Compartir vía


Creación de un paquete de acceso en la administración de derechos

Un paquete de acceso le permite realizar una instalación única de los recursos y las directivas que administran automáticamente el acceso durante toda la vida del paquete de acceso. En este artículo se describe cómo crear un paquete de acceso.

Información general

Todos los paquetes de acceso deben estar en un contenedor que se conoce como catálogo. Un catálogo define qué recursos puede agregar al paquete acceso. Si no especifica un catálogo, el paquete de acceso va al catálogo general. Actualmente, no puede mover un paquete de acceso existente a otro catálogo.

Se puede usar un paquete de acceso para asignar acceso a roles de varios recursos que se encuentran en el catálogo. Si es administrador o propietario del catálogo, puede agregar recursos al catálogo al crear un paquete de acceso. También puede agregar recursos después de crear el paquete de acceso y los usuarios asignados al paquete de acceso también recibirán los recursos adicionales.

Si es un administrador de paquetes de acceso, no podrá agregar los recursos que posea a un catálogo. Está limitado a usar los recursos disponibles en el catálogo. Si necesita agregar recursos a un catálogo, puede solicitarlo al propietario del catálogo.

Todos los paquetes de acceso deben tener al menos una directiva para que se les asignen usuarios. Las directivas especifican quién puede solicitar el paquete de acceso, junto con la configuración de la aprobación y del ciclo de vida, o cómo se asigna el paquete automáticamente. Al crear un paquete de acceso, puede crear una directiva inicial para los usuarios del directorio, para los usuarios que no están en el directorio, o solo para asignaciones directas del administrador.

Diagrama de un ejemplo de catálogo de marketing, incluidos sus recursos y su paquete de acceso.

Estos son los pasos generales para crear un paquete de acceso con una directiva inicial:

  1. En Identity Governance, inicie el proceso para crear un paquete de acceso.

  2. Seleccione el catálogo donde quiera colocar el paquete de acceso y asegúrese de que tiene los recursos necesarios.

  3. Agregue roles de recursos de los recursos del catálogo al paquete de acceso.

  4. Especifique una directiva inicial para los usuarios que pueden solicitar acceso.

  5. Especifique la configuración de aprobación y la configuración del ciclo de vida en esa directiva.

Después, una vez creado el paquete de acceso, puede cambiar la configuración oculta, agregar o quitar roles de recursos y agregar directivas adicionales.

Inicie el proceso de creación

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son Propietario del catálogo o Administrador de paquetes de acceso.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. Seleccione New access package (Nuevo paquete de acceso).

    Captura de pantalla que muestra el botón para crear un nuevo paquete de acceso en el Centro de administración de Microsoft Entra.

Configurar conceptos básicos

En la pestaña Aspectos básicos, asigne un nombre al paquete de acceso y especifique en qué catálogo quiere crear el paquete de acceso.

  1. Escriba un nombre para mostrar y una descripción para el paquete de acceso. Los usuarios ven esta información cuando envían una solicitud para el paquete de acceso.

  2. En la lista desplegable Catálogo, seleccione el catálogo en el que quiera colocar el paquete de acceso. Por ejemplo, puede que tenga un propietario de catálogo que administra todos los recursos de marketing que se pueden solicitar. En este caso, puede seleccionar el catálogo de marketing.

    Solo verá los catálogos en los que tiene permiso para crear paquetes de acceso. Para crear un paquete de acceso en un catálogo existente, debe ser al menos un administrador de Identity Governance. O bien, debe ser propietario del catálogo o administrador de paquetes de acceso en ese catálogo.

    Captura de pantalla que muestra información básica para un nuevo paquete de acceso.

    Si es al menos un administrador de Identity Governance o el creador del catálogo y quiere crear el paquete de acceso en un catálogo nuevo que no aparece en la lista, seleccione Crear catálogo. Escriba el nombre del catálogo y la descripción y después seleccione Crear.

    El paquete de acceso que está creando y los recursos incluidos en él se agregan al nuevo catálogo. Más adelante, puedes agregar más propietarios del catálogo o agregar atributos a los recursos que has colocado en el catálogo. Para obtener más información sobre cómo editar la lista de atributos de un recurso de catálogo específico y los roles de los requisitos previos, lee Adición de atributos de recursos al catálogo.

  3. Selecciona Siguiente: Roles de recurso.

Selecciona roles de recurso

En la pestaña Roles de recurso, se seleccionan los recursos que se incluirán en el paquete de acceso. Los usuarios que solicitan y reciben el paquete de acceso reciben todos los roles de recursos, como la pertenencia a grupos, en el paquete de acceso.

