¿Qué son las revisiones de acceso de Azure AD?What are Azure AD access reviews?

Las revisiones de acceso de Azure Active Directory (Azure AD) permiten a las organizaciones administrar de forma eficiente la pertenencia a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Este es un vídeo que proporciona una introducción rápida de las revisiones de acceso:Here's a video that provides a quick overview of access reviews:

¿Por qué son importantes las revisiones de acceso?Why are access reviews important?

Azure AD le permite colaborar internamente dentro de su organización y con usuarios de organizaciones externas, como los asociados.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Los usuarios pueden unirse a grupos, invitar a otros usuarios, conectarse a aplicaciones en la nube y trabajar de forma remota desde sus dispositivos de trabajo o personales.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. La comodidad de aprovechar el potencial del autoservicio ha llevado a una necesidad de mejores funcionalidades de administración del acceso.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Cuando se unen nuevos empleados, ¿cómo se asegura de que tengan el acceso adecuado para que sean productivos?As new employees join, how do you ensure they have the right access to be productive?
  • A medida que las personas cambian de equipo o abandonan la empresa, ¿cómo se asegura de que se quite su antiguo acceso, especialmente cuando hay invitados involucrados?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Los derechos de acceso excesivos pueden provocar malos resultados en las auditorías y riesgos, ya que indican una falta de control sobre el acceso.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Tendrá que trabajar de manera proactiva junto a los propietarios de los recursos para asegurarse de que revisen periódicamente quién tiene acceso a sus recursos.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

¿Cuándo usar revisiones de acceso?When to use access reviews?

  • Demasiados usuarios en roles con privilegios: es recomendable comprobar cuántos usuarios tienen acceso administrativo, cuántos de ellos son administradores globales, y si hay algún invitado o asociado que no se haya quitado después de que se haya asignado una tarea administrativa.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Puede volver a certificar los usuarios con asignación de roles en roles de Azure AD, por ejemplo, administradores globales, o roles de recursos de Azure, por ejemplo, administrador de acceso de usuario, en la experiencia Azure AD Privileged Identity Management (PIM).You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Cuando no es factible la automatización: puede crear las reglas de pertenencia dinámica en grupos de seguridad o Grupos de Office 365, pero ¿qué ocurre si los datos de recursos humanos no se encuentran en Azure AD o si los usuarios todavía necesitan acceso después de abandonar el grupo para entrenar a su sustituto?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 Groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Luego puede crear una revisión en ese grupo para asegurarse de que los usuarios que aún necesiten acceso sigan teniendo acceso.You can then create a review on that group to ensure those who still need access should have continued access.
  • Cuando se usa un grupo para una nueva finalidad: si tiene un grupo que se va a sincronizar con Azure AD, o si va a habilitar la aplicación Salesforce para todos los usuarios del equipo de Ventas, sería útil solicitar al propietario del grupo que revise la pertenencia al grupo antes de usar el grupo en un contenido de riesgo distinto.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Acceso a datos críticos para la empresa: para determinados recursos y con fines de auditoría, podría exigirse a personas ajenas a TI que cierren sesión periódicamente y justifiquen por qué necesitan acceso.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Para mantener la lista de excepciones de la directiva: En un mundo ideal, todos los usuarios deberían seguir las directivas de acceso para proteger el acceso a los recursos de la organización.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. A veces, sin embargo, hay casos empresariales en los que hay que hacer excepciones.However, sometimes there are business cases that require you to make exceptions. Como administrador de TI, puede administrar esta tarea, evitar las excepciones de omisiones de la directiva y proporcionar a los auditores prueba de que estas excepciones se revisan normalmente.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Pedir a los propietarios de grupos que confirmen que todavía necesitan invitados en sus grupos: el acceso de los empleados se puede automatizar con algún tipo de IAM a nivel local, pero no los usuarios invitados.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Si un grupo proporciona a los invitados acceso a contenido empresarial confidencial, es responsabilidad del propietario del grupo confirmar que los invitados todavía tienen una necesidad empresarial legítima de acceso.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Repetir las revisiones periódicamente: puede configurar revisiones periódicas de acceso de usuarios a frecuencias establecidas, como semanal, mensual, trimestral o anualmente, donde los revisores reciban notificaciones al principio de cada revisión.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Los revisores pueden aprobar o denegar el acceso con una interfaz sencilla y con la ayuda de recomendaciones inteligentes.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

¿Donde se crean las revisiones?Where do you create reviews?

