Implementación de directivas de la organización para gobernar el acceso a las aplicaciones integradas con Microsoft Entra ID

  • Artículo

En las secciones anteriores, ha definido las directivas de gobernanza para una aplicación y ha integrado esa aplicación con Microsoft Entra ID. En esta sección, configurará las características de administración de derechos y acceso condicional de Microsoft Entra para controlar el acceso continuo a las aplicaciones. Usted establece

  • Directivas de acceso condicional, a fin de saber cómo se autentica un usuario en Microsoft Entra ID para una aplicación integrada con Microsoft Entra ID para el inicio de sesión único
  • Directivas de administración de derechos, para obtener y mantener asignaciones a roles de aplicación y pertenencia a grupos
  • Directivas de revisión de acceso, para la frecuencia con la que se revisan las pertenencias a grupos

Una vez que se implementen estas directivas, puede supervisar el comportamiento continuo de Microsoft Entra ID a medida que los usuarios solicitan y se les asigna acceso a la aplicación.

Implementación de directivas de acceso condicional para la aplicación del inicio de sesión único

En esta sección, establecerá las directivas de acceso condicional que están en el ámbito para determinar si un usuario autorizado puede iniciar sesión en la aplicación, en función de factores como la intensidad de autenticación del usuario o el estado del dispositivo.

El acceso condicional solo es posible para las aplicaciones que dependen de Microsoft Entra ID para el inicio de sesión único (SSO). Si la aplicación no se puede integrar para el inicio de sesión único, continúe en la sección siguiente.

  1. Cargue el documento de términos de uso, si es necesario. Si necesita que los usuarios acepten las condiciones de uso (CDU) antes de acceder a la aplicación, cree y cargue el documento de CDU para que se pueda incluir en una directiva de acceso condicional.
  2. Compruebe que los usuarios están listos para la autenticación multifactor de Microsoft Entra. Se recomienda exigir la autenticación multifactor de Microsoft Entra para aplicaciones críticas para la empresa integradas mediante la federación. Para estas aplicaciones, debe haber una directiva que exija que el usuario haya cumplido un requisito de autenticación multifactor antes de que Microsoft Entra ID le permita iniciar sesión en la aplicación. Algunas organizaciones también pueden bloquear el acceso por ubicaciones o requerir que el usuario acceda desde un dispositivo registrado. Si no hay ninguna directiva adecuada que incluya las condiciones necesarias para la autenticación, la ubicación, el dispositivo y las CDU, agregue una directiva a la implementación de acceso condicional.
  3. Incorpore el punto de conexión web de la aplicación al ámbito de la directiva de acceso condicional correspondiente. Si tiene una directiva de acceso condicional existente que se creó para otra aplicación sujeta a los mismos requisitos de gobernanza, puede actualizar esa directiva para que también se aplique a esta aplicación y evita así tener un gran número de directivas. Una vez que haya realizado las actualizaciones, compruebe que se apliquen las directivas esperadas. Puede ver qué directivas se aplicarían a un usuario con la herramienta What If de acceso condicional.
  4. Cree una revisión de acceso periódica si algún usuario necesita exclusiones de directivas temporales. En algunos casos, es posible que no se puedan aplicar de inmediato directivas de acceso condicional para cada usuario autorizado. Por ejemplo, es posible que algunos usuarios no tengan un dispositivo registrado adecuado. Si es necesario excluir uno o varios usuarios de la directiva de acceso condicional y permitirles el acceso, configure una revisión de acceso para el grupo de usuarios excluidos de las directivas de acceso condicional.
  5. Documente la vigencia del token y la configuración de la sesión de las aplicaciones. El tiempo que un usuario, al que se ha denegado el acceso continuado, puede seguir usando una aplicación federada depende de la duración de la sesión propia de la aplicación y de la vigencia del token de acceso. La vigencia de la sesión de una aplicación depende de la propia aplicación. Para más información sobre cómo controlar la duración de los tokens de acceso, consulte Vigencia de los tokens configurables.

Implementación de directivas de administración de derechos para automatizar la asignación de acceso

En esta sección, configurará la administración de derechos de Microsoft Entra para que los usuarios puedan solicitar acceso a los roles de la aplicación o a los grupos usados por la aplicación. Para realizar estas tareas, debe tener el rol Administrador global, Administrador de Identity Governance o delegado como creador del catálogo y ser el propietario de la aplicación.