Si no estás seguro de qué roles de recursos incluir, puedes omitir adicionarlos al crear el paquete de acceso y, a continuación, agregarlos más tarde.

  1. Selecciona el tipo de recurso que quiera agregar (Grupos y equipos, Aplicaciones o Sitios de SharePoint).

  2. En el panel Seleccionar aplicaciones que aparece, selecciona uno o varios recursos de la lista.

    Captura de pantalla que muestra el panel de selección de aplicaciones para roles de recursos en un nuevo paquete de acceso.

    Si estás creando el paquete de acceso en el catálogo general o un catálogo nuevo, puedes elegir cualquier recurso del directorio que posee. Debes ser al menos un administrador de gobernanza de identidades o creador de catálogos.

    Nota:

    Puedes agregar grupos de pertenencia dinámica a catálogos y paquetes de acceso. Sin embargo, solo puedes seleccionar el rol de propietario al administrar un recurso de grupo dinámico de un paquete de acceso.

    Si estás creando el paquete de acceso en un catálogo existente, puedes seleccionar cualquier recurso que ya esté en el catálogo sin que sea necesario ser su propietario.

    Si eres al menos un administrador de gobernanza de identidades o el propietario del catálogo, tienes la opción adicional de seleccionar los recursos que posees o administras, pero que aún no están en el catálogo. Si seleccionas recursos del directorio que no están actualmente en el catálogo seleccionado, estos también se agregan al catálogo para que otros administradores de catálogos compilen paquetes de acceso con ellos. Para ver todos los recursos del directorio que se pueden agregar al catálogo, activa la casilla Ver todo en la parte superior del panel. Si solo deseas seleccionar los recursos que se encuentran actualmente en el catálogo seleccionado, deja la casilla Ver todo desactivada (estado predeterminado).

  3. En la lista Roles, selecciona el rol que quieres que se les asigne a los usuarios para el recurso. Para obtener más información sobre la selección de los roles adecuados para un recurso, consulta Cómo determinar qué roles de recursos incluir en un paquete de acceso.

    Captura de pantalla que muestra la selección de un rol de recurso para un nuevo paquete de acceso.

  4. Selecciona Siguiente: Solicitudes.

Creación de la directiva inicial

En la pestaña Solicitudes, crearás la primera directiva para especificar quién puede solicitar el paquete de acceso. También se configuran la configuración de aprobación para esa directiva. Más adelante, después de crear el paquete de acceso con esta directiva inicial, puedes agregar más directivas para permitir que grupos adicionales de usuarios soliciten el paquete de acceso con su propia configuración de aprobación, o para asignar el acceso automáticamente.

Captura de pantalla que muestra la pestaña Solicitudes para un nuevo paquete de acceso.

En función de los usuarios que quieras poder solicitar este paquete de acceso, realiza los pasos de una de las siguientes secciones Permitir que los usuarios de tu directorio soliciten el paquete de acceso, Permitir que los usuarios que no estén en tu directorio soliciten el paquete de acceso o Permitir solo asignaciones directas de administrador. Si no estás seguro de qué configuración de solicitud o aprobación necesitarás, planeas crear asignaciones para los usuarios que ya tienen acceso a los recursos subyacentes o planeas usar directivas de asignación automática de paquetes de acceso para automatizar el acceso, selecciona la directiva de asignación directa como directiva inicial.

Permitir que los usuarios del directorio soliciten el paquete de acceso

Usa los siguientes pasos si quieres que los usuarios que están en el directorio puedan solicitar este paquete de acceso. Al definir la directiva de solicitud, puedes especificar usuarios individuales o (más comúnmente) grupos de usuarios. Por ejemplo, es posible que tu organización ya tenga un grupo, como Todos los empleados. Si ese grupo se agrega a la directiva para los usuarios que pueden solicitar acceso, entonces cualquier miembro de ese grupo podrá solicitar acceso.

  1. En la sección Users who can request access, selecciona For users in your directory.

    Cuando se selecciona esta opción, aparecen nuevas opciones para restringir aún más quién en el directorio puede solicitar este paquete de acceso.

    Captura de pantalla que muestra la opción para permitir a los usuarios y grupos del directorio solicitar un paquete de acceso.

