¿Qué acceso de Azure AD de revisiones?What are Azure AD access reviews?

Revisiones de acceso de Azure Active Directory (Azure AD) permiten a las organizaciones a administrar las pertenencias a grupos de forma eficaz, el acceso a aplicaciones empresariales y las asignaciones de roles.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Este es un vídeo que proporciona una introducción rápida de las revisiones de acceso:Here's a video that provides a quick overview of access reviews:

¿Por qué son importantes las revisiones de acceso?Why are access reviews important?

Azure AD le permite colaborar internamente dentro de su organización y con usuarios de organizaciones externas, como los asociados.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Los usuarios pueden unirse a grupos, invitar a otros usuarios, conectarse a aplicaciones en la nube y trabajar de forma remota desde sus dispositivos de trabajo o personales.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. La comodidad de aprovechar el potencial del autoservicio ha llevado a una necesidad de mejores funcionalidades de administración del acceso.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Cuando se unen nuevos empleados, ¿cómo se asegura de que tengan el acceso adecuado para que sean productivos?As new employees join, how do you ensure they have the right access to be productive?
  • A medida que las personas cambian de equipo o abandonan la empresa, ¿cómo se asegura de que se quite su antiguo acceso, especialmente cuando hay invitados involucrados?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Los derechos de acceso excesivos pueden provocar malos resultados en las auditorías y riesgos, ya que indican una falta de control sobre el acceso.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Tendrá que trabajar de manera proactiva junto a los propietarios de los recursos para asegurarse de que revisen periódicamente quién tiene acceso a sus recursos.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

¿Cuándo usar revisiones de acceso?When to use access reviews?

  • Demasiados usuarios en roles con privilegios: Es una buena idea comprobar cuántos usuarios tiene acceso administrativo, ¿cuántos de ellos son los administradores globales, y si hay alguna invitó invitados o socios que no se han quitado después de que se asigna para realizar una tarea administrativa.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Puede volver a certificar los usuarios de la asignación de rol de roles de Azure AD como los administradores globales, o roles de recursos de Azure como administrador de acceso de usuario en el con privilegios de Azure AD Identity Management (PIM) experimentar.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Cuando no es factible la automatización: puede crear las reglas de pertenencia dinámica en grupos de seguridad o grupos de Office 365, pero ¿qué ocurre si los datos de recursos humanos no se encuentran en Azure AD o si los usuarios todavía necesitan acceso después de abandonar el grupo para entrenar a su sustituto?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Luego puede crear una revisión en ese grupo para asegurarse de que los usuarios que aún necesiten acceso sigan teniendo acceso.You can then create a review on that group to ensure those who still need access should have continued access.
  • Cuando se usa un grupo para una nueva finalidad: si tiene un grupo que se va a sincronizar con Azure AD, o si va a habilitar la aplicación Salesforce para todos los usuarios del equipo de Ventas, sería útil solicitar al propietario del grupo que revise la pertenencia al grupo antes de usar el grupo en un contenido de riesgo distinto.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Acceso a datos críticos para la empresa: para determinados recursos y con fines de auditoría, podría exigirse a personas ajenas a TI que cierren sesión periódicamente y justifiquen por qué necesitan acceso.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign off and give a justification on why they need access for auditing purposes.
  • Para mantener la lista de excepciones de la directiva: En un mundo ideal, todos los usuarios deberían seguir las directivas de acceso para proteger el acceso a los recursos de la organización.To maintain a policy's exception list: In an ideal world, all users would follow the access polices to secure access to your organization's resources. A veces, sin embargo, hay casos empresariales en los que hay que hacer excepciones.However, sometimes there are business cases that require you to make exceptions. Como administrador de TI, puede administrar esta tarea, evitar las excepciones de omisiones de la directiva y proporcionar a los auditores prueba de que estas excepciones se revisan normalmente.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Pedir a los propietarios de grupos que confirmen que todavía necesitan invitados en sus grupos: Acceso de los empleados se puede automatizar con algunos local IAM, pero no los usuarios invitados.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Si un grupo proporciona a los invitados acceso a contenido empresarial confidencial, es responsabilidad del propietario del grupo confirmar que los invitados todavía tienen una necesidad empresarial legítima de acceso.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Repetir las revisiones periódicamente: puede configurar revisiones periódicas de acceso de usuarios a frecuencias establecidas, como semanal, mensual, trimestral o anualmente, donde los revisores reciban notificaciones al principio de cada revisión.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Los revisores pueden aprobar o denegar el acceso con una interfaz sencilla y con la ayuda de recomendaciones inteligentes.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