  1. Los paquetes de acceso para las aplicaciones gobernadas deben estar en un catálogo designado. Si aún no tiene un catálogo para el escenario de gobernanza de aplicaciones, cree un catálogo en la administración de derechos de Microsoft Entra. Si tiene varios catálogos para crear, puede usar un script de PowerShell para crear cada uno.
  2. Rellene el catálogo con los recursos necesarios. Agregue la aplicación y los grupos de Microsoft Entra en los que se basa la aplicación, como recursos de ese catálogo. Si tiene muchos recursos, puede usar un script de PowerShell para agregar cada recurso a un catálogo.
  3. Cree un paquete de acceso para cada rol o grupo que los usuarios puedan solicitar. Para cada una de las aplicaciones, y para cada uno de sus roles o grupos de aplicación, cree un paquete de acceso que incluya ese rol o grupo como su recurso. En esta etapa de configuración de los paquetes de acceso, configure la directiva de asignación del primer paquete de acceso en cada paquete de acceso para que sea una directiva de asignación directa, de modo que solo los administradores puedan crear asignaciones. En esa directiva, establezca los requisitos de revisión de acceso para los usuarios existentes, si los hay, a fin de que no conserven el acceso de manera indefinida. Si tiene muchos paquetes de acceso, puede utilizar un script de PowerShell para crear cada paquete de acceso en un catálogo.
  4. Configure los paquetes de acceso para aplicar la separación de los requisitos de tareas. Si tiene requisitos de separación de tareas, configure los paquetes de acceso no compatibles o los grupos existentes para el paquete de acceso. Si su escenario requiere la capacidad de invalidar una separación de la comprobación de tareas, también puede configurar paquetes de acceso adicionales para esos escenarios de invalidación.
  5. Agregue asignaciones de usuarios existentes, que ya tengan acceso a la aplicación, a los paquetes de acceso. Para cada paquete de acceso, asigne los usuarios existentes de la aplicación en ese rol correspondiente, o los miembros de ese grupo, al paquete de acceso y a su directiva de asignación directa. Puede asignar directamente un usuario a un paquete de acceso a través del Centro de administración Microsoft Entra o de forma masiva a través de Graph o PowerShell.
  6. Cree directivas adicionales para permitir que los usuarios soliciten acceso. En cada paquete de acceso, cree directivas de asignación de paquetes de acceso adicionales para que los usuarios soliciten acceso. Configure los requisitos de aprobación y revisión de acceso periódica en esa directiva.
  7. Cree revisiones de acceso periódicas para otros grupos usados por la aplicación. Si hay grupos que utiliza la aplicación, pero no son roles de recursos para un paquete de acceso, cree revisiones de acceso para la pertenencia de esos grupos.

Visualización de informes sobre el acceso

Microsoft Entra ID y Microsoft Entra ID Governance con Azure Monitor proporciona varios informes que le ayudan a comprender quién tiene acceso a una aplicación y si usa este acceso.

Supervisión para ajustar las directivas de administración de derechos y el acceso según sea necesario

A intervalos regulares, como semanal, mensual o trimestralmente, en base al volumen de cambios de asignación de acceso a la aplicación para su aplicación, use el centro de administración de Microsoft Entra para asegurarse de que el acceso se está concediendo de acuerdo con las directivas. También puede asegurarse de que los usuarios identificados para su aprobación y revisión siguen siendo las personas correctas para estas tareas.

  • Observe las asignaciones de roles de aplicación y los cambios de pertenencia a grupos. Si ha configurado Microsoft Entra ID para enviar su registro de auditoría a Azure Monitor, use Application role assignment activity en Azure Monitor para supervisar e informar de las asignaciones de roles de aplicación que no se hayan realizado mediante la administración de derechos. Si hay asignaciones de roles creadas directamente por un propietario de la aplicación, debe ponerse en contacto con ese propietario para determinar si esa asignación se ha autorizado. Además, si la aplicación se basa en grupos de seguridad de Microsoft Entra, supervise también los cambios en esos grupos.

  • Observe también si los usuarios tienen acceso directamente dentro de la aplicación. Si se cumplen las siguientes condiciones, es posible que un usuario obtenga acceso a una aplicación sin formar parte de Microsoft Entra ID, o bien sin que se agregue al almacén de cuentas de usuario de las aplicaciones mediante Microsoft Entra ID:

    • La aplicación tiene un almacén de cuentas de usuario local dentro de la aplicación.
    • El almacén de cuentas de usuario está en una base de datos o en un directorio LDAP.
    • La aplicación no se basa únicamente en Microsoft Entra ID para el inicio de sesión único.

    Para una aplicación con las propiedades de la lista anterior, debe comprobar periódicamente que los usuarios solo se hayan agregado al almacén de usuarios local de la aplicación mediante el aprovisionamiento de Microsoft Entra. Si los usuarios se han creado directamente en la aplicación, póngase en contacto con el propietario de la aplicación para determinar si esa asignación estaba autorizada.

  • Asegúrese de que los aprobadores y revisores se mantengan actualizados. Para cada paquete de acceso que ha configurado en la sección anterior, asegúrese de que las directivas de asignación de paquetes de acceso sigan teniendo los aprobadores y revisores correctos. Actualice esas directivas si los aprobadores y revisores configurados previamente ya no están presentes en la organización o tienen un rol diferente.

  • Asegúrese de que los revisores tomen decisiones durante una revisión. Supervise que las revisiones de acceso periódicas de esos paquetes de acceso se completen correctamente para asegurarse de que los revisores participan y toman decisiones para aprobar o denegar la necesidad continua de acceso del usuario.

  • Compruebe que el aprovisionamiento y el desaprovisionamiento funcionen según lo previsto. Si ha configurado previamente el aprovisionamiento de usuarios en la aplicación, cuando se apliquen los resultados de una revisión o expire una asignación de usuario a un paquete de acceso,Microsoft Entra ID comienza a desaprovisionar los usuarios denegados de la aplicación. Puede supervisar el proceso de desaprovisionamiento de usuarios. Si el aprovisionamiento indica un error con la aplicación, puede descargar el registro de aprovisionamiento para investigar si se produjo un problema con la aplicación.

  • Actualice la configuración de Microsoft Entra con cualquier cambio de rol o de grupo en la aplicación. Si el administrador de aplicaciones agrega nuevos roles de aplicación en su manifiesto, actualiza los roles existentes o se basa en grupos adicionales, debe actualizar los paquetes de acceso y las revisiones de acceso para tener en cuenta esos nuevos roles o grupos.

Pasos siguientes