Compartir vía


Incorporar grupos en Privileged Identity Management

En Microsoft Entra ID, puede usar Privileged Identity Management (PIM) para administrar la pertenencia Just-In-Time en el grupo o la propiedad Just-In-Time del grupo. Los grupos se pueden usar para proporcionar acceso a roles de Microsoft Entra, roles de Azure y otros escenarios. Para administrar un grupo de Microsoft Entra en PIM, debe colocarlo bajo la administración de PIM.

Identificación de los grupos que se administrarán

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Antes de empezar, necesita un grupo de seguridad de Microsoft Entra o un grupo de Microsoft 365. Para obtener más información sobre la administración de grupos en Microsoft Entra ID, consulte Administración de grupos y la pertenencia a grupos de Microsoft Entra.

Los grupos dinámicos y los grupos que se han sincronizado desde el entorno local no se pueden administrar en PIM para grupos.

Necesita permisos adecuados para incorporar grupos en PIM de Microsoft Entra. Para grupos a los que se puedan asignar roles, deberá tener el rol de Administrador global, Administrador de roles con privilegios o ser el propietario del grupo. En el caso de los grupos que no son asignables a roles, debe ser al menos un escritor de directorios, un administrador de grupos o un administrador de gobernanza de identidades, un rol de administrador de usuarios o ser propietario del grupo. Las asignaciones de roles a los administradores deberían tener ámbito a nivel de directorio (no a nivel de unidad administrativa).

Nota:

Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos M365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en PIM de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Grupos.

  3. Puede ver los grupos que ya están habilitados para PIM para grupos aquí.

    Captura de pantalla en la que se muestra dónde ver los grupos que ya están habilitados para PIM para grupos.

  4. Seleccione Descubrir grupos y elija un grupo que quiera incorporar a la administración con PIM.

    Captura de pantalla en la que se muestra dónde seleccionar un grupo para incorporarlo en la administración con PIM.

  5. Seleccione Administrar grupos y Aceptar.

  6. Selecciona Grupos para volver a la lista de grupos habilitados en PIM para grupos.

O bien, puede utilizar el panel Grupos para traer el grupo bajo Gestión de identidades privilegiadas.

Captura de pantalla del panel Grupos, por lo que puede seleccionar un grupo para llevar a cabo la administración con PIM.

Importante

Una vez que se administra un grupo, no se puede quitar de la administración. Esto impide que otro administrador de recursos pueda quitar la configuración de PIM. Si se elimina de Microsoft Entra ID un grupo, podría tardar hasta 24 horas en eliminarse de la opción PIM para grupos.

Pasos siguientes