Editar

Compartir vía

Activación de un rol de Microsoft Entra en PIM

  • Procedimientos

Microsoft Entra Privileged Identity Management (PIM) simplifica el modo en que las empresas administran al acceso con privilegios a los recursos en Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Si se le ha considerado elegible para un rol administrativo, debe activar la asignación de roles cuando necesite realizar acciones con privilegios. Por ejemplo, si administra de vez en cuando características de Microsoft 365, es posible que los administradores de roles con privilegios de su organización no le hayan asignado el rol de administrador global permanente, ya que ese rol afecta también a otros servicios. En su lugar, podrían haberle hecho elegible para roles de Microsoft Entra, como administrador de Exchange Online. Puede solicitar la activación de ese rol cuando necesite sus privilegios y tendrá control de administrador durante un período predeterminado.

Este artículo está dirigido a los administradores que necesitan activar su rol de Microsoft Entra en Privileged Identity Management. Aunque cualquier usuario puede enviar una solicitud para el rol que necesita a través de PIM sin tener el rol Administrador de roles con privilegios (PRA), este rol es necesario para administrar y asignar roles a otros usuarios de la organización.

Importante

Cuando se activa un rol, Microsoft Entra PIM agrega temporalmente la asignación activa para el rol. Microsoft Entra PIM crea una asignación activa (asigna un usuario a un rol) en cuestión de segundos. Cuando se produce la desactivación (manual o a través de la expiración de la hora de activación), Microsoft Entra PIM también quita la asignación activa en cuestión de segundos.

La aplicación puede proporcionar acceso en función del rol que tiene el usuario. En algunas situaciones, es posible que el acceso a la aplicación no refleje inmediatamente el hecho de que se le haya asignado o quitado el rol al usuario. Si la aplicación previamente almacenaba en caché el hecho de que el usuario no tuviera un rol, cuando el usuario intente volver a acceder a la aplicación, es posible que no se le proporcione el acceso. Del mismo modo, si la aplicación previamente almacenaba en caché el hecho de que el usuario tuviera un rol, cuando se desactiva el rol, es posible que el usuario siga obteniendo acceso. La situación específica depende de la arquitectura de la aplicación. Para algunas aplicaciones, cerrar la sesión y volver a iniciarla puede ayudar a agregar o quitar el acceso.

Requisitos previos

None

Activación de un rol

Cuando necesite asumir un rol de Microsoft Entra, puede solicitar la activación al abrir Mis roles en Privileged Identity Management.

Nota:

PIM ya está disponible en la aplicación móvil de Azure (iOS | Android) para Microsoft Entra ID y los roles de recursos de Azure. Active fácilmente las asignaciones aptas, solicite renovaciones para las que van a expirar o compruebe el estado de las solicitudes pendientes. Vea más información a continuación

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Mis roles. Para información sobre cómo agregar el icono de Privileged Identity Management en el panel, consulte Primer uso de PIM.

  3. Seleccione roles de Microsoft Entra para ver una lista de los roles Microsoft Entra aptos.

    Mi página de roles en la que se muestran los roles que el usuario puede activar

  4. En la lista Roles de Microsoft Entra, busque el rol que desea activar.

    Roles de Microsoft Entra: mi lista de roles elegibles

  5. Seleccione Activar para abrir el Panel de activación.

    Roles de Microsoft Entra: la página de activación contiene la duración y el ámbito

  6. Seleccione Verificación adicional necesaria y siga las instrucciones para la verificación de seguridad adicional. Se le requiere que se autentique solo una vez por sesión.

    Pantalla para proporcionar una comprobación de seguridad, como un código PIN

  7. Después de la autenticación multifactor, seleccione Activate before proceeding (Activar antes de continuar).

    Comprobación de mi identidad mediante la autenticación multifactor antes de la activación del rol

  8. Si desea especificar un ámbito reducido, seleccione Ámbito para abrir el panel de filtro. En el panel de filtro, puede especificar los recursos de Microsoft Entra a los que necesita acceso. Se recomienda solicitar acceso al menor número de recursos que necesite.

