Asignación de roles de Azure AD en Privileged Identity Management

Con Azure Active Directory (Azure AD), un administrador global puede realizar asignaciones de roles de administrador de Azure AD permanentes. Estas asignaciones de roles se pueden crear mediante Azure Portal o mediante comandos de PowerShell.

El servicio Azure AD Privileged Identity Management (PIM) permite también a los administradores de roles con privilegios realizar asignaciones de roles de administrador permanentes. Además, los administradores de rol con privilegios pueden hacer que los usuarios sean aptos para roles de administrador de Azure AD. Un administrador apto puede activar el rol cuando lo necesite y, cuando termina, sus permisos caducan.

En Privileged Identity Management se admiten roles de Azure AD integrados y personalizados. Para obtener más información sobre roles personalizados de Azure AD, vea Control de acceso basado en rol en Azure Active Directory.

Asignar un rol

Siga estos pasos para hacer que un usuario sea elegible para un rol de administrador de Azure AD.

  1. Inicie sesión en Azure Portal con un usuario que sea miembro del rol Administrador de roles con privilegios.

  2. Abra Azure AD Privileged Identity Management.

  3. Seleccione Roles de Azure AD.

  4. Seleccione Roles para ver la lista de roles de los permisos de Azure AD.

    Captura de pantalla de la página "Roles" con la acción "Agregar asignaciones" seleccionada.

  5. Seleccione Agregar asignaciones para abrir la página Agregar asignaciones.

  6. Elija Seleccionar un rol para abrir la página Seleccionar un rol.

    Panel Nueva asignación

  7. Seleccione el rol que desea asignar, seleccione un miembro al que desee asignar el rol y luego, seleccione Siguiente.

  8. En la lista Tipo de asignación en el panel Configuración de pertenencia, seleccione Apto o Activo.

    • Las asignaciones tipo Apto requieren que el miembro del rol realice una acción para usar el rol. Entre las acciones se puede incluir realizar una comprobación de autenticación multifactor (MFA), proporcionar una justificación de negocios o solicitar la aprobación de los aprobadores designados.

    • Las asignaciones tipo Activo no requieren que el miembro realice ninguna acción para usar el rol. Los miembros asignados como activos tienen siempre los privilegios asignados al rol.

  9. Para especificar una duración de asignación específica, agregue un cuadro de fecha y hora de inicio y de finalización. Cuando termine, seleccione Asignar para crear la nueva asignación de roles.

    Configuración de pertenencias: fecha y hora

  10. Una vez asignado el rol, se muestra una notificación de estado de la asignación.

    Nueva asignación: notificación

Asignación de un rol con ámbito restringido

Para determinados roles, el ámbito de los permisos concedidos se puede restringir a una sola unidad de administración, entidad de servicio o aplicación. Este procedimiento es un ejemplo si se asigna un rol con el ámbito de una unidad administrativa. Para obtener una lista de los roles que admiten la determinación del ámbito mediante una unidad administrativa, consulte Asignación de roles con ámbito a una unidad administrativa. Esta característica se está implementando actualmente en las organizaciones de Azure AD.

  1. Inicie sesión en el centro de administración de Azure Active Directory con permisos de administrador de roles con privilegios.

  2. Seleccione Azure Active Directory > Roles y administradores.

  3. Seleccione el rol Administrador de usuarios.

    El comando Agregar asignación está disponible cuando se abre un rol en el portal.

  4. Seleccione Agregar asignaciones.

    Cuando un rol admite la restricción de ámbito, puede seleccionar un ámbito.

  5. En la página Agregar asignaciones, puede hacer lo siguiente:

    • Seleccionar el usuario o el grupo que se va a asignar al rol
    • Seleccionar el ámbito del rol (en este caso, unidades administrativas)
    • Seleccionar una unidad administrativa para el ámbito

Para más información sobre la creación de unidades administrativas, consulte Adición y eliminación de unidades administrativas.

Actualizar o quitar una asignación de roles existente

Siga estos pasos para actualizar o quiotar una asignación de roles existente. Solo clientes con licencia de Azure AD P2: No asigne un grupo como activo a un rol a través de Azure AD y Privileged Identity Management (PIM). Para obtener una explicación detallada, consulte Problemas conocidos.

  1. Abra Azure AD Privileged Identity Management.

  2. Seleccione Roles de Azure AD.

  3. Seleccione Roles para ver la lista de roles de Azure AD.

  4. Seleccione el rol que quiera actualizar o quitar.

  5. Busque la asignación de roles en las pestañas Roles elegibles o Roles activos.

    Actualizar o quitar la asignación de roles

  6. Seleccione Actualizar o Quitar para actualizar o quitar la asignación de roles.

Pasos siguientes