Compartir vía


Guía de inicio rápido para la Administración de permisos de Microsoft Entra

Le damos la bienvenida a la Guía de inicio rápido para la Administración de permisos de Microsoft Entra.

La Administración de permisos es una solución de administración de derechos de la infraestructura en la nube (CIEM) que proporciona visibilidad completa de los permisos asignados a todas las identidades. Estas identidades incluyen las identidades de usuario y cargas de trabajo con privilegios elevados, las acciones y los recursos en infraestructuras de varias nubes en Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP). La Administración de permisos ayuda a su organización a proteger y administrar de forma eficaz los permisos en la nube mediante la detección, el ajuste de tamaño automático y la supervisión continua de permisos sin usar y excesivos.

Con esta guía de inicio rápido, configurará los entornos multinube, configurará la recopilación de datos y habilitará el acceso a los permisos para asegurarse de que las identidades en la nube se administran y protegen.

Requisitos previos

Antes de empezar, necesita acceder a estas herramientas para el proceso de incorporación:

  • Acceso a un shell de BASH local con la CLI de Azure o Azure Cloud Shell mediante el entorno de BASH (se incluye la CLI de Azure).
  • Acceso a las consolas de AWS, Azure y GCP.
  • Un usuario debe tener la asignación de roles de Administrador de la administración de permisos para crear un nuevo registro de aplicación en el inquilino de Microsoft Entra para la incorporación de AWS y GCP.

Paso 1: Configuración de Permissions Management

Para habilitar la Administración de permisos, debe tener un inquilino de Microsoft Entra (por ejemplo, Centro de administración de Microsoft Entra).

  • Si tiene una cuenta de Azure, tendrá automáticamente un inquilino del Centro de administración de Microsoft Entra.
  • Si todavía no tiene una, cree una cuenta gratuita en entra.microsoft.com.

Si se cumplen los puntos anteriores, continúe con los pasos siguientes:

Habilitar la administración de permisos de Microsoft Entra en la organización

Asegúrese de que es un Administrador de la administración de permisos. Obtenga más información sobre Roles y permisos de la administración de permisos.

Diagrama en el que se muestra dónde Microsoft Entra forma una intersección con los roles de Azure en el inquilino de Microsoft Entra.

Paso 2: Incorporación del entorno multinube

Hasta ahora,

  1. Se le ha asignado el rol Administrador de administración de permisos en el inquilino del Centro de administración de Microsoft Entra.
  2. Ha comprado licencias o ha activado la prueba gratuita de 45 días para la Administración de permisos.
  3. Ha iniciado la administración de permisos correctamente.

Ahora, obtendrá información sobre el rol y la configuración de los modos de recopilación de datos y controlador en la Administración de permisos.

Establecimiento del controlador

El controlador le ofrece la opción de determinar el nivel de acceso que concede a los usuarios en la Administración de permisos.

  • Al habilitar el controlador durante la incorporación, se concede acceso de administrador de administración de permisos, o acceso de lectura y escritura, para que los usuarios puedan ajustar los permisos y corregir directamente a través de la Administración de permisos (en lugar de ir a las consolas de AWS, Azure o GCP). 

  • Al deshabilitar el controlador durante la incorporación, o nunca habilitarlo, se concede a un usuario de Administración de permisos acceso de solo lectura a los entornos.

Nota:

Si no habilita el controlador durante la incorporación, tiene la opción de habilitarlo una vez completada la incorporación. Para establecer el controlador en la Administración de permisos después de la incorporación, consulte Habilitar o deshabilitar el controlador después de la incorporación. Para entornos de AWS, una vez que haya habilitado el controlador, no podrá deshabilitarlo.

Para establecer la configuración del controlador durante la incorporación:

  1. Seleccione Habilitar para conceder acceso de lectura y escritura a la Administración de permisos.
  2. Seleccione Deshabilitar para conceder acceso de solo lectura a la Administración de permisos.

Configuración de la recopilación de datos

Hay tres modos entre los que elegir para recopilar datos en la Administración de permisos.

  • Automático (recomendado) La Administración de permisos detecta, incorpora y supervisa automáticamente todas las suscripciones actuales y futuras.

  • Manual Escriba manualmente suscripciones individuales para que la Administración de permisos detecte, incorpore y supervise. Puede escribir hasta 100 suscripciones por recopilación de datos.

  • Seleccionar La Administración de permisos detecta automáticamente todas las suscripciones actuales. Una vez detectada, seleccione las suscripciones que se van a incorporar y supervisar.

Nota:

Para usar los modos Automático o Seleccionar, el controlador debe estar habilitado al configurar la recopilación de datos.

Para configurar la colección de datos:

  1. En la Administración de permisos, vaya a la página Recopiladores de datos.
  2. Seleccione un entorno de nube: AWS, Azure o GCP.
  3. Haga clic en Crear configuración.

Nota:

El proceso de recopilación de datos tarda algún tiempo y se produce en intervalos de aproximadamente 4 a 5 horas en la mayoría de los casos. El período de tiempo depende del tamaño del sistema de autorización que tenga y de la cantidad de datos disponibles para la recopilación.

Incorporación de Amazon Web Services (AWS)

Dado que la Administración de permisos se hospeda en Microsoft Entra, hay más pasos que se deben seguir para incorporar el entorno de AWS.

Para conectar AWS a la Administración de permisos, debe crear una aplicación de Microsoft Entra en el inquilino del Centro de administración de Microsoft Entra donde está habilitada la administración de permisos. Esta aplicación de Microsoft Entra se usa para configurar una conexión OIDC en su entorno de AWS.

OpenID Connect (OIDC) es un protocolo de autenticación interoperable basado en la familia de especificaciones de OAuth 2.0.