  2. Selecciona una de las siguientes opciones:

    Opción Descripción
    Usuarios y grupos específicos Elige esta opción si deseas que solo los usuarios y grupos del directorio que especifiques puedan solicitar este paquete de acceso.
    Todos los miembros (excepto invitados) Elige esta opción si deseas que todos los usuarios miembros del directorio puedan solicitar este paquete de acceso. Esta opción no incluye ningún usuario invitado al que puedas haber invitado en tu directorio.
    Todos los usuarios (incluidos invitados) Elige esta opción si deseas que todos los usuarios miembros y los usuarios invitados del directorio puedan solicitar este paquete de acceso.

    Los usuarios invitados son usuarios externos que se han invitado a su directorio a través de Microsoft Entra B2B. Para más información sobre las diferencias entre los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Microsoft Entra ID?

  3. Si seleccionó Usuarios y grupos específicos, seleccione Agregar usuarios y grupos.

  4. En el panel Seleccionar usuarios y grupos, seleccione los usuarios y grupos que quiera agregar.

    Captura de pantalla que muestra el panel de selección de usuarios y grupos para un paquete de acceso.

  5. Elija Seleccionar para agregar los usuarios y grupos.

  6. Vaya a la sección Especificar configuración de aprobación.

Permitir que los usuarios que no están en el directorio soliciten el paquete de acceso

Es posible que los usuarios que se encuentren en otro directorio o dominio de Microsoft Entra aún no se hayan invitado al directorio. Los directorios de Microsoft Entra deben configurarse para permitir invitaciones en Restricciones de colaboración. Para más información, consulte Configuración de la colaboración externa.

Se creará una cuenta de usuario invitado para un usuario que aún no esté en el directorio cuya solicitud se haya aprobado o no necesite aprobación. Se invitará al invitado, pero no recibirá un correo electrónico de invitación. En su lugar, recibirá un correo electrónico cuando se entregue su asignación de paquete de acceso. Más adelante, cuando ese usuario invitado ya no tenga ninguna asignación de paquete de acceso porque su última asignación ha expirado o se ha cancelado, se bloqueará el inicio de sesión de esa cuenta y se eliminará posteriormente. El bloqueo y la eliminación se producen de forma predeterminada.

Si quiere que los usuarios invitados permanezcan en el directorio de manera indefinida, incluso si no tienen ninguna asignación de paquete de acceso, puede cambiar la configuración de la administración de derechos. Para obtener más información acerca del objeto de usuario invitado, vea Propiedades de un usuario de colaboración B2B de Microsoft Entra.

Siga estos pasos si quiere que los usuarios que no están en el directorio soliciten este paquete de acceso:

  1. En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione Para los usuarios que no están en su directorio.

    Cuando se selecciona esta opción, aparecen nuevas opciones.

    Captura de pantalla que muestra la opción para permitir a los usuarios y grupos que no están en el directorio solicitar un paquete de acceso.

  2. Seleccione una de las siguientes opciones:

    Opción Descripción
    Organizaciones conectadas específicas Elija esta opción si desea seleccionar de una lista de organizaciones que el administrador haya agregado anteriormente. Todos los usuarios de las organizaciones seleccionadas pueden solicitar este paquete de acceso.
    Todas las organizaciones conectadas Elija esta opción si todos los usuarios de todas las organizaciones conectadas configuradas pueden solicitar este paquete de acceso.
    Todos los usuarios (todas las organizaciones conectadas y todos los nuevos usuarios externos) Elija esta opción si algún usuario puede solicitar este paquete de acceso y si la configuración de la lista de permitidos o bloqueados de B2B debe tener prioridad frente a cualquier usuario externo nuevo.

    Una organización conectada es un dominio o directorio externo de Microsoft Entra con el que tiene relación.

  3. Si seleccionó Organizaciones conectadas específicas, seleccione Agregar directorios para seleccionar en una lista de las organizaciones conectadas que el administrador haya agregado anteriormente.

  4. Escriba el nombre o el nombre de dominio para buscar una organización anteriormente conectada.

    Captura de pantalla que muestra el cuadro de búsqueda para seleccionar un directorio para las solicitudes a un paquete de acceso.

    Si la organización con la que desea colaborar no está en la lista, puede pedir al administrador que la agregue como una organización conectada. Para más información, consulte Incorporación de una organización conectada.

  5. Si seleccionó Todas las organizaciones conectadas, debe confirmar la lista de organizaciones conectadas que están configuradas actualmente y planeadas para que estén en el ámbito.

