen probar e implementar los administradores globales primero, mientras que en el caso de los recursos de Azure, normalmente prueban PIM en una suscripción de Azure cada vez.

Planeamiento de pruebas

Cree usuarios de prueba para verificar que la configuración de PIM funciona según lo previsto antes de que afecte a usuarios reales y pueda impedir su acceso a aplicaciones y recursos. Cree un plan de pruebas para tener una comparación entre los resultados previstos y los reales.

En la tabla siguiente se muestra un caso de prueba de ejemplo:

Role Comportamiento esperado durante la activación Resultados reales
Administrador global
  • Requerir MFA
  • Requerir aprobación
  • Requerir contexto de acceso condicional (versión preliminar pública)
  • El aprobador recibe la notificación y puede aprobar
  • El rol expira después del tiempo preestablecido
  • En el caso del rol de recursos de Azure y de Microsoft Entra ID, asegúrese de tener representados usuarios que asumirán esos roles. Además, tenga en cuenta los siguientes roles al probar PIM en el entorno de ensayo:

    Roles Roles de Microsoft Entra Roles de recursos de Azure PIM para grupos
    Miembro de un grupo x
    Miembros de un rol x x
    Propietario del servicio de TI x x
    Propietario de recurso o suscripción x x
    Propietario de PIM para grupos x

    Planeamiento de la reversión

    Si PIM no funciona según lo previsto en el entorno de producción, puede cambiar la asignación de roles de válida a activa una vez más. Para cada rol que haya configurado, seleccione los puntos suspensivos (...) correspondientes a todos los usuarios cuyo tipo de asignación sea válido. Después, puede seleccionar la opción Activar para volver atrás y hacer que la asignación de roles sea activa.

    Planeamiento e implementación de PIM para roles de Microsoft Entra

    Siga estas tareas para preparar PIM para administrar roles de Microsoft Entra.

    Detección y mitigación de roles con privilegios

    Especifique quién tiene roles con privilegios en su organización. Revise los usuarios asignados, identifique a los administradores que ya no necesiten el rol y quítelos de sus asignaciones.

    Puede usar las revisiones de acceso de roles de Microsoft Entra para automatizar la detección, revisión y aprobación o eliminación de asignaciones.

    Determinación de los roles que va a administrar PIM

    Priorice la protección de los roles de Microsoft Entra que tienen la mayoría de permisos. También es importante tener en cuenta qué datos y permisos son más sensibles para su organización.

    En primer lugar, asegúrese de que todos los roles de administrador global y de seguridad se administran mediante PIM, ya que son los usuarios que pueden hacer causar más daños al vulnerar su seguridad. A continuación, considere más roles que tendrían que administrarse y que podrían ser vulnerables a ataques.

    Puede usar la etiqueta Con privilegios para identificar roles con privilegios elevados que puede administrar con PIM. Esta etiqueta está presente en Roles y administrador en el Centro de administración de Microsoft Entra. Consulte el artículo Roles integrados de Microsoft Entra para más información.

    Configuración de PIM para roles de Microsoft Entra

    Haga un borrador de las opciones de PIM y configúrelas para cada rol de Microsoft Entra con privilegios que use su organización.

    En la siguiente tabla se muestra la configuración de ejemplo:

    Role Requerir MFA Requerimiento de acceso condicional Notificación Vale de incidente Requerimiento de aprobación Aprobador Duración de la activación Permiso de administrador
    Administrador global ✔️ ✔️ ✔️ ✔️ ✔️ Otro administrador global 1 hora Cuentas de acceso de emergencia
    Administración de Exchange ✔️ ✔️ ✔️ None 2 horas None
    Administrador del departamento de soporte técnico ✔️ None 8 horas Ninguno

    Asignación y activación de roles de Microsoft Entra

    En el caso de los roles de Microsoft Entra en PIM, los usuarios que tengan el rol Administrador de roles con privilegios o el rol Administrador global son los únicos que pueden administrar las asignaciones de otros administradores. Los administradores globales, administradores de seguridad, lectores globales y lectores de seguridad pueden ver también las asignaciones a roles de Microsoft Entra en PIM.

    Siga las instrucciones del vínculo que se incluye a continuación:

    1. Proporcione asignaciones elegibles.

    2. Permitir que los usuarios elegibles activen su rol de Microsoft Entra cuando sea necesario

    Cuando la expiración del rol esté cerca, use PIM para ampliar o renovar los roles. Ambas acciones iniciadas por el usuario requieren una aprobación de un administrador global o un administrador de roles con privilegios.

