Cómo retirar y desvincularse de la administración de permisos de Microsoft Entra

Nota:

A partir del 1 de abril de 2025, Microsoft Entra Permissions Management ya no estará disponible para su compra y el 1 de octubre de 2025 retiraremos y interrumpiremos el soporte técnico de este producto. Puede encontrar más información aquí.

Microsoft Entra Permissions Management (Administración de permisos) se retira el 1 de octubre de 2025, con nuevas compras no disponibles a partir del 1 de abril de 2025. Los clientes de pago existentes seguirán teniendo acceso a la administración de permisos entre el 1 de abril de 2025 y el 30 de septiembre de 2025.

El 1 de octubre de 2025, la administración de permisos se eliminará automáticamente y se eliminará la recopilación de datos asociada. Para los clientes que necesitan retirarse antes del 1 de octubre de 2025, consulte la sección Pasos de retirada de esta guía.

¿Por qué se retira la administración de permisos?

La decisión de retirar progresivamente Microsoft Entra Permissions Management de la cartera de seguridad de Microsoft se realizó después de una profunda consideración de nuestra cartera de innovación y cómo podemos centrarnos en ofrecer las mejores innovaciones alineadas con nuestras áreas diferenciadoras y colaborar con el ecosistema en áreas adyacentes. Seguimos comprometidos con la entrega de soluciones de nivel superior en toda la cartera de Microsoft Entra, que incluye microsoft Entra ID, Microsoft Entra Suite (que abarca la protección de identificadores, la gobernanza de identificadores, el identificador comprobado, el acceso a Internet y el acceso privado), el id. externo de Microsoft Entra, el identificador de carga de trabajo de Microsoft Entra, etc.

Soluciones recomendadas

Dado que la administración de permisos se retira, Microsoft recomienda que los clientes que hayan incorporado el producto en su entorno empiecen a planear la transición. Los clientes que no están incorporados deben abstenerse de incorporarse.

Para apoyar esta transición, Microsoft se asocia con Delinea. Delinea ofrece una solución nativa de nube, totalmente compatible con Microsoft, para la gestión de derechos de infraestructura en la nube (CIEM), Privilege Control for Cloud Entitlements (PCCE). PCCE proporciona una funcionalidad comparable a la administración de permisos, incluida la detección continua de derechos que permiten supervisar y ajustar los derechos de acceso para las identidades humanas y de las máquinas.

Se recomienda comenzar la transición fuera de Gestión de Permisos lo antes posible, bien antes del 30 de septiembre. Estamos comprometidos a proporcionar un amplio apoyo, junto con nuestro socio, Delinea.

Pasos recomendados antes de migrar a Delinea

Para asegurarse de que continúa con los objetivos de CIEM con nuestro asociado recomendado, se recomienda tomar nota de la siguiente información del portal de administración de permisos:

• En primer lugar, vaya al Centro de administración de Microsoft Entra e inicie sesión en Id. de Microsoft Entra y, a continuación, haga clic en Administración de permisos en la hoja de navegación.

  • Identificadores del sistema de autorización que se supervisan en Azure, Amazon Web Service (AWS) y Google Cloud Platform (GCP). Para encontrar esto, inicie el portal de administración de permisos , seleccione Configuración (icono de engranaje) y seleccione la pestaña Sistemas de autorización para ver la lista de identificadores del sistema de autorización.
  • Grupos y usuarios a los que se concede acceso administrativo con el rol de Administrador de administración de permisos en Entra ID. Para encontrar esto, inicie Entra ID, seleccione Roles y administradores, busque Rol de administrador de administración de permisos y seleccione Asignaciones.
  • Acceso específico del sistema de autorización proporcionado a grupos a través del portal de administración de permisos. Para encontrar esto, inicie el portal de administración de permisos , Seleccione Administración de usuarios y, a continuación, haga clic en la pestaña Grupos para ver todas las asignaciones de grupos.
  • Informes personalizados configurados en su entorno. Para encontrar esto, inicie el portal de administración de permisos , seleccione Informes y vaya a Informes personalizados.
  • Alertas configuradas en el entorno. Para encontrar esto, inicie el portal de administración de permisos , seleccione Alertas (icono de campana), vaya a la pestaña correspondiente de alertas.

Pasos de retirada

Una vez incorporados a nuestro socio recomendado o a cualquier otro proveedor, los clientes pueden iniciar la desvinculación. Siga estos pasos en orden:

1. Quite los permisos asignados en AWS, Azure y GCP.
2. Quite la aplicación OIDC para entornos de AWS y GCP.
3. Dejar de recopilar datos para toda la lista de cuentas, suscripciones o proyectos mediante la eliminación de los recopiladores de datos asociados: esto garantiza que no se recopilen nuevos datos y ya no tendrá acceso a ningún dato histórico.
4. Deshabilitación del inicio de sesión de usuario en la aplicación empresarial de Administración de derechos de infraestructura en la nube (CIEM)

Continúe para obtener instrucciones detalladas para cada uno de estos pasos.