  6. Si seleccionó Todos los usuarios, deberá configurar aprobaciones en la sección de aprobaciones, ya que este ámbito permitiría que cualquier identidad de Internet solicitara acceso.

  7. Después de seleccionar todas las organizaciones conectadas, elija Seleccionar.

    Todos los usuarios de las organizaciones conectadas seleccionadas podrán solicitar este paquete de acceso. Esto incluye a los usuarios de Microsoft Entra ID de todos los subdominios asociados a la organización, a menos que la lista de permitidos o la lista de bloqueados de Azure B2B bloquee dichos dominios. Si especifica un dominio de proveedor de identidades sociales, como live.com, cualquier usuario del proveedor de identidades sociales podrá solicitar este paquete de acceso. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).

  8. Vaya a la sección Especificar configuración de aprobación.

Permitir solo asignaciones directas de administrador

Siga estos pasos si quiere omitir las solicitudes de acceso y permitir a los administradores asignar directamente a usuarios específicos al paquete de acceso. Los usuarios no tendrán que solicitar el paquete de acceso. Aún podrá establecer la configuración del ciclo de vida, pero no hay ninguna configuración de solicitud.

  1. En la sección Usuarios que pueden solicitar acceso, seleccione Ninguno (solo para las asignaciones directas del administrador).

    Captura de pantalla que muestra la opción para permitir solo asignaciones directas de administrador para un paquete de acceso.

    Después de crear el paquete de acceso, puede asignar directamente usuarios internos y externos específicos a él. Si especifica un usuario externo, se crea una cuenta de usuario invitado en su directorio. Para información sobre la asignación directa de un usuario, consulte Visualización, incorporación y eliminación de asignaciones en un paquete de acceso.

  2. Vaya a la sección Habilitación de solicitudes.

Especificar la configuración de aprobación

En la sección Aprobación, especifique si se requiere una aprobación cuando los usuarios soliciten este paquete de acceso. La configuración de aprobación funciona de la siguiente manera:

  • Una solicitud para una aprobación de una sola fase solo debe aprobarla uno de los aprobadores seleccionados o un aprobador de reserva.
  • Solo uno de los aprobadores seleccionados de cada fase debe aprobar una solicitud de aprobación en dos fases.
  • Un aprobador puede ser un administrador, un patrocinador de un usuario, un patrocinador interno o un patrocinador externo, en función de la gobernanza del acceso para la directiva.
  • La aprobación de cada aprobador seleccionado no es necesaria para la aprobación de una o dos fases.
  • La decisión de aprobación se basa en el aprobador que revise primero la solicitud.

Para ver una demostración de cómo agregar aprobadores a una directiva de solicitud, vea el vídeo siguiente:

Para ver una demostración de cómo agregar una aprobación de varias fases a una directiva de solicitud, vea el vídeo siguiente:

Siga estos pasos para especificar la configuración de aprobación de las solicitudes para el paquete de acceso:

  1. Para requerir la aprobación de las solicitudes de los usuarios seleccionados, establezca el botón de alternancia Requerir aprobación en . O bien, para que las solicitudes se aprueban automáticamente, establezca el botón de alternancia en No. Si la directiva permite a los usuarios externos de fuera de su organización solicitar acceso, debe requerir la aprobación para que haya supervisión sobre quién se agrega al directorio de la organización.

  2. Para requerir que los usuarios proporcionen una justificación para solicitar el paquete de acceso, establezca la opción R en .

  3. Determine si las solicitudes requieren aprobación de una o dos fases. Establezca el botón de alternancia Número de fases en 1 para una aprobación de una sola fase, en 2, para una aprobación de dos fases o en 3 para una aprobación de tres fases.

    Captura de pantalla que muestra la configuración de aprobación para las solicitudes de un paquete de acceso.

Siga estos pasos para agregar aprobadores después de seleccionar el número de fases.

Aprobación de una sola fase

  1. Agregue la información del Primer aprobador:

    • Si la directiva está establecida en Para los usuarios del directorio, puede seleccionar tanto Administrador como aprobador como Patrocinadores como aprobadores. O bien, puede agregar un usuario específico seleccionando Elegir aprobadores específicos y, a continuación, seleccionando Agregar aprobadores.

      Para usar Patrocinadores como aprobadores para Aprobación, debe tener una licencia de Microsoft Entra ID Governance. Para más información, consulte Comparación de las características de disponibilidad general de Microsoft Entra ID.

      Captura de pantalla que muestra las opciones para un primer aprobador si la directiva se establece para los usuarios de su directorio.