    Cuando estos eventos importantes se producen en los roles de Microsoft Entra, PIM envía notificaciones por correo electrónico y correos electrónicos de resumen semanales a administradores con privilegios dependiendo de la configuración de roles, eventos y notificaciones. Estos mensajes de correo electrónico también podrían incluir vínculos a tareas pertinentes, tales como la activación o renovación de un rol.

    Nota:

    También puede realizar estas tareas de PIM mediante las API de Microsoft Graph para roles de Microsoft Entra.

    Aprobación o denegación de solicitudes de activación de PIM

    Un aprobador delegado recibe una notificación por correo electrónico cuando una solicitud está pendiente de aprobación. Siga estos pasos para aprobar o denegar solicitudes para activar un rol de recursos de Azure.

    Visualización del historial de auditoría para los roles de Microsoft Entra

    Vea el historial de auditoría de todas las asignaciones de roles y activaciones en los últimos 30 días de los roles de Microsoft Entra. Puede acceder a los registros de auditoría si es un administrador global o un administrador de roles con privilegios.

    Recomendamos tener al menos un administrador que lea todos los eventos de auditoría cada semana y los exporte una vez al mes.

    Alertas de seguridad para roles de Microsoft Entra

    Configure alertas de seguridad para los roles de Microsoft Entra que desencadenarán una alerta en caso de actividad sospechosa o no segura.

    Planeamiento e implementación de PIM para roles de recursos de Azure

    Siga estas tareas para preparar PIM para administrar roles de recursos de Azure.

    Detección y mitigación de roles con privilegios

    Minimice las asignaciones de administrador de acceso de usuario y propietario conectadas a cada suscripción o recurso y quite las asignaciones innecesarias.

    Como administrador global puede elevar el privilegio de acceso para administrar todas las suscripciones de Azure. A continuación, puede encontrar a cada propietario de la suscripción y trabajar con él para quitar las asignaciones innecesarias dentro de sus suscripciones.

    Use las revisiones de acceso para recursos de Azure a fin de auditar y quitar las asignaciones de roles innecesarias.

    Determinación de los roles que va a administrar PIM

    Al decidir qué asignaciones de roles deben administrarse mediante PIM para recursos de Azure, primero debe identificar los grupos de administración, las suscripciones, los grupos de recursos y los recursos que son más vitales para su organización. Considere la posibilidad de usar grupos de administración para organizar todos sus recursos dentro de su organización.

    Recomendamos administrar todos los roles de administrador de acceso de usuario y propietario de la suscripción mediante PIM.

    Trabaje con los propietarios de la suscripción para documentar los recursos administrados por cada suscripción y clasificar el nivel de riesgo de cada recurso si se pone en riesgo. Priorice la administración de recursos con PIM según el nivel de riesgo. Esto también incluye los recursos personalizados asociados a la suscripción.

    También recomendamos colaborar con los propietarios de las suscripciones y recursos de servicios críticos para configurar el flujo de trabajo de PIM de todos los roles dentro de suscripciones o recursos confidenciales.

    En el caso de las suscripciones o los recursos que no son tan críticos, no necesitará configurar PIM para todos los roles. Sin embargo, todavía debe proteger los roles de administrador de acceso de usuario y propietario con PIM.

    Configuración de las opciones de PIM para roles de recursos de Azure

    Haga un borrador de las opciones para los roles de recursos de Azure que tiene previsto proteger con PIM.

    En la siguiente tabla se muestra la configuración de ejemplo:

    Role Requerir MFA Notificación Requerimiento de acceso condicional Requerimiento de aprobación Aprobador Duración de la activación Administrador activo Expiración del rol activo Expiración del rol válido
    Propietario de las suscripciones críticas ✔️ ✔️ ✔️ ✔️ Otros propietarios de la suscripción 1 hora None N/D 3 meses
    Administrador de acceso de usuario de suscripciones menos críticas ✔️ ✔️ ✔️ None 1 hora None N/D 3 meses

    Asignación y activación de roles de recursos de Azure

    En el caso de los roles de recursos de Azure en PIM, solo un administrador de acceso de usuario o propietario puede administrar las asignaciones de otros administradores. De forma predeterminada, los usuarios que son administradores de roles con privilegios, administradores de seguridad o lectores de seguridad no tienen acceso para ver asignaciones a roles de recursos de Azure.