Diagrama que muestra la conexión entre Microsoft Entra ID y un entorno de nube de AWS.

Requisitos previos

Un usuario debe tener asignaciones de roles de Administrador de administración de permisos para crear un nuevo registro de aplicación en Microsoft Entra ID.

Identificadores y roles de cuenta para:

  • Cuenta OIDC de AWS: una cuenta de miembro de AWS designada por usted para crear y hospedar la conexión OIDC a través de un IdP de OIDC
  • Cuenta de registro de AWS (opcional, pero recomendada)
  • Cuenta de administración de AWS (opcional, pero recomendada)
  • Cuentas miembro de AWS supervisadas y administradas por la Administración de permisos (para el modo manual)

Para usar los modos de recopilación de datos Automático o Seleccionar, debe conectar su cuenta de Administración de AWS.

Durante este paso, puede habilitar el controlador escribiendo el nombre del cubo S3 con los registros de actividad de AWS CloudTrail (que se encuentran en AWS Trails).

Para incorporar el entorno de AWS y configurar la recopilación de datos, consulte Incorporación de una cuenta de Amazon Web Services (AWS).

Incorporación de Microsoft Azure

Al habilitar la Administración de permisos en el inquilino de Microsoft Entra, se crea una aplicación empresarial para CIEM. Para incorporar el entorno de Azure, conceda permisos a esta aplicación para la Administración de permisos.

  1. En el inquilino de Microsoft Entra donde está habilitada la Administración de permisos, busque la aplicación empresarial Administración de derechos de la infraestructura en la nube (CIEM).

  2. Asigne el rol Lector a la aplicación CIEM para permitir que la Administración de permisos lea las suscripciones de Microsoft Entra en su entorno.

Diagrama que muestra la conexión entre las conexiones de rol de Microsoft Entra a una suscripción de Azure.

Requisitos previos

  • Un usuario con Microsoft.Authorization/roleAssignments/write permisos en el ámbito de suscripción o grupo de administración para asignar roles a la aplicación CIEM.

  • Para usar los modos de recopilación de datos Automático o Seleccionar, debe asignar el rol Lector en el ámbito del grupo de administración.

  • Para habilitar el controlador, debe asignar el rol Administrador de acceso de usuario a la aplicación CIEM.

Para incorporar el entorno de Azure y configurar la recopilación de datos, consulte Incorporación de una suscripción de Microsoft Azure.

Incorporación de Google Cloud Platform (GCP)

Dado que la Administración de permisos se hospeda en Microsoft Azure, hay pasos adicionales que se deben seguir para incorporar el entorno de GCP.

Para conectar GCP a la administración de permisos, debe crear una aplicación del centro de administración de Microsoft Entra en el inquilino de Microsoft Entra donde está habilitada la administración de permisos. Esta aplicación del centro de administración de Microsoft Entra se usa para configurar una conexión OIDC en su entorno de GCP.

OpenID Connect (OIDC) es un protocolo de autenticación interoperable basado en la familia de especificaciones de OAuth 2.0.

Diagrama que muestra la conexión entre la aplicación OIDC de Microsoft Entra y un entorno de nube de GCP.

Requisitos previos

Un usuario con la capacidad de crear un nuevo registro de aplicaciones en Microsoft Entra (necesario para facilitar la conexión OIDC) es necesario para la incorporación de AWS y GCP.

Detalles del identificador para:

  • Proyecto OIDC de GCP: un proyecto de GCP designado por usted para crear y hospedar la conexión OIDC a través de un IdP de OIDC.
    • Número de proyecto e identificador de proyecto
  • Identidad de carga de trabajo de OIDC de GCP
    • Identificador de grupo, identificador de proveedor del grupo
  • Cuenta de servicio de OIDC de GCP
    • Nombre del secreto de IdP de G-suite y correo electrónico de usuario de IdP de G-suite (opcional)
    • Identificadores para los proyectos de GCP que desea incorporar (opcional, para el modo manual)

Asigne los roles Espectador y Revisor de seguridad a la cuenta de servicio de GCP en los niveles de organización, carpeta o proyecto para conceder acceso de lectura de Administración de permisos al entorno de GCP.

Durante este paso, tiene la opción de Habilitar el modo de controlador asignando los roles Administrador de roles y Administrador de seguridad a la cuenta de servicio de GCP en los niveles de organización, carpeta o proyecto.

Nota:

El ámbito predeterminado de la Administración de permisos está en el nivel de proyecto.

Para incorporar el entorno de GCP y configurar la recopilación de datos, consulte Incorporación de un proyecto de GCP.

Resumen

Felicidades. Ha terminado de configurar la recopilación de datos para los entornos y se ha iniciado el proceso de recopilación de datos. El proceso de recopilación de datos tarda algún tiempo; aproximadamente 4-5 horas en la mayoría de los casos. El período de tiempo depende de la cantidad de sistemas de autorización que haya incorporado y de la cantidad de datos disponibles para la recopilación.

La columna de estado de la interfaz de usuario de la Administración de permisos muestra el paso de la recopilación de datos en el que se encuentra.

  • Pendiente: la Administración de permisos aún no ha iniciado la detección o la incorporación.
  • Detección: La administración de permisos detecta los sistemas de autorización.
  • En curso: La administración de permisos ha terminado de detectar los sistemas de autorización y está incorporando.
  • Incorporado: la recopilación de datos está completa y todos los sistemas de autorización detectados se incorporaron a la Administración de permisos.

Nota:

Mientras continúa el proceso de recopilación de datos, puede empezar a configurar usuarios y grupos en la Administración de permisos.

Pasos siguientes

Referencias: