Activación de un rol de Microsoft Entra en PIM

Microsoft Entra Privileged Identity Management (PIM) simplifica el modo en que las empresas administran al acceso con privilegios a los recursos en Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Si se le ha considerado elegible para un rol administrativo, debe activar la asignación de roles cuando necesite realizar acciones con privilegios. Por ejemplo, si administra de vez en cuando características de Microsoft 365, es posible que los administradores de roles con privilegios de su organización no le hayan asignado el rol de administrador global permanente, ya que ese rol afecta también a otros servicios. En su lugar, podrían haberle hecho elegible para roles de Microsoft Entra, como administrador de Exchange Online. Puede solicitar la activación de ese rol cuando necesite sus privilegios y tendrá control de administrador durante un período predeterminado.

Este artículo está dirigido a los administradores que necesitan activar su rol de Microsoft Entra en Privileged Identity Management.

Importante

Cuando se activa un rol, Microsoft Entra PIM agrega temporalmente la asignación activa para el rol. Microsoft Entra PIM crea una asignación activa (asigna un usuario a un rol) en cuestión de segundos. Cuando se produce la desactivación (manual o a través de la expiración de la hora de activación), Microsoft Entra PIM también quita la asignación activa en cuestión de segundos.

La aplicación puede proporcionar acceso en función del rol que tiene el usuario. En algunas situaciones, es posible que el acceso a la aplicación no refleje inmediatamente el hecho de que se le haya asignado o quitado el rol al usuario. Si la aplicación previamente almacenaba en caché el hecho de que el usuario no tuviera un rol, cuando el usuario intente volver a acceder a la aplicación, es posible que no se le proporcione el acceso. Del mismo modo, si la aplicación previamente almacenaba en caché el hecho de que el usuario tuviera un rol, cuando se desactiva el rol, es posible que el usuario siga obteniendo acceso. La situación específica depende de la arquitectura de la aplicación. Para algunas aplicaciones, cerrar la sesión y volver a iniciarla puede ayudar a agregar o quitar el acceso.

Activación de un rol

Cuando necesite asumir un rol de Microsoft Entra, puede solicitar la activación al abrir Mis roles en Privileged Identity Management.

Nota:

PIM ya está disponible en la aplicación móvil de Azure (iOS | Android) para Microsoft Entra ID y los roles de recursos de Azure. Active fácilmente las asignaciones aptas, solicite renovaciones para las que van a expirar o compruebe el estado de las solicitudes pendientes. Vea más información a continuación

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Mis roles. Para información sobre cómo agregar el icono de Privileged Identity Management en el panel, consulte Primer uso de PIM.

  3. Seleccione roles de Microsoft Entra para ver una lista de los roles Microsoft Entra aptos.

    My roles page showing roles you can activate

  4. En la lista Roles de Microsoft Entra, busque el rol que desea activar.

    Microsoft Entra roles - My eligible roles list

  5. Seleccione Activar para abrir el Panel de activación.

    Microsoft Entra roles - activation page contains duration and scope

  6. Seleccione Verificación adicional necesaria y siga las instrucciones para la verificación de seguridad adicional. Se le requiere que se autentique solo una vez por sesión.

    Screen to provide security verification such as a PIN code

  7. Después de la autenticación multifactor, seleccione Activate before proceeding (Activar antes de continuar).

    Verify my identity with MFA before role activates

  8. Si desea especificar un ámbito reducido, seleccione Ámbito para abrir el panel de filtro. En el panel de filtro, puede especificar los recursos de Microsoft Entra a los que necesita acceso. Se recomienda solicitar acceso al menor número de recursos que necesite.

  9. Si es necesario, especifique una hora de inicio de activación personalizada. El rol de Microsoft Entra se activaría después de la hora seleccionada.

  10. En el campo Razón, escriba el motivo de la solicitud de activación.

  11. Seleccione Activar.

    Si el rol requiere aprobación para activarse, aparece una notificación en la esquina superior del explorador que le informa de que la solicitud está pendiente de aprobación.

    Activation request is pending approval notification

Activación del rol personalizado mediante Microsoft Graph API

Para obtener más información sobre las API de Microsoft Graph para PIM, consulte Información general sobre la administración de roles a través de la API de Privileged Identity Management (PIM).

Obtención de todos los roles aptos que se pueden activar

Cuando un usuario obtiene la idoneidad de rol por su pertenencia a un grupo, esta solicitud de Microsoft Graph no devuelve su idoneidad.

Solicitud HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

Respuesta HTTP

Para ahorrar espacio, solo se muestra la respuesta para un rol, pero se enumerarán todas las asignaciones de roles aptas que puede activar.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

Activación automática de una elegibilidad de roles con justificación

Solicitud HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Respuesta HTTP

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Visualización del estado de las solicitudes de activación

Puede ver el estado de las solicitudes pendientes de activación.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Mis solicitudes.

  3. Al seleccionar Mis solicitudes, verá una lista de los roles de Microsoft Entra y las solicitudes de rol de recursos de Azure.

    Screenshot of My requests - Microsoft Entra ID page showing your pending requests

  4. Desplácese a la derecha para ver la columna Estado de solicitud.

Cancelación de una solicitud pendiente de nueva versión

Si no necesita activar un rol que requiera aprobación, puede cancelar una solicitud pendiente en cualquier momento.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Mis solicitudes.

  3. En el rol que desea cancelar, seleccione el vínculo Cancelar.

    Al seleccionar Cancelar, se cancelará la solicitud. Para volver a activar el rol, tendrá que enviar una nueva solicitud de activación.

    My request list with Cancel action highlighted

Desactivación de una asignación de roles

Cuando se activa una asignación de roles, verá una opción Desactivar en el portal de PIM para la asignación de roles. Además, no puede desactivar una asignación de roles a los cinco minutos de la activación.

Activación de roles de PIM mediante Azure Mobile App

PIM ya está disponible en Microsoft Entra ID y en las aplicaciones móviles de roles de recursos de Azure en iOS y Android.

  1. Para activar una asignación de roles de Microsoft Entra apta, empiece por descargar Azure Mobile App (iOS | Android). También puede descargar la aplicación seleccionando "Abrir en dispositivos móviles" en Privileged Identity Management, en roles de Microsoft Entra > Mis roles >.

    Screenshot shows how to download the mobile app.

  2. Abra Azure Mobile App e inicie sesión. Seleccione la tarjeta Privileged Identity Management y seleccione Mis roles de Microsoft Entra para ver las asignaciones de roles válidas y activas.

Screenshots of the mobile app showing how a user would view available roles.

  1. Seleccione la asignación de roles y haga clic en Acción > Activar en los detalles de la asignación de roles. Complete los pasos para activar y rellenar los detalles necesarios antes de hacer clic en "Activar" en la parte inferior.

Screenshot of the mobile app showing how a user fill out the required information

  1. Vea el estado de las solicitudes de activación y las asignaciones de roles en Mis roles de Microsoft Entra.

Screenshot of the mobile app showing the user's role status.

Pasos siguientes