Incorporar grupos en Privileged Identity Management
En Microsoft Entra ID, puede usar Privileged Identity Management (PIM) para administrar la pertenencia Just-In-Time en el grupo o la propiedad Just-In-Time del grupo. Los grupos se pueden usar para proporcionar acceso a roles de Microsoft Entra, roles de Azure y otros escenarios. Para administrar un grupo de Microsoft Entra en PIM, debe colocarlo bajo la administración de PIM.
Identificación de los grupos que se administrarán
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Antes de empezar, necesita un grupo de seguridad de Microsoft Entra o un grupo de Microsoft 365. Para obtener más información sobre la administración de grupos en Microsoft Entra ID, consulte Administración de grupos y la pertenencia a grupos de Microsoft Entra.
Los grupos dinámicos y los grupos que se han sincronizado desde el entorno local no se pueden administrar en PIM para grupos.
Necesita permisos adecuados para incorporar grupos en PIM de Microsoft Entra. Para grupos a los que se puedan asignar roles, deberá tener el rol de Administrador global, Administrador de roles con privilegios o ser el propietario del grupo. En el caso de los grupos que no son asignables a roles, debe ser al menos un escritor de directorios, un administrador de grupos o un administrador de gobernanza de identidades, un rol de administrador de usuarios o ser propietario del grupo. Las asignaciones de roles a los administradores deberían tener ámbito a nivel de directorio (no a nivel de unidad administrativa).
Nota:
Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos M365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en PIM de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Gobernanza de identidades>Privileged Identity Management>Grupos.
Puede ver los grupos que ya están habilitados para PIM para grupos aquí.
Seleccione Descubrir grupos y elija un grupo que quiera incorporar a la administración con PIM.
Seleccione Administrar grupos y Aceptar.
Selecciona Grupos para volver a la lista de grupos habilitados en PIM para grupos.
O bien, puede utilizar el panel Grupos para traer el grupo bajo Gestión de identidades privilegiadas.
Importante
Una vez que se administra un grupo, no se puede quitar de la administración. Esto impide que otro administrador de recursos pueda quitar la configuración de PIM. Si se elimina de Microsoft Entra ID un grupo, podría tardar hasta 24 horas en eliminarse de la opción PIM para grupos.