Creación de una revisión de acceso de recursos de Azure y roles de Microsoft Entra en PIM
La necesidad de acceso a recursos de Azure y roles de Microsoft Entra con privilegios por parte de los usuarios cambia con el tiempo. Para reducir el riesgo asociado con las asignaciones de roles obsoletas, debe revisar el acceso periódicamente. Puede usar Microsoft Entra Privileged Identity Management (PIM) para crear revisiones de acceso para obtener acceso con privilegios a los roles de recursos de Microsoft Entra. También puede configurar revisiones de acceso periódicas que se produzcan automáticamente. En este artículo se describe cómo crear una o varias revisiones de acceso.
Requisitos previos
Se necesitan licencias para usar Privileged Identity Management. Para obtener más información sobre las licencias, consulte Aspectos básicos de las licencias de Microsoft Entra ID Governance.
Para más información sobre las licencias de PIM, consulte Requisitos de licencia para usar Privileged Identity Management.
Para crear revisiones de acceso en los recursos de Azure, es preciso tener asignado los roles de Azure Propietario o Administrador de acceso de usuario para los recursos de Azure. A fin de crear revisiones de acceso para roles de Microsoft Entra, debe tener asignado al menos el rol de Administrador de roles con privilegios.
El uso de revisiones de acceso de las entidades de servicio requiere un plan Premium de Microsoft Entra Workload ID, además de licencias de Microsoft Entra ID P2 o Microsoft Entra ID Governance.
- Licencias premium de identidades de carga de trabajo: puede ver y adquirir licencias en la hoja Identidades de carga de trabajo de la Azure Portal.
Nota:
Las revisiones de acceso capturan una instantánea del acceso al principio de cada instancia de revisión. Los cambios realizados durante el proceso de revisión se reflejarán en el ciclo de revisión posterior. Básicamente, con el inicio de cada nueva periodicidad, se recuperan los datos pertinentes sobre los usuarios, los recursos que se revisan y sus respectivos revisores.
Crear revisiones de acceso
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Inicie sesión en el centro de administración de Microsoft Entra como usuario asignado a uno de los roles de requisitos previos.
Vaya a Gobernanza de identidades>Administración de identidades privilegiadas.
Para los roles de Microsoft Entra, seleccione roles de Microsoft Entra. Para los recursos de Azure, seleccione Recursos de Azure
Para los roles de Microsoft Entra, seleccione roles de Microsoft Entra de nuevo en Administrar. En Recursos de Azure, seleccione la suscripción que desea administrar.
En Administrar, seleccione Revisiones de acceso y, luego, elija Nuevapara crear una nueva revisión de acceso.
Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.
Establezca un valor para Fecha de inicio. De forma predeterminada, una revisión de acceso ocurre una vez, se inicia a la misma hora en que se crea y finaliza en un mes. Puede cambiar las fechas de inicio y de finalización para hacer que una revisión de acceso se inicie en el futuro, transcurridos tantos días como desee.
Para realizar que la revisión de acceso sea periódica, cambie la opción Frecuencia de Una vez a Semanal, Mensual, Trimestral, Anual o Semestral. Use el control deslizante o el cuadro de texto Duración para definir cuántos días se abrirá cada revisión de la serie periódica para que los revisores escriban datos. Por ejemplo, la duración máxima que puede establecer para una revisión mensual es 27 días, con el fin de evitar la superposición de revisiones.
Use el valor Fin para especificar cómo finalizar la serie de revisión de acceso periódica. La serie puede terminar de tres formas: se ejecuta continuamente para iniciar revisiones indefinidamente, hasta una fecha concreta, o hasta que se haya completado un número definido de veces. Cualquier administrador que pueda administrar revisiones puede detener la serie después de su creación cambiando la fecha en Configuración, de manera que termine en esa fecha.
En la sección Ámbito de los usuarios, seleccione el ámbito de la revisión. En Roles de Microsoft Entra, la primera opción de ámbito es Usuarios y grupos. En esta selección se incluirán los usuarios asignados directamente y los grupos a los que se pueden asignar roles. En Roles de recursos de Azure, el primer ámbito será Usuarios. Los grupos asignados a los roles de recursos de Azure se expanden para mostrar asignaciones de usuario transitivas en la revisión con esta selección. También puede seleccionar Entidades de servicio para examinar las cuentas de máquina con acceso directo al recurso de Azure o al rol de Microsoft Entra.