    • Si esta directiva está establecida en Para los usuarios que no están en el directorio, puede seleccionar Patrocinador externo o Patrocinador interno. O bien, puede agregar un usuario específico seleccionando Elegir aprobadores específicos y, a continuación, seleccionando Agregar aprobadores.

      Captura de pantalla que muestra las opciones para un primer aprobador si la directiva se establece para los usuarios que no están en su directorio.

  2. Si seleccionó Administrador como el primer aprobador, seleccione Agregar reserva para seleccionar uno o más usuarios o grupos del directorio como aprobador de reserva. Los aprobadores de reserva reciben la solicitud si la administración de derechos no encuentra al administrador del usuario que solicita el acceso.

    La administración de derechos busca el administrador mediante el atributo Administrador. El atributo está en el perfil de usuario en Microsoft Entra ID. Para más información, consulte: Agregar o actualizar la información de perfil y la configuración de un usuario.

  3. Si seleccionó Patrocinadores como el primer aprobador, seleccione Agregar reserva para seleccionar uno o más usuarios o grupos del directorio como aprobadores de reserva. Los aprobadores de reserva reciben la solicitud si la administración de derechos no encuentra al patrocinador del usuario que solicita el acceso.

    La administración de derechos busca patrocinadores mediante el atributo Patrocinadores. El atributo está en el perfil de usuario en Microsoft Entra ID. Para más información, consulte: Agregar o actualizar la información de perfil y la configuración de un usuario.

  4. Si seleccionó Elegir aprobadores específicos, seleccione Agregar aprobadores para seleccionar uno o varios usuarios o grupos del directorio para que sean aprobadores.

  5. En la casilla ¿Dentro de cuántos días es necesario tomar una decisión?, especifique el número de días que un aprobador tiene para revisar una solicitud para este paquete de acceso.

    Si no se aprueba una solicitud durante este período de tiempo, se rechaza automáticamente. El usuario deberá enviar otra solicitud para el paquete de acceso.

  6. Para requerir que los aprobadores justifiquen su decisión, establezca la opción Requerir justificación del aprobador en .

    La justificación es visible para otros aprobadores y el solicitante.

Aprobación en dos fases

Si seleccionó una aprobación de dos fases, debe agregar otro aprobador:

  1. Agregue la información del Segundo aprobador:

    • Si los usuarios están en su directorio, puede seleccionar Patrocinadores como aprobadores. O bien, agregue un usuario específico seleccionando Elegir aprobadores específicos en el menú desplegable y, después, Agregar aprobadores.

      Captura de pantalla que muestra las opciones para un segundo aprobador si la directiva se establece para los usuarios de su directorio.

    • Si los usuarios no están en el directorio, seleccione Patrocinador interno o Patrocinador externo como el segundo aprobador. Después de seleccionar el aprobador, agregue los aprobadores de reserva.

      Captura de pantalla que muestra las opciones para un segundo aprobador si la directiva se establece para los usuarios que no están en su directorio.

  2. En el cuadro ¿Dentro de cuántos días es necesario tomar una decisión?, especifique el número de días que el segundo aprobador tiene para aprobar la solicitud.

  3. Establezca el botón de alternancia Requerir justificación del aprobador en o en No.

Aprobación en tres fases

Si seleccionó una aprobación en tres fases, deberá agregar un tercer aprobador:

  1. Agregue la información del tercer aprobador:

    Si los usuarios están en el directorio, agregue un usuario específico como el tercer aprobador seleccionando Elegir aprobadores específicos>Agregar aprobadores.

    Captura de pantalla que muestra las opciones para un tercer aprobador si la directiva se establece para los usuarios de su directorio.

  2. En el cuadro ¿Dentro de cuántos días es necesario tomar una decisión?, especifique el número de días que el segundo aprobador tiene para aprobar la solicitud.

  3. Establezca el botón de alternancia Requerir justificación del aprobador en o en No.

Aprobadores alternativos

Puede especificar aprobadores alternativos de manera similar a cómo se especifican el primer y el segundo aprobador que pueden aprobar solicitudes. Tener aprobadores alternativos le ayuda a asegurarse de que las solicitudes se aprueban o deniegan antes de que expiren (tiempo de expiración). Puede incluir aprobadores alternativos para el primer aprobador y el segundo aprobador para la aprobación en dos fases.