  9. Si es necesario, especifique una hora de inicio de activación personalizada. El rol de Microsoft Entra se activaría después de la hora seleccionada.

  10. En el campo Razón, escriba el motivo de la solicitud de activación.

  11. Seleccione Activar.

    Si el rol requiere aprobación para activarse, aparece una notificación en la esquina superior del explorador que le informa de que la solicitud está pendiente de aprobación.

    La solicitud de activación está pendiente de notificación de aprobación

    Activación del rol personalizado mediante Microsoft Graph API

    Para obtener más información sobre las API de Microsoft Graph para PIM, consulte Información general sobre la administración de roles a través de la API de Privileged Identity Management (PIM).

    Obtención de todos los roles aptos que se pueden activar

    Cuando un usuario obtiene la idoneidad de rol por su pertenencia a un grupo, esta solicitud de Microsoft Graph no devuelve su idoneidad.

    Solicitud HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    Respuesta HTTP

    Para ahorrar espacio, solo se muestra la respuesta para un rol, pero se enumerarán todas las asignaciones de roles aptas que puede activar.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Activación automática de una elegibilidad de roles con justificación

    Solicitud HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    Respuesta HTTP

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Visualización del estado de las solicitudes de activación

Puede ver el estado de las solicitudes pendientes de activación.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Mis solicitudes.

  3. Al seleccionar Mis solicitudes, verá una lista de los roles de Microsoft Entra y las solicitudes de rol de recursos de Azure.

    Captura de pantalla de Mis solicitudes: página de Microsoft Entra ID que muestra las solicitudes pendientes

  4. Desplácese a la derecha para ver la columna Estado de solicitud.

Cancelación de una solicitud pendiente de nueva versión

Si no necesita activar un rol que requiera aprobación, puede cancelar una solicitud pendiente en cualquier momento.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Mis solicitudes.

  3. En el rol que desea cancelar, seleccione el vínculo Cancelar.

    Al seleccionar Cancelar, se cancelará la solicitud. Para volver a activar el rol, tendrá que enviar una nueva solicitud de activación.

    Mi lista de solicitudes con la acción Cancelar resaltada

Desactivación de una asignación de roles

Cuando se activa una asignación de roles, verá una opción Desactivar en el portal de PIM para la asignación de roles. Además, no puede desactivar una asignación de roles a los cinco minutos de la activación.

Activación de roles de PIM mediante Azure Mobile App

PIM ya está disponible en Microsoft Entra ID y en las aplicaciones móviles de roles de recursos de Azure en iOS y Android.

  1. Para activar una asignación de roles de Microsoft Entra apta, empiece por descargar Azure Mobile App (iOS | Android). También puede descargar la aplicación seleccionando "Abrir en dispositivos móviles" en Privileged Identity Management, en roles de Microsoft Entra > Mis roles >.

    Captura de pantalla que muestra cómo descargar la aplicación móvil.

  2. Abra Azure Mobile App e inicie sesión. Seleccione la tarjeta Privileged Identity Management y seleccione Mis roles de Microsoft Entra para ver las asignaciones de roles válidas y activas.

    Capturas de pantalla de la aplicación móvil en las que se muestra cómo un usuario vería los roles disponibles.

  3. Seleccione la asignación de roles y haga clic en Acción > Activar en los detalles de la asignación de roles. Complete los pasos para activar y rellenar los detalles necesarios antes de hacer clic en "Activar" en la parte inferior.

    Captura de pantalla de la aplicación móvil en la que se muestra cómo un usuario rellena la información necesaria

  4. Vea el estado de las solicitudes de activación y las asignaciones de roles en Mis roles de Microsoft Entra.

    Captura de pantalla de la aplicación móvil que muestra el estado del rol del usuario.

Contenido relacionado