Compartir vía


Delegación de la gobernanza del acceso en los creadores de catálogos desde la administración de derechos

Un catálogo es un contenedor de recursos y paquetes de acceso. Creará un catálogo cuando quiera agrupar recursos relacionados y paquetes de acceso. De manera predeterminada, un administrador global o un administrador de gobernanza de identidades pueden crear un catálogo y agregar otros usuarios como propietarios de catálogo.

Nota:

Después del acceso con privilegios mínimos, se recomienda usar el rol Administrador de gobernanza de identidades cuando sea posible en la administración de derechos.

Hay tres maneras en que una organización puede delegar con catálogos:

  • Al empezar a trabajar en un proyecto piloto, los administradores de gobernanza de identidades pueden crear y administrar el catálogo. Más adelante, al pasar de piloto a producción, podrían delegar un catálogo asignando a los no administradores como propietarios al catálogo, de modo que esos usuarios pudieran mantener las directivas en el futuro.
  • Si hay recursos que no tienen propietarios, los administradores pueden crear catálogos, agregar esos recursos a cada catálogo y asignar usuarios no administradores como propietarios a un catálogo. Esto permite a los usuarios que no son administradores y no son propietarios de recursos administrar sus propias directivas de acceso para esos recursos.
  • Si los recursos tienen propietarios, los administradores pueden asignar una colección de usuarios, como un grupo dinámico de All Employees, al rol creadores de catálogo, de forma que un usuario que se encuentra en ese grupo y sus propios recursos puede crear un catálogo para sus propios recursos.

En este artículo se muestra cómo delegar a los usuarios que no son administradores para que puedan crear sus propios catálogos. Puede agregar esos usuarios al rol de creador del catálogo definido por la administración de derechos de Microsoft Entra. Puede agregar usuarios individuales o bien agregar un grupo, cuyos miembros podrán entonces crear catálogos. Después de crear un catálogo, puede agregar recursos propios a su catálogo. Pueden crear directivas y paquetes de acceso, incluidas las directivas que hacen referencia a organizaciones conectadas existentes.

Si tiene catálogos existentes para delegar, continúe en el artículo Creación y administración de un catálogo de recursos.

Como administrador de TI, delegación en un creador de catálogos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Siga estos pasos para asignar un usuario al rol de creador de catálogos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Configuración.

  3. Seleccione Editar.

    Configuración para agregar creadores de catálogos

  4. En la sección Delegar la administración de derechos, haga clic en Agregar creador de catálogos para seleccionar los usuarios o grupos en los que desea delegar este rol de administración de derechos.

  5. Elija Seleccionar.

  6. Seleccione Guardar.

Permitir que los roles delegados accedan al centro de administración de Microsoft Entra

Para permitir que los roles delegados, como creadores de catálogos y administradores de paquetes de acceso, tengan acceso al centro de administración de Microsoft Entra para administrar los paquetes de acceso, debe comprobar la configuración del portal de administración.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Identidad>Usuarios>Configuración de usuarios.

  3. Cerciórese de que Restringir el acceso al portal de administración de Microsoft Entra está establecido en No.

    Configuración de usuario de Microsoft Entra: portal de administración

Administrar asignaciones de roles mediante programación

También puede ver y actualizar las asignaciones de roles específicas del catálogo de administración de derechos y los creadores de catálogo mediante Microsoft Graph. Un usuario que tenga un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a Graph API para enumerar las definiciones de roles de la administración de derechos y enumerar las asignaciones de roles para esas definiciones de roles.

Para recuperar una lista de los usuarios y grupos asignados al rol de creadores del catálogo, el rol con el identificador de definición ba92d953-d8e0-4e39-a797-0cbedb0a89e8, use la consulta de Graph.

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Pasos siguientes