Eliminación de permisos asignados en AWS, Azure y GCP

Para un proceso de offboarding exitoso de sus datos, quite los permisos del proveedor de servicios en la nube integrado (Azure, AWS o GCP) y el sistema de Administración de Permisos. Se deben quitar los roles y permisos asignados durante la incorporación. Esto garantiza que el entorno sea seguro sin acceso con privilegios excesivos una vez que el entorno se desactive de la administración de permisos.

Consulte la configuración del recopilador de datos desde el portal de administración de permisos y seleccione la configuración (icono de engranaje). Anote los valores de configuración para quitar roles y permisos asignados en el proveedor de nube correspondiente.

Eliminación de la aplicación OIDC para entornos de AWS y GCP

Para AWS y GCP, elimine la aplicación creada en la entidad del Centro de administración de Microsoft Entra donde está habilitada la Administración de Permisos. Esta aplicación se usó para configurar una conexión OIDC (OpenID Connect) a los entornos de AWS y GCP.

Para encontrar la aplicación empresarial creada que se usó para configurar la conexión OIDC a los entornos de AWS y GCP, siga estos pasos:

Nota:

El usuario debe tener las asignaciones de roles Administrador de administración de permisos y Administrador de aplicaciones en la nube para realizar esta tarea.

1. Vaya al Centro de administración de Microsoft Entra e inicie sesión en Id. de Microsoft Entra.
2. Inicie el portal de administración de permisos .
3. Seleccione Configuración (icono de engranaje) y, a continuación, seleccione la pestaña Recopiladores de datos .
4. En el panel Recopiladores de datos , seleccione el tipo de sistema de autorización:
   • AWS para Amazon Web Services.
   • GCP para Google Cloud Platform.
5. Seleccione los puntos suspensivos (...) al final de la fila de la tabla.
6. Seleccione Editar configuración. La aplicación se encuentra bajo el nombre Azure App.
7. Vaya al Centro de administración de Microsoft Entra e inicie sesión en Id. de Microsoft Entra.
8. Vaya a Entra ID>Registros de aplicaciones.
9. Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda.
10. En la página Información general, seleccione Eliminar. Lea las consecuencias de la eliminación. Active la casilla si aparece una en la parte inferior del panel.
11. Seleccione Eliminar para confirmar que desea eliminar la aplicación.

Detener la recopilación de datos

Deje de recopilar datos para la lista de cuentas, suscripciones o proyectos mediante la eliminación de los recopiladores de datos asociados.

Nota:

El usuario debe tener el rol de Administrador de gestión de permisos para realizar esta tarea.

1. Vaya al Centro de administración de Microsoft Entra e inicie sesión en Id. de Microsoft Entra.
2. Seleccione Administración de permisos y haga clic en Iniciar portal.
3. Seleccione Configuración (el icono de engranaje) y, a continuación, seleccione la pestaña Recopiladores de datos .
4. En el panel Recopiladores de datos , seleccione el tipo de sistema de autorización:
   • AWS para Amazon Web Services.
   • Azure para Microsoft Azure.
   • GCP para Google Cloud Platform.
5. Seleccione los puntos suspensivos (...) al final de la fila de la tabla.
6. Seleccione Eliminar configuración. Se muestra el cuadro Incorporación de administración de permisos: resumen .
7. Seleccione Eliminar.
8. Compruebe el correo electrónico para obtener un código de contraseña única (OTP) y, a continuación, escríbalo en Entrar en OTP.
9. Si no recibe un OTP, seleccione Reenviar OTP.
10. El mensaje siguiente muestra: Successfully deleted configuration.

Deshabilitar el inicio de sesión de usuario en la aplicación empresarial de gestión de derechos de infraestructura en la nube (CIEM)

Una vez que la recopilación de datos se detiene para todas las cuentas de AWS, las suscripciones de Azure y los proyectos de GCP, deshabilite la aplicación Administración de derechos de infraestructura en la nube (CIEM) para que no pueda iniciar sesión. Esto garantiza que la administración de permisos ya no pueda acceder a los entornos (cuentas, suscripciones y proyectos).

Nota:

El usuario debe tener la asignación de rol de Administrador de aplicaciones en la nube para realizar esta tarea.

Para deshabilitar la aplicación CIEM para que los usuarios inicien sesión:

1. Vaya al Centro de administración de Microsoft Entra e inicie sesión en Id. de Microsoft Entra.
2. Vaya a Entra ID>Aplicaciones empresariales>Todas las aplicaciones.
3. Busque Administración de derechos de infraestructura en la nube. Si no encuentra la aplicación, restablezca los filtros.
4. Abra Propiedades.
5. Cambiar a Deshabilitado para que los usuarios no inicien sesión en No.

Pasos siguientes

• Para obtener más información sobre la retirada de productos de Administración de permisos, visite aka.ms/MEPMretire