Compartir por


Tutorial: Administración del acceso a los recursos en la administración de derechos

Administrar el acceso a todos lol recursos que necesitan los empleados, como grupos, aplicaciones y sitios, es una función importante en las organizaciones. Querrá conceder a los empleados el nivel de acceso correcto que necesitan para ser productivos y eliminar su acceso cuando ya no se precise.

En este tutorial, trabajará para Woodgrove Bank como administrador de TI. Le han pedido que cree un paquete de recursos para una campaña de marketing que los usuarios internos puedan usar para realizar solicitudes de autoservicio. Las solicitudes no requerirán aprobación y el acceso del usuario expirará al cabo de 30 días. En este tutorial, los recursos de la campaña de marketing son simplemente la pertenencia a un único grupo, pero podrían ser una colección de grupos, aplicaciones o sitios de SharePoint Online.

Diagrama que muestra la información general del escenario.

En este tutorial, aprenderá a:

  • Crear un paquete de acceso con un grupo como recurso
  • Permitir que un usuario del directorio solicite acceso
  • Demostrar cómo un usuario interno puede solicitar el paquete de acceso

Para ver una demostración paso a paso del proceso de implementación de la administración de derechos de Microsoft Entra, incluida la creación de su primer paquete de acceso, vea el siguiente video:

El resto de este artículo usa el centro de administración de Microsoft Entra para configurar y demostrar la administración de derechos.

Requisitos previos

Para usar la administración de derechos, debe tener una de las licencias siguientes:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Licencia de Enterprise Mobility + Security (EMS) E5

Para obtener más información, consulte Requisitos de licencia.

Paso 1: Configuración de usuarios y grupos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Un directorio de recurso tiene uno o más recursos para compartir. En este paso, creará un grupo denominado Recursos de marketing en el directorio de Woodgrove Bank que es el recurso de destino de la administración de derechos. También configurará un solicitante interno.

Diagrama que muestra los usuarios y grupos para este tutorial.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.

  3. Creación de dos usuarios. Use los siguientes nombres u otros diferentes.

    Nombre Rol del directorio
    Admin1 Al menos un administrador de gobernanza de identidades. Este usuario puede ser el usuario con el que ha iniciado sesión.
    Solicitante1 User
  4. Cree un grupo de seguridad de Microsoft Entra llamado Recursos de marketing con el tipo de pertenencia Asignado. Este grupo es el recurso de destino para la administración de derechos. El grupo debe estar vacío para comenzar.

Paso 2: Creación de un paquete de acceso

Un paquete de acceso es un conjunto de recursos que un equipo o proyecto necesita y se rige por directivas. Los paquetes de acceso se definen en contenedores llamados catálogos. En este paso, creará un paquete de acceso Campaña de marketing en el catálogo General.

Diagrama que describe la relación entre los elementos del paquete de acceso.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. En la página Paquetes de acceso, abra un paquete de acceso.

  4. Al abrir el paquete de acceso, si ve Acceso denegado, asegúrese de que en su directorio haya una licencia de Microsoft Entra ID P2 o Microsoft Entra ID Governance.

  5. Seleccione New access package (Nuevo paquete de acceso).

    Capturas de pantalla que muestra cómo crear un paquete de acceso.

  6. En la pestaña Básico, escriba el nombre Campaña de marketing y la descripción Acceso a los recursos de la campaña.

  7. Deje la lista desplegable Catálogo establecida en General.

    Captura de pantalla en la que se muestra cómo definir los aspectos básicos de la directiva de acceso.

  8. Seleccione Siguiente para abrir la pestaña Roles de recurso. En esta pestaña, seleccione los recursos y el rol de recurso que se incluirán en el paquete de acceso. Puede optar por administrar el acceso a grupos y equipos, aplicaciones y sitios de SharePoint Online. En este escenario, seleccione Grupos y equipos.

    Captura de pantalla que muestra cómo seleccionar grupos y equipos.

  9. En el panel Seleccionar grupos, busque y seleccione el grupo Recursos de marketing que creó anteriormente.

    De forma predeterminada, verá grupos dentro del catálogo general. Al seleccionar un grupo fuera del catálogo general, que puede ver si activa la casilla Ver todo, se agrega al catálogo general.