Dependiendo de lo que quiera revisar, creará la revisión de acceso en Revisiones de acceso de Azure AD, aplicaciones de empresa de Azure AD (en versión preliminar) o Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Derechos de acceso de los usuariosAccess rights of users Los revisores pueden serReviewers can be Revisión creada enReview created in Experiencia del revisorReviewer experience
Miembros del grupo de seguridadSecurity group members
Miembros del grupo de OfficeOffice group members
Revisores especificadosSpecified reviewers
Propietarios del grupoGroup owners
AutorrevisiónSelf-review
Revisiones de acceso de Azure ADAzure AD access reviews
Grupos de Azure ADAzure AD groups
Panel de accesoAccess panel
Asignados a una aplicación conectadaAssigned to a connected app Revisores especificadosSpecified reviewers
AutorrevisiónSelf-review
Revisiones de acceso de Azure ADAzure AD access reviews
Aplicaciones de empresa de Azure AD (en versión preliminar)Azure AD enterprise apps (in preview)
Panel de accesoAccess panel
Rol de Azure ADAzure AD role Revisores especificadosSpecified reviewers
AutorrevisiónSelf-review
Azure AD PIMAzure AD PIM Portal de AzureAzure portal
Rol de recursos de AzureAzure resource role Revisores especificadosSpecified reviewers
AutorrevisiónSelf-review
Azure AD PIMAzure AD PIM Portal de AzureAzure portal

Incorporarse a las revisiones de accesoOnboard access reviews

Para incorporar las revisiones de acceso, siga estos pasos.To onboard access reviews, follow these steps.

  1. Diríjase a Azure Portal para administrar las revisiones de acceso e inicie sesión como administrador global o administrador de usuarios.Go to the Azure portal to manage access reviews and sign in as a Global administrator or User administrator.

  2. Busque y seleccione Azure Active Directory.Search for and select Azure Active Directory.

    Búsqueda de Azure Portal para Azure Active Directory

  3. Seleccione Identity Governance.Select Identity Governance.

  4. Haga clic en Revisiones de acceso.Click Access reviews.

    Página de inicio de revisiones de acceso

  5. En la página, haga clic en el botón Incorporar ahora.On the page, click the Onboard now button.

    Incorporar revisiones de acceso

Más información sobre las revisiones de accesoLearn about access reviews

Para obtener más información sobre cómo crear y realizar las revisiones de acceso, vea esta breve demostración:To learn more about creating and performing access reviews, watch this short demo:

Si está listo para implementar revisiones de acceso en su organización, siga estos pasos en el vídeo para incorporar y entrenar a los administradores, y crear su primera revisión de acceso.If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Requisitos de licenciaLicense requirements

Necesita una licencia de Azure AD Premium P2 para usar esta característica.Using this feature requires an Azure AD Premium P2 license. Para obtener la licencia correcta para sus requisitos, consulte  Comparación de las características con disponibilidad general de las ediciones Gratis, Básico y Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

¿Cuántas licencias debe tener?How many licenses must you have?