¿Donde se crean las revisiones?Where do you create reviews?

Dependiendo de lo que desea revisar, creará la revisión de acceso en Azure AD acceso a PIM de Azure AD, aplicaciones de empresa de Azure AD (en versión preliminar) o las revisiones.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Derechos de acceso de los usuariosAccess rights of users Los revisores pueden serReviewers can be Revisión creada enReview created in Experiencia del revisorReviewer experience
Miembros del grupo de seguridadSecurity group members
Miembros del grupo de OfficeOffice group members
Revisores especificadosSpecified reviewers
Propietarios del grupoGroup owners
Revisión propiaSelf review
Revisiones de acceso de Azure ADAzure AD access reviews
Grupos de Azure ADAzure AD groups
Panel de accesoAccess panel
Asignados a una aplicación conectadaAssigned to a connected app Revisores especificadosSpecified reviewers
Revisión propiaSelf review
Revisiones de acceso de Azure ADAzure AD access reviews
Aplicaciones de empresa de Azure AD (en versión preliminar)Azure AD enterprise apps (in preview)
Panel de accesoAccess panel
Rol de Azure ADAzure AD role Revisores especificadosSpecified reviewers
Revisión propiaSelf review
Azure AD PIMAzure AD PIM Azure PortalAzure portal
Rol de recursos de AzureAzure resource role Revisores especificadosSpecified reviewers
Revisión propiaSelf review
Azure AD PIMAzure AD PIM Azure PortalAzure portal

Requisitos previosPrerequisites

Para usar revisiones de acceso, debe tener una de las siguientes licencias:To use access reviews, you must have one of the following licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • Licencia de Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5 license

Para más información, consulte Suscripción a Azure Active Directory Premium o Enterprise Mobility + Security E5 Trial (Prueba de Enterprise Mobility + Security E5).For more information, see How to: Sign up for Azure Active Directory Premium or Enterprise Mobility + Security E5 Trial.

Introducción a las revisiones de accesoGet started with access reviews

Para obtener más información sobre cómo crear y realizar las revisiones de acceso, vea esta breve demostración:To learn more about creating and performing access reviews, watch this short demo:

Si está listo para implementar revisiones de acceso en su organización, siga estos pasos en el vídeo para incorporar y entrenar a los administradores, y crear su primera revisión de acceso.If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Habilitación de revisiones de accesoEnable access reviews

Para habilitar las revisiones de acceso, siga estos pasos.To enable access reviews, follow these steps.

  1. Como administrador Global o administrador de usuario, inicie sesión en el portal Azure donde desea usar el acceso de revisiones.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. Haga clic en Todos los servicios y busque el servicio Revisiones de acceso.Click All services and find the access reviews service.

  3. Haga clic en las revisiones de acceso.Click Access reviews.

    Revisiones de acceso de todos los servicios:

  4. En la lista de navegación, haga clic en Incorporar para abrir la página Incorporarse a las revisiones de acceso.In the navigation list, click Onboard to open the Onboard access reviews page.

    Incorporación de revisiones de acceso

  5. Haga clic en Crear para habilitar las revisiones de acceso en el directorio actual.Click Create to enable access reviews in the current directory.

    Incorporarse a las revisiones de acceso

    Revisa la próxima vez que inicie acceso, se habilitarán las opciones de revisión de acceso.The next time you start access reviews, the access review options will be enabled.

    Revisiones de acceso habilitadas

Pasos siguientesNext steps