    Siga las instrucciones del vínculo que se incluye a continuación:

    1.Proporcione asignaciones válidas.

    2.Permita que los usuarios elegibles activen sus roles de Azure cuando sea necesario.

    Cuando la expiración de la asignación de roles con privilegios esté cerca, use PIM para ampliar o renovar los roles. Ambas acciones iniciadas por el usuario requieren una aprobación del administrador de acceso de usuario o propietario del recurso.

    Cuando estos eventos importantes se producen en los roles de recursos de Azure, PIM envía notificaciones por correo electrónico a administradores de acceso de usuario y propietarios. Estos mensajes de correo electrónico también podrían incluir vínculos a tareas pertinentes, tales como la activación o renovación de un rol.

    Aprobación o denegación de solicitudes de activación de PIM

    Aprobación o denegación de solicitudes de activación para roles de Microsoft Entra: un aprobador delegado recibe una notificación por correo electrónico cuando una solicitud está pendiente de aprobación.

    Visualización del historial de auditoría para los roles de recursos de Azure

    Vea el historial de auditoría de todas las asignaciones y activaciones en los últimos 30 días de los roles de recursos de Azure.

    Alertas de seguridad para roles de recursos de Azure

    Configure alertas de seguridad para los roles de recursos de Azure que desencadenarán una alerta en caso de actividad sospechosa o no segura.

    Planear e implementar PIM para PIM para grupos

    Siga estas tareas para preparar PIM para administrar PIM para grupos.

    Descubrir PIM para grupos

    Puede darse el caso de que una persona tenga cinco o seis asignaciones elegibles a los roles de Microsoft Entra mediante PIM. Tendrá que activar cada rol individualmente, lo que puede reducir la productividad. Peor aún, también puede tener decenas o cientos de recursos de Azure asignados, lo que agrava el problema.

    En este caso, debe usar PIM para grupos. Cree un PIM para grupos y concédale acceso activo permanente a varios roles. Consulte Privileged Identity Management (PIM) para grupos (versión preliminar).

    Para administrar un grupo al que se pueden asignar roles de Microsoft Entra como PIM para grupos, incorpórelo a la administración de PIM.

    Configurar la configuración de PIM para PIM para grupos

    Haga un borrador de las opciones y configúrelas para PIM para grupos que tiene previsto proteger con PIM.

    En la siguiente tabla se muestra la configuración de ejemplo:

    Role Requerir MFA Notificación Requerimiento de acceso condicional Requerimiento de aprobación Aprobador Duración de la activación Administrador activo Expiración del rol activo Expiración de rol válido
    Propietario ✔️ ✔️ ✔️ ✔️ Otros propietarios del recurso Una hora Ninguno N/D 3 meses
    Miembro ✔️ ✔️ ✔️ Ninguno Cinco horas Ninguno N/D 3 meses

    Asignación de idoneidad para PIM para grupos

    Puede asignar la idoneidad a los miembros o propietarios de PIM para grupos. Con una sola activación, tendrán acceso a todos los recursos vinculados.

    Nota:

    Puede asignar el grupo a uno o varios roles de recursos de Azure y Microsoft Entra ID de la misma manera que asigna roles a los usuarios. Se puede crear un máximo de 500 grupos a los que se puedan asignar roles en una sola organización de Microsoft Entra (inquilino).

    Diagram of assign eligibility for PIM for Groups.

    Cuando la expiración de la asignación de grupos esté cerca, use PIM para ampliar o renovar la asignación de grupos. Esta operación requiere la aprobación del propietario del grupo.

    Aprobación o denegación de la solicitud de activación de PIM

    Configure propietarios o miembros de PIM para grupos para requerir la aprobación de la activación y elegir usuarios o grupos de la organización de Microsoft Entra como aprobadores delegados. Se recomienda seleccionar dos o más aprobadores para cada grupo a fin de reducir la carga de trabajo del administrador de roles con privilegios.

    Aprobar o denegar solicitudes de activación de roles para PIM para grupos. Como un aprobador delegado, recibirá notificaciones por correo electrónico cuando una solicitud está pendiente de aprobación.

    Ver el historial de auditoría de PIM para grupos

    Vea el historial de auditoría de todas las asignaciones y activaciones en los últimos 30 días de PIM para grupos.

    Pasos siguientes