Asegúrese de que el directorio tiene al menos tantas licencias de Azure AD Premium P2 como empleados que van a realizar las tareas siguientes:Ensure that your directory has at least as many Azure AD Premium P2 licenses as you have employees that will be performing the following tasks:

  • Usuarios miembros e invitados asignados como revisoresMember and guest users who are assigned as reviewers
  • Usuarios miembros e invitados que realizan una autorrevisiónMember and guest users who perform a self-review
  • Propietarios de grupos que realizan una revisión de accesoGroup owners who perform an access review
  • Propietarios de aplicaciones que realizan una revisión de accesoApplication owners who perform an access review

Las licencias de Azure AD Premium P2 no son necesarias para las tareas siguientes:Azure AD Premium P2 licenses are not required for the following tasks:

  • No se necesitan licencias para los usuarios con los roles Administrador global o Administrador de usuarios que configuran revisiones de acceso, configuran opciones o aplican las decisiones a partir de las revisiones.No licenses are required for the users with the Global Administrator or User Administrator roles that set up access reviews, configure settings, or apply the decisions from the reviews.

Por cada licencia de Azure AD Premium P2 de pago que asigne a uno de los usuarios de la organización, puede usar la colaboración negocio a negocio (B2B) Azure AD para invitar hasta a cinco usuarios, gracias a la concesión de usuarios externos.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Los usuarios invitados también pueden usar las características de Azure AD Premium P2.These guest users can also use Azure AD Premium P2 features. Para más información, consulte Guía de concesión de licencias de colaboración B2B de Azure Active Directory.For more information, see Azure AD B2B collaboration licensing guidance.

Para más información sobre las licencias, vea Asignación o eliminación de licencias mediante el portal de Azure Active Directory.For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

Escenarios de licencia de ejemploExample license scenarios

Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.Here are some example license scenarios to help you determine the number of licenses you must have.

EscenarioScenario CálculoCalculation Número de licenciasNumber of licenses
Un administrador crea una revisión de acceso del Grupo A con 75 usuarios y 1 propietario del grupo, y asigna el propietario del grupo como revisor.An administrator creates an access review of Group A with 75 users and 1 group owner, and assigns the group owner as the reviewer. 1 licencia para el propietario del grupo como revisor1 license for the group owner as reviewer 11
Un administrador crea una revisión de acceso del Grupo B con 500 usuarios y 3 propietarios de grupo, y asigna los 3 propietarios de grupo como revisores.An administrator creates an access review of Group B with 500 users and 3 group owners, and assigns the 3 group owners as reviewers. 3 licencias para cada propietario de grupo como revisores3 licenses for each group owner as reviewers 33
Un administrador crea una revisión de acceso del Grupo B con 500 usuarios.An administrator creates an access review of Group B with 500 users. Realiza una autorrevisión.Makes it a self-review. 500 licencias para cada usuario como revisores500 licenses for each user as self-reviewers 500500
Un administrador crea una revisión de acceso del Grupo C con 50 usuarios miembros y 25 usuarios invitados.An administrator creates an access review of Group C with 50 member users and 25 guest users. Realiza una autorrevisión.Makes it a self-review. 50 licencias para cada usuario como revisores50 licenses for each user as self-reviewers.
(los usuarios invitados están cubiertos en la proporción requerida de 1:5)(guest users are covered in the required 1:5 ratio)
5050
Un administrador crea una revisión de acceso del Grupo D con 6 usuarios miembros y 108 usuarios invitados.An administrator creates an access review of Group D with 6 member users and 108 guest users. Realiza una autorrevisión.Makes it a self-review. 6 licencias para cada usuario como autorrevisores + 16 licencias adicionales para abarcar a los 108 usuarios invitados de la proporción de 1:5 necesaria.6 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio. 6 licencias, que suponen 6*5=30 usuarios invitados.6 licenses, which cover 6*5=30 guest users. Para los (108-6*5)=78 usuarios invitados restantes, se necesitan 78/5=16 licencias adicionales.For the remaining (108-6*5)=78 guest users, 78/5=16 additional licenses are required. Por lo tanto, en total, se necesitan 6 + 16 = 22 licencias.Thus in total, 6+16=22 licenses are required. 2222

Pasos siguientesNext steps