¿Qué es Microsoft Entra ID Governance?
Microsoft Entra ID Governance le permite equilibrar la productividad de los empleados y la seguridad que necesita su organización con la visibilidad y los procesos adecuados. Proporciona funcionalidades que garantizan que las personas adecuadas tienen el acceso adecuado a los recursos adecuados. Estas características de Microsoft Entra ID y Enterprise Mobility + Security y relacionadas permiten reducir el riesgo del acceso al proteger, supervisar y auditar el acceso a los recursos críticos, al mismo tiempo que garantizan la productividad de empleados y asociados empresariales.
ID Governance ofrece a las organizaciones la posibilidad de realizar las siguientes tareas con empleados, asociados empresariales, proveedores, servicios y aplicaciones tanto en el entorno local como en la nube:
- Controlar el ciclo de vida de las identidades.
- Controlar el ciclo de vida de los accesos.
- Proteger el acceso con privilegios para la administración
Está especialmente diseñado para ayudar a las organizaciones a abordar estas cuatro preguntas claves:
- ¿Qué usuarios deben tener acceso a qué recursos?
- ¿Qué hacen esos usuarios con el acceso concedido?
- ¿La organización cuenta con controles eficaces para administrar el acceso?
- ¿Los auditores pueden comprobar qué controles funcionan?
Ciclo de vida de las identidades
La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización) y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral). La administración del ciclo de vida de las identidades es la piedra angular de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a diferentes escalas, es preciso modernizar la infraestructura de administración del ciclo de vida de las identidades en las aplicaciones.
En muchas organizaciones, el ciclo de vida de las identidades de los empleados está relacionado con la representación del usuario en un sistema HCM (administración del capital humano). Microsoft Entra ID P1 o P2, a través del aprovisionamiento entrante, mantiene automáticamente las identidades de los usuarios para las personas representadas en Workday y SuccessFactors tanto en Active Directory como en Microsoft Entra ID, como se describe en la aplicación de recursos humanos en la nube para la guía de planificación de aprovisionamiento de usuarios de Microsoft Entra. Microsoft Entra ID P1 O P2 incluye también Microsoft Identity Manager, que permite importar registros desde los sistemas HCM locales, como SAP, Oracle eBusiness y Oracle PeopleSoft.
Cada vez son más los escenarios en los que es preciso colaborar con personas que están fuera de la organización. La colaboración B2B de Microsoft Entra permite compartir de forma segura las aplicaciones y servicios corporativos con usuarios invitados y asociados externos de cualquier organización, a la vez que mantiene el control sobre sus propios datos corporativos. La administración de derechos de Microsoft Entra le permite seleccionar los usuarios de la organización que tienen permiso para solicitar acceso y que se pueden agregar como invitados B2B al directorio de la organización; también garantiza que estos invitados se eliminen cuando ya no necesiten acceso.
Las organizaciones pueden automatizar el proceso de administración del ciclo de vida de la identidad mediante flujos de trabajo de ciclo de vida. Los flujos de trabajo se pueden crear para ejecutar automáticamente tareas para un usuario antes de entrar en la organización, a medida que cambian los estados durante su tiempo en la organización y a medida que abandonan la organización. Por ejemplo, un flujo de trabajo se puede configurar para enviar un correo electrónico con una contraseña temporal al administrador de un nuevo usuario o un correo electrónico de bienvenida al usuario en su primer día.
Ciclo de vida de los accesos
Las organizaciones necesitan un proceso que administre el acceso sin limitarse a lo que se aprovisionó inicialmente, cuando se creó la identidad del usuario. Además, las organizaciones empresariales deben ser capaces de escalar sus recursos con eficacia para poder desarrollar y aplicar de forma continuada directivas y controles de acceso.
Normalmente, el departamento de TI delega las decisiones sobre la aprobación de los accesos en los responsables de la toma de decisiones de la empresa. Por otro lado, el departamento de TI puede involucrar él mismo a los usuarios. Por ejemplo, los usuarios que tienen acceso a los datos confidenciales de los clientes en una aplicación de marketing de una compañía en Europa tienen que conocer las directivas de la compañía. Es posible que los usuarios invitados no conozcan los requisitos de administración de los datos de una organización a la que han sido invitados.
Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos utilizando determinadas tecnologías, como los grupos dinámicos, junto con el aprovisionamiento de usuarios en aplicaciones SaaS o aplicaciones integradas con SCIM. Microsoft Entra ID también puede aprovisionar acceso a las aplicaciones que usan grupos de AD, otros directorios o bases de datos locales, o que tienen un SOAP o API de REST, incluido SAP. Las organizaciones también pueden controlar qué usuarios invitados tienen acceso a las aplicaciones locales. Estos derechos de acceso se pueden revisar periódicamente utilizando revisiones de acceso de Microsoft Entra recurrentes. La administración de derechos de Microsoft Entra también le permite definir cómo los usuarios solicitan acceso en los paquetes de pertenencias a grupos y equipos, roles de aplicación y roles de SharePoint Online. Para más información, consulte la sección sobre la simplificación de las tareas de gobernanza de identidades con automatización a continuación para seleccionar las características adecuadas de Microsoft Entra para los escenarios de automatización del ciclo de vida de acceso.