Al especificar aprobadores alternativos, si el primer o el segundo aprobador no puede aprobar ni rechazar la solicitud, la solicitud pendiente se reenvía a los aprobadores alternativos. La solicitud se envía según la programación de reenvío que especificó durante la configuración de la directiva. Los aprobadores reciben un correo electrónico para aprobar o denegar la solicitud pendiente.

Después de reenviar la solicitud a los aprobadores alternativos, el primer o el segundo aprobador puede seguir aprobando o denegando la solicitud. Los aprobadores alternativos usan el mismo sitio Mi acceso para aprobar o denegar la solicitud pendiente.

Puede designar personas o grupos como aprobadores y aprobadores alternativos. Asegúrese de que se muestran distintos conjuntos de personas como el primer aprobador, el segundo aprobador y los aprobadores alternativos. Por ejemplo, si especificó que Alice y Bob sean los primeros aprobadores, indique que Carol y Dave serán los aprobadores alternativos.

Siga estos pasos para agregar aprobadores alternativos a un paquete de acceso:

  1. En Primer aprobador, Segundo aprobador, o en ambos, seleccione Mostrar configuración de solicitud avanzada.

    Captura de pantalla de la selección para mostrar la configuración avanzada de solicitudes.

  2. Establezca la opción de alternancia Si no se toman medidas, ¿quiere realizar el reenvío a los aprobadores alternativos? en .

  3. Seleccione Agregar aprobadores alternativos y, después, seleccione los aprobadores alternativos de la lista.

    Captura de pantalla que muestra la configuración avanzada de las solicitudes, incluido el enlace para añadir aprobadores alternativos.

    Si selecciona Administrador como primer aprobador, aparece una opción adicional en el cuadro Aprobador alternativo: Administrador de segundo nivel como aprobador alternativo. Si selecciona esta opción, debe agregar un aprobador de reserva al que reenviar la solicitud en caso de que el sistema no encuentre el administrador de segundo nivel.

  4. En el cuadro ¿Dentro de cuántos días quiere realizar el reenvío a los aprobadores alternativos?, escriba el número de días durante los cuales los aprobadores pueden aprobar o denegar una solicitud. Si ningún aprobador aprueba o deniega la solicitud antes de que finalice el plazo de la solicitud, ésta expirará (tiempo de expiración). El usuario deberá enviar otra solicitud para el paquete de acceso.

Las solicitudes solo se pueden reenviar a los aprobadores alternativos un día después de la mitad de la duración de la solicitud. La decisión de los aprobadores principales debe agotar el tiempo de espera después de al menos cuatro días. Si el tiempo de espera de la solicitud es menor o igual a tres días, no hay tiempo suficiente para reenviar la solicitud a los aprobadores alternativos.

En este ejemplo, la duración de la solicitud es de 14 días. La duración de la solicitud alcanza la vida media en el día 7. Por lo tanto, la solicitud no se puede reenviar antes del día 8.

Además, las solicitudes no se pueden reenviar el último día de la duración de la solicitud. Por lo tanto, en el ejemplo, la solicitud se puede reenviar a más tardar el día 13.

Habilitación de solicitudes

  1. Si quiere que el paquete de acceso esté disponible de inmediato para que los usuarios de la directiva de solicitud puedan solicitarlo, cambie el botón de alternancia Habilitar nuevas solicitudes y asignaciones a .

    Podrá habilitarlas en todo momento, después de terminar de crear el paquete de acceso.

    Si seleccionó Ninguno (solo para las asignaciones directas del administrador) y establece Habilitar nuevas solicitudes y asignaciones en No, los administradores no podrán asignar directamente este paquete de acceso.

    Captura de pantalla en la que se muestra la opción para habilitar nuevas solicitudes y asignaciones.

  2. Vaya a la siguiente sección para obtener información sobre cómo agregar un requisito de id. verificado al paquete de acceso. De lo contrario, seleccione Siguiente.

Agregar un requisito de id. verificado

Use los siguientes pasos si desea agregar un requisito de id. verificada a la directiva de paquete de acceso. Los usuarios que desean tener acceso al paquete de acceso deberán presentar las identificaciones verificadas necesarias antes de enviar correctamente su solicitud. Para obtener información sobre cómo configurar el inquilino con el servicio de id. verificado por Microsoft Entra, consulte Introducción a id. verificado por Microsoft Entra.

Necesitas un rol de administrador global para agregar requisitos de Id. verificados a un paquete de acceso en una directiva de solicitud. Un administrador de Identity Governance, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso aún no puede agregar requisitos de identificador comprobados.

