Realización de una revisión de acceso de los grupos y las aplicaciones en las revisiones de acceso
Como administrador, debe crear una revisión de acceso de grupos o aplicaciones. Los revisores se encargan de realizar la revisión de acceso. En este artículo se describe cómo ver los resultados de la revisión de acceso y aplicarlos.
Nota:
En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Para obtener información general sobre RGPD, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.
Requisitos previos
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Administrador global, administrador de usuarios o administrador de Identity Governance para administrar el acceso a revisiones en grupos o aplicaciones. Los usuarios que tienen el rol de administrador global o el rol administrador de roles con privilegios pueden administrar revisiones de grupos asignables de roles, consulte: Uso de grupos de Microsoft Entra para administrar asignaciones de roles
- Los lectores de seguridad tienen acceso de lectura.
Para obtener más información, consulte los Requisitos de licencia.
Visualización del estado de la revisión de acceso
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Realice los pasos siguientes para realizar un seguimiento del progreso de las revisiones de acceso a medida que se completan.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobierno de identidades>Revisiones de acceso.
En la lista, seleccione una revisión de acceso.
En la página de información general puede ver el progreso de la instancia actual de la revisión. Si no hay una instancia activa abierta en ese momento, verá información sobre la instancia anterior. Los derechos de acceso no se cambian en el directorio hasta que la revisión finaliza.
Todas las hojas situadas en actual solo se pueden ver mientras dure cada instancia de revisión.
Nota:
Aunque la revisión de acceso actual solo muestra información sobre la instancia de revisión activa, puede obtener información sobre las revisiones que aún no se han realizado en la serie en la sección Revisión programada.
La página de resultados proporciona más información sobre cada usuario en revisión de la instancia, incluida la capacidad de detener, restablecer y descargar resultados.
Si ve una revisión de acceso donde se revisa el acceso de invitado en grupos de Microsoft 365, en el panel Información general, se muestra cada grupo de la revisión.
Seleccione un grupo para ver el progreso de la revisión en ese grupo, o para detenerla, restablecerla, aplicarla o eliminarla.
Si quiere detener una revisión de acceso antes de que alcance la fecha de finalización programada, seleccione el botón Detener.
Al detener una revisión, los revisores ya no podrán proporcionar respuestas. No puede reiniciar una revisión una vez detenida.
Si ya no está interesado en la revisión de acceso, puede hacer clic en el botón Eliminar para eliminarla.
Visualización del estado de la revisión de varias fases (versión preliminar)
Para ver el estado y la fase de una revisión de acceso de varias fases:
Seleccione la revisión de varias fases cuyo estado desea comprobar o ver en qué fase se encuentra.
Seleccione Resultados en el menú de navegación izquierdo en Actual.
En la sección Estado de la página de resultados, se muestra en qué fase se encuentra la revisión de varias fases. La siguiente fase de la revisión no se activará hasta que haya transcurrido la duración especificada durante la configuración de la revisión de acceso.
Si se ha tomado una decisión, pero la duración de la revisión de esta fase aún no ha expirado, puede seleccionar el botón Detener fase actual en la página de resultados. Esto desencadenará la siguiente fase de revisión.
Recuperación de los resultados
Para ver los resultados de una revisión, seleccione la página Resultados. Para ver solo el acceso de un usuario, en el cuadro Buscar escriba el nombre para mostrar o el nombre principal de usuario de un usuario cuyo acceso se ha revisado.
Para ver los resultados de una instancia finalizada de una revisión de acceso que sea recurrente, seleccione Revisar el historial y, después, seleccione la instancia específica de la lista de instancias de la revisión de acceso finalizada, en función de las fechas inicial y final de la instancia. Se pueden obtener los resultados de esta instancia en la página Resultados. Las revisiones de acceso periódicas permiten tener una imagen constante del acceso a los recursos que es posible que deba actualizarse con más frecuencia que las revisiones de acceso únicas.
Para recuperar todos los resultados de una revisión de acceso, tanto en curso como completada, seleccione el botón Descargar. El archivo CSV resultante puede verse en Excel o en otros programas que abren archivos CSV codificados en UTF-8.
Recuperación de los resultados mediante programación
También puedes recuperar los resultados de una revisión de acceso mediante Microsoft Graph o PowerShell.
En primer lugar, deberá buscar la instancia de la revisión de acceso. Si accessReviewScheduleDefinition es una revisión de acceso periódica, las instancias representan cada periodicidad. Una revisión que no se repite tiene exactamente una instancia. Las instancias también representan cada grupo único que se está revisando en la definición de programación. Si una definición de programación revisa varios grupos, cada grupo tiene una instancia única para cada periodicidad. Cada instancia contiene una lista de decisiones para las que los revisores pueden tomar medidas, con una decisión por identidad que se está revisando.