    Captura de pantalla que muestra cómo seleccionar los grupos

  10. Elija Seleccionar para agregar el usuario a la lista.

  11. En la lista desplegable Rol, seleccione Miembro. Si selecciona el rol Propietario, los usuarios podrán agregar o quitar otros miembros o propietarios. Para obtener más información sobre cómo seleccionar los roles adecuados para un recurso, lea Agregar roles de recursos.

    Captura de pantalla que muestra cómo seleccionar el rol de miembro.

    Importante

    Los grupos a los que se pueden asignar roles que se agregan a un paquete de acceso se indicarán mediante el subtipo Assignable to roles. Para obtener más información, consulte el artículo Creación de un grupo al que se pueden asignar roles. Tenga en cuenta que una vez que un grupo al que se pueden asignar roles está presente en un catálogo de paquetes de acceso, los usuarios administrativos que pueden encargarse de la administración de derechos, incluidos los que tienen el rol Administrador global, Administrador de Identity Governance y propietarios de catálogos, podrán controlar los paquetes de acceso en el catálogo, lo que les permite decidir a quién agregar a esos grupos. Si no ve un grupo de roles asignables que quiera o pueda agregar, asegúrese de tener el rol de Microsoft Entra y de administración de derechos requerido para esta operación. Quizá necesite pedirle a alguien con los roles necesarios que agregue el recurso al catálogo. Para obtener más información, vea Roles necesarios para agregar recursos a un catálogo.

    Nota:

    Si usas grupos de pertenencia dinámica no verás ningún otro rol disponible además del propietario. es así por diseño. Capturas de pantalla que muestran los roles disponibles para un grupo dinámico.

  12. Seleccione Siguiente para abrir la pestaña Solicitudes. En esta pestaña, creará una directiva de solicitud. Una directiva define las reglas o barreras para acceder a un paquete de acceso. Creará una directiva que permite que un usuario específico del directorio del recurso solicite este paquete de acceso.

  13. En la sección Usuarios que pueden solicitar acceso, selecciona Para los usuarios de tu directorio y luego Usuarios y grupos específicos.

    Captura de pantalla de la pestaña de solicitudes de paquete de acceso.

  14. Seleccione Agregar usuarios y grupos.

  15. En el panel Seleccionar usuarios y grupos, seleccione el usuario Solicitante1 que creó anteriormente.

    Captura de pantalla que muestra la selección de usuarios y grupos.

  16. Elija Seleccionar para agregar el usuario a la lista.

  17. Desplácese hacia abajo hasta las secciones Aprobación y Enable requests (Habilitar solicitudes).

  18. Deje Requerir aprobación establecido en No.

  19. En Enable requests, haga clic en para que este paquete de acceso se solicite tan pronto como se haya creado.

  20. Si su organización está configurada para recibir identificadores comprobados, hay una opción para configurar un paquete de acceso para requerir que los solicitantes proporcionen un identificador comprobado. Para obtener más información, consulte: configuración de las opciones de identificación verificada de un paquete de acceso en la administración de derechos (versión preliminar)

    Captura de pantalla de la selección del selector de identificadores comprobados.

  21. Haga clic en Next para abrir la pestaña Requestor information.

    Capturas de pantalla que muestra la aprobación de la pestaña de solicitudes y la activación de la configuración de solicitudes.

  22. En la pestaña Requestor information, podrá formular preguntas para recopilar más información del solicitante. Estas preguntas se muestran en el formulario de solicitud y pueden ser obligatorias u opcionales. También puedes especificar si el gerente de un empleado puede hacer la solicitud en su nombre o no, y si se requiere la aprobación en caso de que lo haga. Si la directiva permite a los gerentes hacer la solicitud en nombre de un empleado, el gerente respondería a las preguntas en nombre del empleado, y el empleado no las respondería. Para obtener más información sobre esta opción, consulta: Solicitud del paquete de acceso en nombre de otros usuarios (versión preliminar). En este escenario, no se le ha pedido que incluya información del solicitante del paquete de acceso, por lo que puede dejar estos cuadros vacíos. Haga clic en Siguiente para abrir la pestaña Ciclo de vida.

  23. En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones. En la sección Expiración:

    1. Establezca Access package assignments expire en Number of days.
    2. Establezca Assignments expire after en 30 días.
    3. Mantenga el valor predeterminado de Los usuarios pueden solicitar una línea de tiempo específica en .
    4. Establezca Exigir revisiones de acceso en .