También puede crear revisiones de acceso solo para usuarios inactivos. En la sección Ámbito de los usuarios, establezca Solo usuarios inactivos (en el nivel de inquilino) en true. Si el botón de alternancia se establece en true, el ámbito de la revisión se centrará solo en los usuarios inactivos. A continuación, especifique un valor para Días sin actividad de como máximo 730 días (dos años). Los usuarios inactivos durante el número de días especificado serán los únicos usuarios de la revisión.
En Pertenencia a rol de revisión, seleccione el recurso de Azure o los roles de Microsoft Entra con privilegios que desea revisar.
Nota:
Si selecciona más de un rol, se crearán varias revisiones de acceso. Por ejemplo, al seleccionar cinco roles, se crearán cinco revisiones de acceso independientes.
En el tipo de asignación, defina el ámbito de la revisión según la asignación de la entidad de seguridad al rol. Elija Eligible assignments only (Solo asignaciones aptas) para revisar las asignaciones aptas (independientemente del estado de activación al crear la revisión) o Solo asignaciones activas para revisar las asignaciones activas. Elija All active and eligible assignments (Todas las asignaciones activas y aptas) para revisar todas las asignaciones, independientemente del tipo.
En la sección Revisores, seleccione una o más personas para que revisen a todos los usuarios. También puede seleccionar que los miembros revisen su propio acceso.
- Usuarios seleccionados: use esta opción para designar un usuario específico para completar la revisión. Esta opción está disponible independientemente del ámbito de la revisión y los revisores seleccionados pueden revisar usuarios, grupos y entidades de servicio.
- Miembros (por sí mismos) : use esta opción para hacer que los usuarios revisen sus propias asignaciones de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. En Roles de Microsoft Entra, los grupos a los que se pueden asignar roles no formarán parte de la revisión cuando se selecciona esta opción.
- Administrador: use esta opción para que el administrador del usuario revise su asignación de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. Tras seleccionar Administrador, también tendrá la opción de especificar un revisor de reserva. Se pide a los revisores de reserva que revisen a un usuario cuando este no tiene ningún administrador especificado en el directorio. En Roles de Microsoft Entra, el revisor de reserva examinará los grupos a los que se pueden asignar roles si hay alguno seleccionado.
Configuración de finalización
Para especificar lo que sucede una vez finalizada una revisión, expanda la sección Configuración de finalización.
Si desea quitar automáticamente el acceso para los usuarios que se han denegado, establezca Aplicar automáticamente los resultados al recurso en Habilitar. Si desea aplicar manualmente los resultados cuando se complete la revisión, establezca el conmutador en Deshabilitar.
Use la lista If reviewer don't respond (Si el revisor no responde) para especificar lo que ocurre con los usuarios a los que el revisor no ha revisado dentro del período de revisión. Este valor no afecta a los usuarios que los revisores revisaron.
- Sin cambios: dejar el acceso del usuario sin cambios
- Quitar acceso: quitar el acceso del usuario
- Aprobar acceso: aprobar el acceso del usuario
- Aceptar recomendaciones: aceptar la recomendación del sistema sobre la denegación o aprobación del acceso continuo del usuario
Use la lista Action to apply on denied guest users (Acción que se aplica a los usuarios invitados denegados) para especificar lo que les sucede a los usuarios invitados denegados. Este valor no se puede editar para las revisiones de los recursos de Azure y los roles de Microsoft Entra ID en este momento; los usuarios invitados, al igual que todos los usuarios, siempre perderán el acceso al recurso si se deniegan.
Puede enviar notificaciones a usuarios o grupos adicionales para recibir actualizaciones de finalización de las revisiones. Esta característica permite que partes interesadas que no sean el creador de la revisión reciban actualizaciones sobre el progreso de la revisión. Para usar esta característica, seleccione Seleccionar usuarios o grupos y agregue un usuario o grupo adicional cuando quiera recibir el estado de finalización.
Configuración avanzada
Para especificar configuraciones adicionales, expanda la sección Configuración avanzada.
Establezca Mostrar recomendaciones en Habilitar para mostrar las recomendaciones del sistema de los revisores según la información del acceso del usuario. Las recomendaciones se basan en un período de un intervalo de 30 días. Los usuarios que han iniciado sesión en los últimos 30 días se muestran con la aprobación recomendada del acceso, mientras que los usuarios que no han iniciado sesión se muestran con la denegación de acceso recomendada. Estos inicios de sesión son independientes de si eran interactivos. El último inicio de sesión del usuario también se muestra junto con la recomendación.
Establezca Requerir motivo de la aprobación en Habilitar para requerir que el revisor proporcione un motivo para la aprobación.
Establezca Notificaciones de correo en Habilitar para que Microsoft Entra ID envíe notificaciones de correo electrónico a los revisores cuando se inicie una revisión de acceso y a los administradores cuando se complete.