  1. Seleccione + Agregar emisor y seleccione un emisor en la red de identificación verificada de Microsoft Entra. Si desea emitir sus propias credenciales a los usuarios, puede encontrar instrucciones en Emisión de credenciales de id. verificado por Microsoft Entra desde una aplicación.

    Captura de pantalla que muestra el panel de selección de un emisor para un paquete de acceso.

  2. Seleccione los tipos de credenciales que desea que presenten los usuarios durante el proceso de solicitud.

    Captura de pantalla que muestra el área de selección de tipos de credenciales para un paquete de acceso.

    Si selecciona varios tipos de credenciales de un emisor, los usuarios tendrán que presentar credenciales de todos los tipos seleccionados. Del mismo modo, si incluye varios emisores, se pedirá a los usuarios que presenten credenciales de cada uno de los emisores que incluya en la directiva. Para proporcionar a los usuarios la opción de presentar credenciales diferentes de varios emisores, configure directivas independientes para cada tipo de emisor o credencial que acepte.

  3. Seleccione Agregar para agregar el requisito de identificación verificada a la directiva del paquete de acceso.

Adición de la información del solicitante para un paquete de acceso

  1. Vaya a la pestaña Información del solicitante y seleccione la subpestaña Preguntas.

  2. En el cuadro Pregunta, escriba una pregunta que desee formular al solicitante. Esta pregunta también se conoce como cadena de presentación.

  3. Si desea agregar sus propias opciones de localización, seleccione Agregar localización.

    Captura de pantalla que muestra el cuadro para introducir una pregunta para un solicitante.

    En el panel Agregar localización para preguntas:

    1. Para Código de idioma, seleccione el código de idioma para el idioma en el que va a traducir la pregunta.
    2. En el cuadro Texto localizado, escriba la pregunta en el idioma que configuró.
    3. Cuando termine de agregar todas las localizaciones que necesite, seleccione Guardar.

    Captura de pantalla que muestra las selecciones de localización para una pregunta.

  4. En Formato de respuesta, seleccione el formato en el que desea que los solicitantes respondan. Entre los formatos de respuesta se incluyen Texto breve, Opciones múltiples y Texto largo.

  5. Si selecciona opciones múltiples, seleccione el botón Editar y localizar para configurar las opciones de respuesta.

    Captura de pantalla que muestra opciones múltiples seleccionadas como formato de respuesta, junto con el botón para editar y localizar las opciones de respuesta.

    En el panel Ver o editar preguntas:

    1. En los cuadros Valores de respuesta, escriba las opciones de respuesta que desea proporcionar cuando el solicitante responda a la pregunta.
    2. En los cuadros Idioma, seleccione el idioma de las opciones de respuesta. Si elige más idiomas, puede localizar las opciones de respuesta.
    3. Seleccione Guardar.

    Captura de pantalla que muestra las opciones para editar y localizar las respuestas de opción múltiple.

  6. Para requerir a los solicitantes que respondan esta pregunta al solicitar acceso a un paquete de acceso, seleccione la casilla Obligatorio.

  7. Seleccione la pestaña Atributos para ver los atributos asociados a los recursos agregados al paquete de acceso.

    Nota:

    Para agregar o actualizar atributos para los recursos de un paquete de acceso, vaya a Catálogos y busque el catálogo asociado al paquete de acceso. Para más información sobre cómo editar la lista de atributos de un recurso de catálogo específico y los roles de los requisitos previos, lea Adición de atributos de recursos al catálogo.

  8. Seleccione Next (Siguiente).

Especificar un ciclo de vida

En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones.

  1. En la sección Expiración, establezca La asignación de paquetes de acceso expira en En la fecha, Número de días, Número de horas o Nunca.

    • Para la opción En la fecha, seleccione una fecha de expiración en el futuro.
    • Para la opción Número de días, especifique un número entre 0 y 3660 días.
    • En Número de horas, especifique la cantidad de horas.

    En función de lo que seleccione, la asignación de un usuario al paquete de acceso expira en una fecha concreta, algunos días después de que se haya aprobado o nunca.

  2. Si quiere que el usuario solicite una fecha específica de inicio y finalización para su acceso, haga clic en para el botón de alternancia Los usuarios pueden solicitar una línea de tiempo específica.

  3. Seleccione Mostrar configuración de expiración avanzada para ver otras opciones.

    Captura de pantalla que muestra la configuración de caducidad del ciclo de vida de un paquete de acceso.