El acceso al ciclo de vida se puede automatizar mediante flujos de trabajo. Los flujos de trabajo se pueden crear para agregar automáticamente usuarios a grupos, donde se concede acceso a aplicaciones y recursos. Los usuarios también se pueden mover cuando su condición dentro de la organización cambia a diferentes grupos e incluso se puede quitar por completo de todos los grupos.
Cuando un usuario intenta acceder a las aplicaciones, Microsoft Entra ID impone directivas de acceso condicional. Por ejemplo, las directivas de acceso condicional pueden especificar que se muestren los términos de uso para garantizar que el usuario acepta los términos antes de acceder a una aplicación. Para más información, consulte Control del acceso a las aplicaciones del entorno.
Ciclo de vida de los accesos con privilegios
Históricamente, otros proveedores concebían el acceso con privilegios como una funcionalidad independiente de la gobernanza de identidades. Sin embargo, en Microsoft, creemos que el control del acceso con privilegios constituye una parte fundamental de la gobernanza de identidades, especialmente si tenemos en cuenta las consecuencias que podría tener para la organización un uso indebido con los derechos de administrador. Es preciso controlar a los empleados, los proveedores y los contratistas que tienen derechos administrativos.
Microsoft Entra Privileged Identity Management (PIM) dispone de controles adicionales que están adaptados para proteger los derechos de acceso de los recursos en Microsoft Entra, Azure y otros servicios en línea de Microsoft. El acceso Just-In-Time y las funcionalidades de envío de alertas cuando cambia un rol disponibles en Microsoft Entra PIM, junto con la autenticación multifactor y el acceso condicional, ofrecen un conjunto completo de controles de gobernanza que ayudan a proteger los recursos de la compañía (roles de recursos de directorio, de Azure y de Microsoft 365). Al igual que con otras formas de acceso, las organizaciones pueden usar las revisiones de acceso para configurar nuevas certificaciones de acceso periódicas para todos los usuarios con roles de administrador.
Funcionalidades de gobernanza en otras características de Microsoft Entra
Además de las características mencionadas anteriormente, las características adicionales de Microsoft Entra que se usan con frecuencia para proporcionar escenarios de gobernanza de identidad incluyen:
| Capacidad | Escenario | Característica |
|---|---|---|
| Ciclo de vida de la identidad (empleados) | Los administradores pueden habilitar el aprovisionamiento de cuentas de usuario de RR. HH. en la nube de WorkDay o SuccessFactors, o de recursos humanos locales. | RR.HH. en la nube para el aprovisionamiento de usuarios de Microsoft Entra |
| Ciclo de vida de la identidad (invitados) | Los administradores pueden habilitar el autoservicio de incorporación de usuarios invitados desde otro inquilino de Microsoft Entra, la federación directa, el código de acceso de un solo uso (OTP) o cuentas de Google. Los usuarios invitados se aprovisionan y desaprovisionan automáticamente de acuerdo con las directivas de ciclo de vida. | Administración de derechos mediante B2B |
| Administración de derechos | Los propietarios de recursos pueden crear paquetes de acceso que contengan aplicaciones, Teams, Microsoft Entra ID y grupos de Microsoft 365, y sitios de SharePoint Online. | Administración de derechos |
| Flujos de trabajo de ciclo de vida | Los administradores pueden habilitar la automatización de las condiciones de usuario basadas en el proceso de ciclo de vida. | Flujos de trabajo de ciclo de vida |
| Solicitudes de acceso | Los usuarios finales pueden solicitar la pertenencia a un grupo o el acceso a las aplicaciones. Los usuarios finales, incluidos los invitados de otras organizaciones, pueden solicitar acceso a los paquetes. | Administración de derechos |
| Flujo de trabajo | Los propietarios de recursos pueden definir los aprobadores y aprobadores de escalación para las solicitudes de acceso y aprobadores para las de activación de rol. | Administración de derechos y PIM |
| Administración de directivas y roles | El administrador puede definir directivas de acceso condicional para el acceso en tiempo de ejecución a las aplicaciones. Los propietarios de recursos pueden definir directivas para el acceso del usuario mediante paquetes de acceso. | Directivas de acceso condicional y de administración de derechos |
| Certificación de acceso | Los administradores pueden habilitar la recertificación de acceso recurrente para: aplicaciones SaaS, aplicaciones locales o pertenencias a grupos en la nube, asignaciones de roles de Microsoft Entra ID o de recursos de Azure. Quita automáticamente el acceso a los recursos, bloquea el acceso de invitados y elimina cuentas de invitado. | Revisiones de acceso, también en PIM |
| Cumplimiento y aprovisionamiento | Aprovisionamiento y desaprovisionamiento automáticos en las aplicaciones conectadas con Microsoft Entra, también con SCIM, LDAP, SQL y en los sitios de SharePoint Online. | aprovisionamiento de usuarios |
| Informes y análisis | Los administradores pueden recuperar los registros de auditoría de la actividad reciente de aprovisionamiento e inicio de sesión de los usuarios. Integración con Azure Monitor y "quién tenga acceso" mediante los paquetes de acceso. | Informes de Microsoft Entra y supervisión |
| Acceso con privilegios | Flujos de trabajo de aprobación, alertas y acceso programado y Just-In-Time para los roles de Microsoft Entra (roles personalizados incluidos) y de los recursos de Azure. | PIM de Microsoft Entra |
| Auditoría | Se puede avisar a los administradores de la creación de cuentas de administrador. | Alertas de Microsoft Entra PIM |
Requisitos de licencia
El uso de esta característica requiere licencias de Microsoft Entra ID Governance. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.