Establezca Recordatorios en Habilitar para que Microsoft Entra ID envíe recordatorios de revisiones de acceso en curso a los revisores que no hayan completado su revisión.
El contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de revisión, el nombre del recurso, la fecha de vencimiento, etc. Si necesita una forma de comunicar más información, como instrucciones adicionales o información de contacto, puede especificar estos detalles en el correo electrónico de contenido adicional para el revisor que se incluirá en la invitación y en los correos electrónicos de recordatorio enviados a los revisores asignados. La sección resaltada a continuación es donde se mostrará esta información.
Administración de la revisión de acceso
En la página Información general de la revisión de acceso, puede seguir el progreso de los revisores a medida que completan las revisiones. Los derechos de acceso no se cambian en el directorio hasta que la revisión finaliza. A continuación se muestra una captura de pantalla de la página de información general de las revisiones del acceso de recursos de Azure y roles de Microsoft Entra.
Si se trata de una revisión puntual, una vez finalizado el período de revisión de acceso o cuando el administrador detenga la revisión de acceso, siga los pasos que encontrará en el artículo sobre cómo realizar una revisión de los recursos de Azure y los roles de Microsoft Entra para ver los resultados y aplicarlos.
Para administrar una serie de revisiones de acceso, vaya a la revisión de acceso y verá los próximos eventos en Revisiones programadas; ahí podrá editar la fecha de finalización o agregar o quitar revisores según corresponda.
Según las selecciones de la Configuración de finalización, la aplicación automática se ejecutará después de la fecha de finalización de la revisión o cuando se detenga manualmente la revisión. El estado de la revisión cambiará de Completado a estados intermedios como Aplicando y, por último, a Aplicado. Debería ver que los usuarios denegados, si es que los hay, se eliminan de los roles en unos minutos.
Impacto de los grupos asignados a roles de Microsoft Entra y roles de recursos de Azure en las revisiones de acceso
• En el caso de los roles de Microsoft Entra, los grupos a los que se pueden asignar roles se pueden asignar mediante grupos a los que se pueden asignar roles. Cuando se crea una revisión en un rol de Microsoft Entra con grupos a los que se pueden asignar roles, el nombre del grupo aparece en la revisión sin expandir la pertenencia a grupos. El revisor puede aprobar o denegar el acceso de todo el grupo al rol. Los grupos denegados perderán su asignación al rol cuando se apliquen los resultados de la revisión.
• En el caso de los roles de recursos de Azure, se puede asignar cualquier grupo de seguridad al rol. Cuando se crea una revisión en un rol de recurso de Azure con un grupo de seguridad asignado, los usuarios asignados a ese grupo de seguridad se expandirán completamente y se mostrarán al revisor del rol. Cuando un revisor deniega a un usuario que se asignó al rol mediante el grupo de seguridad, el usuario no se quitará del grupo. Esto se debe a que es posible que un grupo se haya compartido con otros recursos de Azure o que no sean de Azure. Por lo tanto, el administrador debe realizar los cambios resultantes del acceso denegado.
Nota:
Es posible que un grupo de seguridad tenga asignados otros grupos. En este caso, solo los usuarios asignados directamente al grupo de seguridad asignado al rol aparecerán en la revisión del rol.
Actualización de la revisión de acceso
Una vez iniciadas una o varias revisiones de acceso, puede modificar o actualizar la configuración de las revisiones de acceso existentes. Hay algunos escenarios comunes que se deben tener en cuenta:
Agregar y quitar revisores: al actualizar las revisiones de acceso, puede optar por agregar un revisor de reserva, además del revisor principal. Los revisores principales se pueden quitar al actualizar una revisión de acceso. Sin embargo, los revisores de reserva no se pueden eliminar por diseño.
Nota:
Los revisores de reserva solo se pueden agregar cuando el tipo de revisor es administrador. Los revisores principales se pueden agregar cuando el tipo de revisor es un usuario seleccionado.
Recordar a los revisores: al actualizar las revisiones de acceso, puede optar por habilitar la opción de recordatorio en Configuración avanzada. Tras las habilitación, los usuarios recibirán una notificación por correo electrónico en el punto medio del período de revisión, independientemente de que hayan completado la revisión, o no.
Actualizar la configuración: si una revisión de acceso es periódica, hay valores independientes en "Actual" y en "Serie". La actualización de los valores de "Actual" solo aplicará los cambios en la revisión de acceso actual mientras que la actualización de los valores de "Serie" actualizará la configuración de toda la periodicidad futura.