Una vez que identifique la instancia, para recuperar las decisiones mediante Graph, llame a Graph API para enumerar las decisiones de una instancia. Si la instancia es una revisión de varias fases, llame a Graph API para enumerar las decisiones de una revisión de acceso de varias fases. El autor de la llamada debe ser un usuario en un rol adecuado con una aplicación que tenga el permiso delegado AccessReview.Read.All
o AccessReview.ReadWrite.All
, o una aplicación con el permiso de aplicación AccessReview.Read.All
o AccessReview.ReadWrite.All
. Para obtener más información, consulta el tutorial sobre cómo revisar un grupo de seguridad.
También puedes realizar esta consulta en PowerShell con el cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
de los cmdlets de Microsoft Graph PowerShell para el módulo Identity Governance. El tamaño de página predeterminado de esta API es 100 elementos de decisión.
Aplicación de cambios
Si la opción Aplicar automáticamente los resultados al recurso estaba habilitada según sus selecciones de Configuración de finalización, la aplicación automática se ejecutará una vez completada una instancia de revisión o antes si detiene manualmente la revisión.
Si la opción Aplicar automáticamente los resultados al recurso no estaba habilitada para la revisión, vaya a Historial de revisiones en Serie una vez finalizada la revisión o una vez que la revisión se haya detenido, y seleccione la instancia de la revisión que desea aplicar.
Seleccione Aplicar para aplicar manualmente los cambios. Si el acceso de un usuario se ha denegado en la revisión, al seleccionar Aplicar, Microsoft Entra ID quita la asignación de pertenencia o de la aplicación.
El estado de la revisión cambia de Completado a estados intermedios como Aplicando y, por último, a Resultado aplicado. Debería esperar ver a los usuarios denegados, si es que los hay, eliminados de la pertenencia al grupo o la asignación de aplicaciones en unos minutos.
Aplicar los resultados de manera manual o automática no tiene ningún efecto en un grupo que se origina en un directorio local. Si desea cambiar un grupo que se origina en un directorio local, descargue los resultados y aplique esos cambios a la representación del grupo en ese directorio.
Nota:
A algunos usuarios denegados no se les pueden aplicar los resultados. Entre los escenarios en los que esto podría ocurrir se incluyen:
- Revisar los miembros de un grupo de Windows Server AD local sincronizado: Si el grupo se sincroniza desde una instancia de Windows Server AD local, el grupo no se puede administrar en Microsoft Entra ID y, por lo tanto, no se puede cambiar la pertenencia.
- Revisión de un recurso (rol, grupo, aplicación) con grupos anidados asignados: para los usuarios que tienen pertenencia a través de un grupo anidado, no se les quitará su pertenencia al grupo anidado y, por tanto, conservarán el acceso al recurso que se está revisando.
- Un usuario no encontrado/otros errores pueden dar lugar a que no se admita un resultado de aplicación.
- Revisar los miembros del grupo habilitado para correo: el grupo no se puede administrar en Microsoft Entra ID, por lo que no se puede cambiar la pertenencia.
- La revisión de una aplicación que usa la asignación de grupo no quitará los miembros de esos grupos, por lo que conservarán el acceso existente de la relación de grupo para la asignación de la aplicación
Acciones realizadas en usuarios invitados denegados en una revisión de acceso
Al crear la revisión, el creador puede elegir entre dos opciones para los usuarios invitados denegados en una revisión de acceso.
- A los usuarios invitados denegados les pueden quitar acceso al recurso. Este es el valor predeterminado.
- Se puede bloquear el inicio de sesión del usuario invitado denegado durante 30 días y, a continuación, eliminarlo del inquilino. Durante el período de 30 días, un administrador puede restaurar el acceso al inquilino al usuario invitado. Una vez completado el período de 30 días, si el usuario invitado no ha vuelto a tener acceso al recurso que se le ha concedido, se le quitará del inquilino de forma permanente. Además, mediante el centro de administración de Microsoft Entra, un administrador global puede eliminar permanentemente un usuario eliminado recientemente de manera explícita antes de que se alcance ese período de tiempo. Una vez que un usuario se ha eliminado permanentemente, los datos sobre ese usuario invitado se eliminarán de las revisiones de acceso activas. La información de auditoría de los usuarios eliminados se conserva en el registro de auditoría.
Acciones realizadas en usuarios de conexión directa B2B denegados
Los equipos y usuarios de conexión directa B2B denegados perderán el acceso a todos los canales compartidos del equipo.