    Captura de pantalla de la pestaña del ciclo de vida del paquete de acceso

  24. Omita el paso Extensiones personalizadas.

  25. Seleccione Siguiente para abrir la pestaña Revisar y crear.

  26. En la pestaña Revisar y Crear, seleccione Crear. Transcurridos unos instantes, verá una notificación que dice que el paquete de acceso se ha creado correctamente.

  27. En el menú izquierdo del paquete de acceso Campaña de marketing, seleccione Información general.

  28. Copie el vínculo del portal Mi acceso.

    Este vínculo lo usará en el paso siguiente.

    Captura de pantalla que muestra cómo copiar el enlace a la directiva de acceso.

Paso 3: Solicitar acceso

En este paso, realizará los pasos como solicitante interno y solicitará acceso al paquete acceso. Los solicitantes envían sus solicitudes mediante un sitio conocido como el portal Mi acceso. El portal Mi acceso permite a los solicitantes enviar solicitudes de paquetes de acceso, ver los paquetes de acceso a los que ya tienen acceso y ver sus historiales de solicitudes. Cuando un nuevo invitado solicita un paquete de acceso en MyAccess, su idioma preferido se marca en función del idioma del explorador MyAccess en el momento de la solicitud. Esto permite a los nuevos invitados recibir comunicaciones por correo electrónico en un idioma que comprendan.

Rol necesario: solicitante interno

  1. Cierre la sesión del centro de administración de Microsoft Entra.

  2. En una nueva ventana del explorador, vaya al vínculo del portal Mi acceso que copió en el paso anterior.

  3. Inicie sesión en el portal Mi acceso como Solicitante1.

    Debería ver el paquete de acceso Campaña de marketing.

  4. En el cuadro Justificación comercial, indique I'm working on the new marketing campaign.

    Captura de pantalla del portal Mi acceso que enumera los paquetes de acceso.

  5. Seleccione Submit (Enviar).

  6. En el menú izquierdo, haga clic en Historial de solicitudes para comprobar que la solicitud se ha enviado. Para obtener más información, seleccione Ver.

    Captura de pantalla del historial de solicitudes del portal Mi acceso.

Paso 4: Validación de que se ha asignado el acceso

En este paso, confirmará que se asignó el paquete de acceso al solicitante interno y que este es ahora miembro del grupo Recursos de marketing.

  1. Cierre sesión en el portal Mi acceso.

  2. Inicie sesión en el Centro de administración de Microsoft Entra como Admin1, que es al menos un Administrador de gobernanza de identidades.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el propietario del catálogo y el administrador de paquetes de Access.

  3. Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.

  4. Busque y seleccione el paquete de acceso Campaña de marketing.

  5. En el menú de la izquierda, seleccione Solicitudes.

    Verá Solicitante1 y la directiva inicial con el estado Entregado.

  6. Seleccione la solicitud para ver los detalles.

    Captura de pantalla de los detalles de la solicitud de paquete de acceso.

  7. En el menú de navegación de la izquierda, seleccione Identidad.

  8. Haga clic en Grupos y abra el grupo Recursos de marketing.

  9. Seleccione Miembros.

    Verá que Solicitante1 aparece como miembro.

    Captura de pantalla que muestra que el solicitante 1 se ha agregado al grupo de recursos de marketing.

Paso 5: Limpieza de recursos

En este paso, se quitarán los cambios realizados y se eliminará el paquete de acceso Campaña de marketing.

  1. En el Centro de administración de Microsoft Entra, como mínimo, un Administrador de la gobernanza de identidades seleccione Gobernanza de identidades.

  2. Abra el paquete de acceso Campaña de marketing.

  3. Seleccione Asignaciones.

  4. Para Solicitante1, seleccione los puntos suspensivos (...) y, a continuación, Quitar acceso. En el mensaje que aparece, seleccione .

    Tras unos momentos, el estado cambiará de Entregado a Expirado.

  5. Seleccione Roles de recurso.

  6. En Recursos de marketing, seleccione en el botón de puntos suspensivos (... ) y luego Eliminar rol de recurso. En el mensaje que aparece, seleccione .

  7. Abra la lista de paquetes de acceso.

  8. En Campaña de marketing, seleccione el botón de puntos suspensivos (...) y Eliminar. En el mensaje que aparece, seleccione .

  9. En Identidad, elimine los usuarios que haya creado, como Requestor1 y Admin1.

  10. Elimine el grupo Recursos de marketing.

Pasos siguientes

Avance al siguiente artículo para conocer los pasos del escenario común de administración de derechos.