Revisión del acceso a los grupos y las aplicaciones en las revisiones de acceso
Microsoft Entra ID simplifica la forma en que las empresas administran el acceso a grupos y aplicaciones en Microsoft Entra ID y en otros servicios web de Microsoft con una característica denominada revisiones de acceso. En este artículo se describe cómo un revisor designado lleva a cabo una revisión de acceso para los miembros de un grupo o los usuarios con acceso a una aplicación. Si quiere revisar el acceso a un paquete de acceso, consulte Revisión del acceso a un paquete de acceso con la funcionalidad de administración de derechos.
Revisión del acceso mediante Mi acceso
Revisión del acceso a los grupos y las aplicaciones con Mi acceso. Mi acceso es un portal fácil de usar para conceder, aprobar y revisar las necesidades de acceso.
Uso del correo electrónico para ir a Mi acceso
Importante
Pueden producirse retrasos en la recepción del correo electrónico. En algunos casos, puede tardar hasta 24 horas. Agregue MSSecurity-noreply@microsoft.com a la lista de destinatarios seguros para asegurarse de recibir todos los correos electrónicos.
Busque un correo electrónico de Microsoft en el que se le pide que revise el acceso. Este es un ejemplo de correo electrónico:
Seleccione el vínculo Iniciar revisión para abrir la revisión de acceso.
Ir directamente a Mi acceso
También puede ver las revisiones de acceso pendientes mediante el explorador para abrir Mi acceso.
Inicie sesión en Mi acceso https://myaccess.microsoft.com/.
Seleccione Revisiones de acceso en el menú de la izquierda para ver una lista de las revisiones de acceso pendientes que tiene asignadas.
Revisión del acceso de uno o varios usuarios
Después de abrir Mi acceso en Grupos y aplicaciones, puede ver:
- Nombre: nombre de la revisión de acceso.
- Vencimiento: fecha de vencimiento de la revisión. Después de esta fecha, los usuarios cuyo acceso ha sido denegado pueden eliminarse del grupo o la aplicación que se está revisando.
- Recurso: nombre del recurso que se está revisando.
- Progreso: Número de usuarios revisados con respecto al número total de usuarios que forman parte de esta revisión de acceso.
Seleccione el nombre de una revisión de acceso para comenzar.
Una vez que este se abra, se mostrará la lista de usuarios que se incluyen en el ámbito de la revisión de acceso.
Nota:
Si la solicitud es para revisar su propio acceso, la página tendrá un aspecto diferente. Para más información, consulte Revisar el acceso por sí mismo para grupos o aplicaciones.
Hay dos maneras de aprobar o denegar el acceso:
- Puede aprobar o denegar el acceso para uno o más usuarios de forma manual.
- Puede aceptar las recomendaciones del sistema.
Revisión manual del acceso de uno o varios usuarios
Revise la lista de usuarios y decida si aprueba o deniega su acceso continuado.
Seleccione uno o más usuarios seleccionado el círculo situado junto a sus nombres.
Seleccione Aprobar o Denegar en la barra.
Si no está seguro de si un usuario debe seguir teniendo acceso, puede hacer seleccionar la opción Desconocido. El usuario mantiene el acceso y su elección se registra en los registros de auditoría. Tenga en cuenta que toda la información que proporcione está disponible para otros revisores. Estos pueden leer los comentarios y tenerlos en cuenta al revisar la solicitud.
El administrador de la revisión de acceso puede requerir que proporcione un motivo para su decisión en el cuadro Motivo, incluso cuando no se requiera un motivo. Aún puede dar el motivo de su decisión. La información que incluya está disponible para que la consulten otros revisores.
Seleccione Submit (Enviar).
Puede cambiar su respuesta en cualquier momento hasta que finalice la revisión de acceso. Si quiere cambiar la respuesta, seleccione la fila y actualice la respuesta. Por ejemplo, puede aprobar el acceso de un usuario denegado anteriormente o denegar el de un usuario aprobado antes.
Importante
- Si un usuario tiene el acceso denegado, no se quita inmediatamente. Se quita cuando el período de revisión ha finalizado o cuando un administrador detiene la revisión.
- Si hay varios revisores, se registra la última respuesta enviada. Imagine un ejemplo en el que un administrador designa dos revisores: Alice y Bob. Alice primero abre la revisión de acceso y aprueba la solicitud de acceso de un usuario. Antes de que finalice el período de revisión, Bob abre la revisión de acceso y deniega el acceso a la misma solicitud aprobada anteriormente por Alice. La última decisión de denegación de acceso es la respuesta que se registra.
Revisión del acceso en función de las recomendaciones
Para facilitar las revisiones de acceso y que sean más rápidas, también se proporcionan recomendaciones que se pueden aceptar con una sola selección. Hay dos maneras en que el sistema genera recomendaciones para el revisor. Un método es la actividad de inicio de sesión del usuario. Si un usuario ha estado inactivo durante 30 días o más, el sistema recomienda que el revisor deniegue el acceso.
El otro método se basa en el acceso que tienen los elementos del mismo nivel del usuario. Si el usuario no tiene el mismo acceso que los elementos del mismo nivel, el sistema recomienda que el revisor deniegue ese acceso de usuario.
Si no tiene ningún inicio de sesión en un plazo de 30 días o tiene habilitado el valor atípico del mismo nivel, siga estos pasos para aceptar las recomendaciones:
Seleccione uno o más usuarios y seleccione el botón Aceptar recomendaciones.
Para aceptar recomendaciones para todos los usuarios cuyo acceso no se ha revisado, asegúrese de que no haya ningún usuario seleccionado y seleccione en el botón Aceptar recomendaciones de la barra superior.
Seleccione el botón Enviar para aceptar las recomendaciones.
Nota:
Cuando se aceptan recomendaciones, las decisiones anteriores no se modifican.
Revisión del acceso de uno o varios usuarios en una revisión de acceso de varias fases (versión preliminar)
Si el administrador ha habilitado las revisiones de acceso de varias fases, habrá dos o tres fases totales de revisión. Cada fase de revisión tiene un revisor especificado.
Deberá revisar el acceso manualmente o aceptará las recomendaciones basadas en la actividad de inicio de sesión que se correspondan con la fase que se le asigne como revisor.
Si es el revisor de la segunda o la tercera fase y si el administrador habilitó la opción correspondiente al crear la revisión de acceso, también verá las decisiones que hayan tomado los revisores asignados a las fases anteriores. La decisión tomada por un revisor en la segunda o la tercera fase sobrescribe la de la fase anterior. Por lo tanto, la decisión que realiza el revisor de segunda fase sobrescribirá la primera fase. Y la decisión del revisor de tercera fase sobrescribirá la segunda fase.
Apruebe o deniegue el acceso como se explica en Revisión del acceso de uno o varios usuarios.
Nota:
La siguiente fase de la revisión no se activará hasta que haya transcurrido la duración especificada durante la configuración de la revisión de acceso. Si el administrador cree que se ha completado una fase, pero la duración de la revisión de esa fase no ha expirado aún, puede usar el botón Detener la fase actual en la página Información general de la revisión de acceso en el centro de administración de Microsoft Entra. Esta acción cerrará la fase activa e iniciará la siguiente fase.
Revisión del acceso de los usuarios de conexión directa B2B de los canales compartidos de equipos y de los grupos compartidos de Microsoft 365 (versión preliminar)
Para revisar el acceso de los usuarios de conexión directa B2B, siga estas instrucciones:
Como revisor, debe recibir un correo electrónico en el que se le solicita que revise el acceso del equipo o grupo. Seleccione el vínculo que se incluye en el correo electrónico o vaya directamente a https://myaccess.microsoft.com/.
Siga las instrucciones de Revisión del acceso de uno o varios usuarios para tomar decisiones para aprobar o denegar el acceso de los usuarios a los equipos.
Nota:
A diferencia de los usuarios internos y de colaboración B2B, los usuarios de conexión directa B2B y los equipos no tienen recomendaciones basadas en la última actividad de inicio de sesión para tomar decisiones al hacer la revisión.
Si un equipo que revisa tiene canales compartidos, todos los usuarios de conexión directa B2B y los equipos que acceden a esos canales compartidos forman parte de la revisión. Esto incluye usuarios de colaboración B2B y usuarios internos. Cuando se deniega el acceso a un usuario de conexión directa B2B o a un equipo en una revisión de acceso, el usuario pierde el acceso a todos los canales compartidos del equipo. Para más información sobre los usuarios de conexión directa B2B, consulte Conexión directa B2B.
Configuración de lo que ocurrirá si no se realiza ninguna acción en la revisión de acceso
Cuando se configura el proceso de revisión de acceso, el administrador puede usar la configuración avanzada para determinar lo que ocurrirá si un revisor no responde a una solicitud de revisión de acceso.
El administrador puede configurar la revisión para que, si los revisores no han respondido al alcanzar el final del período de revisión, se tome una decisión automática con respecto al acceso de todos los usuarios cuyo acceso no se haya revisado. Esto incluye la pérdida de acceso al grupo o a la aplicación que se está revisando.