¿Qué son las revisiones de acceso?
Las revisiones de acceso de Microsoft Entra ID, que forman parte de Microsoft Entra, permiten a las organizaciones administrar de forma eficiente la pertenencia a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.
Este es un vídeo que proporciona una introducción rápida de las revisiones de acceso:
¿Por qué son importantes las revisiones de acceso?
Microsoft Entra ID le permite colaborar con usuarios dentro de su organización y con usuarios externos. Los usuarios pueden unirse a grupos, invitar a otros usuarios, conectarse a aplicaciones en la nube y trabajar de forma remota desde sus dispositivos de trabajo o personales. La comodidad de usar el autoservicio ha llevado a una necesidad de mejores funcionalidades de administración del acceso.
- Cuando se unen nuevos empleados, ¿cómo estar seguro de que tienen el acceso que necesitan para ser productivos?
- A medida que los usuarios salen de equipos o abandonan la empresa, ¿cómo tener la seguridad de que se les retira su acceso antiguo?
- Unos derechos de acceso excesivos son peligrosos.
- Un derecho de acceso excesivo también puede dar lugar a hallazgos de auditoría, ya que indican una falta de control sobre el acceso.
- Tendrá que trabajar de manera proactiva junto a los propietarios de los recursos para asegurarse de que revisen periódicamente quién tiene acceso a sus recursos.
¿Cuándo se deben usar las revisiones de acceso?
- Demasiados usuarios en roles con privilegios: es recomendable comprobar cuántos usuarios tienen acceso administrativo, cuántos de ellos son administradores globales, y si hay algún invitado o asociado que no se haya quitado después de que se haya asignado una tarea administrativa. Puede volver a certificar los usuarios con asignación de roles en roles de Microsoft Entra como administradores globales, o en roles de recursos de Azure como, por ejemplo, administrador de acceso de usuario, en la experiencia Privileged Identity Management (PIM) de Microsoft Entra.
- Cuando no es posible la automatización: puede crear las reglas de pertenencia dinámica en grupos de seguridad o Grupos de Microsoft 365, pero ¿qué ocurre si los datos de recursos humanos no se encuentran en Microsoft Entra ID o si los usuarios todavía necesitan acceso después de abandonar el grupo para entrenar a su sustituto? Luego puede crear una revisión en ese grupo para asegurarse de que los usuarios que aún necesiten acceso sigan teniéndolo.
- Cuando se usa un grupo para una nueva finalidad: si tiene un grupo que se va a sincronizar con Microsoft Entra ID, o si va a habilitar la aplicación Salesforce para todos los usuarios en el grupo del equipo de Ventas, sería útil solicitar al propietario del grupo que revise la pertenencia al grupo antes de usar el grupo en un contenido de riesgo distinto.
- Acceso a datos críticos para la empresa: para determinados recursos, como aplicaciones críticas para la empresa, es posible que tenga que pedir a los usuarios que reconfirmen y proporcionen con regularidad una justificación sobre por qué necesitan acceso continuado, como parte de los procesos de cumplimiento.
- Para mantener la lista de excepciones de la directiva: En un mundo ideal, todos los usuarios deberían seguir las directivas de acceso para proteger el acceso a los recursos de la organización. A veces, sin embargo, hay casos empresariales en los que hay que hacer excepciones. Como administrador de TI, puede administrar esta tarea, evitar las excepciones de omisiones de la directiva y proporcionar a los auditores prueba de que estas excepciones se revisan normalmente.
- Pida a los propietarios de grupos que confirmen que siguen necesitando invitados en sus grupos: el acceso de los empleados puede automatizarse con otras características de administración de identidades y accesos, como flujos de trabajo de ciclo de vida basados en datos de un origen de RR. HH., pero no los invitados. Si un grupo proporciona a los invitados acceso a contenido empresarial confidencial, es responsabilidad del propietario del grupo confirmar que los invitados todavía tienen una necesidad empresarial legítima de acceso.
- Repetir las revisiones periódicamente: puede configurar revisiones periódicas de acceso de usuarios a frecuencias establecidas, como semanal, mensual, trimestral o anualmente; y los revisores reciben notificaciones al principio de cada revisión. Los revisores pueden aprobar o denegar el acceso con una interfaz sencilla y con la ayuda de recomendaciones inteligentes.
Nota:
Si está listo para probar las revisiones de acceso, eche un vistazo a Creación de una revisión de acceso de grupos o aplicaciones.
¿Donde se crean las revisiones?
En función de lo que quiera revisar, creará la revisión de acceso en las revisiones de acceso, aplicaciones de empresa de Microsoft Entra, PIM o la administración de derechos.
| Derechos de acceso de los usuarios | Los revisores pueden ser | Revisión creada en | Experiencia del revisor |
|---|---|---|---|
| Miembros del grupo de seguridadMiembros del grupo de Office | Revisores especificadosPropietarios del grupoAutorrevisión | Revisiones de acceso agrupos Microsoft Entra | Panel de acceso |
| Asignados a una aplicación conectada | Revisores especificadosAutorrevisión | Revisiones de accesoAplicaciones empresariales de Microsoft Entra | Panel de acceso |
| Rol de Microsoft Entra | Revisores especificadosAutorrevisión | PIM | Centro de administración de Microsoft Entra |
| Rol de recursos de Azure | Revisores especificadosAutorrevisión | PIM | Centro de administración de Microsoft Entra |
| Asignaciones de paquetes de acceso | Revisores especificadosMiembros del grupoAutorrevisión | administración de derechos | Panel de acceso |
Requisitos de licencia
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2. Consulte los artículos de cada capacidad para más información. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.
Nota:
La creación de una revisión del usuario inactivo con recomendaciones de afiliación usuario a grupo requiere una licencia Microsoft Entra ID Governance.
Pasos siguientes
- Preparación de una revisión del acceso de los usuarios a una aplicación
- Creación de una revisión de acceso de grupos o aplicaciones
- Creación de una revisión de acceso de los usuarios en un rol administrativo de Microsoft Entra
- Revisión del acceso a grupos o aplicaciones
- Completar una revisión de acceso de grupos o aplicaciones