Introducción
Consulte los requisitos previos antes de configurar Microsoft Entra ID para la gobernanza de identidades. A continuación, visite el panel de gobernanza en el Centro de administración de Microsoft Entra para empezar a usar la administración de derechos, las revisiones de acceso, los flujos de trabajo del ciclo de vida y Privileged Identity Management.
También hay tutoriales para administrar el acceso a los recursos en la administración de derechos, incorporar usuarios externos a Microsoft Entra ID mediante un proceso de aprobación y controlar el acceso a las aplicaciones existentes y a los usuarios existentes de las aplicaciones.
Aunque cada organización puede tener sus propios requisitos únicos, las siguientes guías de configuración también proporcionan las directivas de línea base que Microsoft recomienda seguir para garantizar una fuerza de trabajo más segura y productiva.
- Planeamiento de una implementación de revisiones de acceso para administrar el ciclo de vida de acceso de los recursos
- Configuraciones de acceso de dispositivos e identidades Confianza cero
- Protección del acceso con privilegios
Es posible que también quiera interactuar con uno de los servicios y asociados de integración de Microsoft para planear la implementación o integrarse con las aplicaciones y otros sistemas de su entorno.
Si tiene algún comentario sobre las características de Gobierno de identidades, haga clic en ¿Tiene algún comentario? en el centro de administración de Microsoft Entra para enviar sus comentarios. El equipo revisa periódicamente los comentarios.
Simplificación de tareas de gobernanza de identidades con automatización
Una vez que haya empezado a usar estas características de gobernanza de identidades, puede automatizar fácilmente escenarios comunes de gobernanza de identidades. En la tabla siguiente se muestra cómo empezar a trabajar con la automatización en cada escenario:
| Escenario para automatizar | Guía de automatización |
|---|---|
| Creación, actualización y eliminación de cuentas de usuario de AD y Microsoft Entra automáticamente para los empleados | Planeamiento del aprovisionamiento de usuarios de RR. HH. en la nube para Microsoft Entra |
| Actualización de la pertenencia de un grupo, en función de los cambios en los atributos del usuario miembro | Creación de un grupo dinámico |
| Asignación de licencias | Licencias basadas en grupos |
| Agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en función de los cambios en los atributos del usuario | Configuración de una directiva de asignación automática para un paquete de acceso en la administración de derechos |
| Agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en una fecha específica | Configuración del ciclo de vida para un paquete de acceso en la administración de derechos |
| Ejecución de flujos de trabajo personalizados cuando un usuario solicita o recibe acceso, o se quita el acceso | Desencadenamiento de Logic Apps en la administración de derechos |
| Periódicamente, se revisan las pertenencias de invitados en grupos de Microsoft y Teams, y se quitan las pertenencias de invitado denegadas | Creación de una revisión de acceso |
| Eliminación de cuentas de invitado denegadas por un revisor | Revisión y eliminación de usuarios externos que ya no tienen acceso a los recursos |
| Eliminación de cuentas de invitado que no tienen asignaciones de paquetes de acceso | Administración del ciclo de vida de los usuarios externos |
| Aprovisionamiento de usuarios en aplicaciones locales y en la nube que tienen sus propios directorios o bases de datos | Configuración del aprovisionamiento automático de usuarios con asignaciones de usuarios o filtros de ámbito |
| Otras tareas programadas | Automatización de tareas de gobernanza de identidades con Azure Automation y Microsoft Graph mediante el módulo de PowerShell Microsoft.Graph.Identity.Governance |
Apéndice: Roles con menos privilegios para administrar en características de Identity Governance
Se recomienda usar el rol con menos privilegios para realizar tareas administrativas en la gobernanza de identidades. Igualmente, para realizar estas tareas, se recomienda usar Microsoft Entra PIM para activar un rol según sea necesario. A continuación se muestran los roles de directorio con menos privilegios para configurar las características de gobernanza de identidades:
| Característica | Rol con privilegios mínimos |
|---|---|
| Administración de derechos | Administrador de Identity Governance |
| Revisiones de acceso | Administrador de usuarios (con la excepción de las revisiones de acceso de Azure o los roles de Microsoft Entra, que requiere el administrador de roles con privilegios) |
| Privileged Identity Management | Administrador de roles con privilegios |
| Términos de uso | Administrador de seguridad o Administrador de acceso condicional |
Nota:
El rol con privilegios mínimos para la administración de derechos ha cambiado del rol Administrador de usuarios al rol Administrador de gobernanza de identidades.