  4. Para permitir que el usuario amplíe sus asignaciones, establezca Permitir que los usuarios extiendan el acceso en .

    Si en la directiva se permiten prórrogas, el usuario recibe un correo electrónico 14 días antes y también un día antes de que expire su asignación de paquete de acceso. El correo electrónico solicita al usuario que extienda la asignación. El usuario todavía debe estar en el ámbito de la directiva en el momento que solicite una extensión.

    Asimismo, si la directiva tiene una fecha de finalización explícita para las asignaciones y el usuario envía una solicitud para extender el acceso, la fecha de la extensión de la solicitud debe ser igual o anterior a la de expiración de las asignaciones. La directiva que usó para conceder al usuario acceso al paquete de acceso define si la fecha de extensión es anterior o igual a la expiración de la asignación. Por ejemplo, si la directiva indica que las asignaciones están configuradas para expirar el 30 de junio, la extensión máxima que un usuario puede solicitar es el 30 de junio.

    Si se extiende el acceso de un usuario, no podrá solicitar el paquete de acceso después de la fecha de extensión especificada (la fecha está establecida en la zona horaria del usuario que ha creado la directiva).

  5. Para requerir la aprobación para conceder una extensión, establezca Requerir aprobación para conceder extensión en .

    Esta aprobación usará la misma configuración de aprobación que especificó en la pestaña Solicitudes.

  6. Seleccione Siguiente o Actualizar.

Revisión y creación del paquete de acceso

En la pestaña Revisar y crear, puede revisar la configuración y comprobar si hay errores de validación.

  1. Revisar la configuración del paquete de acceso.

    Captura de pantalla que muestra un resumen de la configuración del paquete de acceso.

  2. Selecciona Crear para crear el paquete de acceso y su directiva inicial.

    El nuevo paquete de acceso aparece en la lista de paquetes de acceso.

  3. Si el paquete de acceso está pensado para que sea visible para todos los usuarios del ámbito de las directivas, deje la configuración Oculta del paquete de acceso en No. Opcionalmente, si solo tiene previsto permitir que los usuarios con el vínculo directo soliciten el paquete de acceso, edite el paquete de acceso para cambiar la configuración Oculta a . A continuación, copie el vínculo para solicitar el paquete de acceso y compártalo con los usuarios que necesitan acceso.

  4. Después puedes agregar más directivas al paquete de acceso, configurar comprobaciones de separación de funciones, o asignar directamente a un usuario.

Creación de un paquete de acceso mediante programación

Hay dos maneras de crear un paquete de acceso mediante programación: con Microsoft Graph y con los cmdlets de PowerShell para Microsoft Graph.

Crear un paquete de acceso mediante Microsoft Graph

Puede crear un paquete de acceso mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para:

  1. Enumerar los recursos en el catálogo y crear un elemento accessPackageResourceRequest para todos los recursos que aún no están en el catálogo.
  2. Recuperar los roles y ámbitos de cada recurso del catálogo. Esta lista de roles se usará en adelante para seleccionar un rol, cuando cree posteriormente un elemento resourceRoleScope.
  3. Crear un elemento accessPackage.
  4. Crear un elemento resourceRoleScope para cada rol de recurso necesario en el paquete de acceso.
  5. Crear un elemento assignmentPolicy para cada directiva necesaria en el paquete de acceso.

Creación de un paquete de acceso con Microsoft PowerShell

También puede crear un paquete de acceso en PowerShell con los cmdlets de Microsoft Graph PowerShell para el módulo Identity Governance.

En primer lugar, recupere el identificador del catálogo y del recurso y sus roles y ámbitos en ese catálogo que desea incluir en el paquete de acceso. Use un script similar al ejemplo siguiente:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

A continuación, cree el paquete de acceso:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Después de crear el paquete de acceso, asigne los roles de recurso a él. Por ejemplo, si quiere incluir el primer rol de recurso del segundo recurso devuelto anteriormente como un rol de recurso del nuevo paquete de acceso, puede usar un script similar al siguiente:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Por último, cree las directivas. En esta directiva, solo los administradores o los administradores de asignación de paquetes de acceso puede asignar acceso, y no hay revisiones de acceso. Para más ejemplos, consulte Creación de una directiva de asignación mediante PowerShell y Creación de un assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Para obtener más información, consulte Creación de un paquete de acceso en la administración de derechos para una aplicación con un solo rol mediante PowerShell.

Pasos siguientes