Creación de un paquete de acceso en la administración de derechos

Un paquete de acceso le permite realizar una instalación única de los recursos y las directivas que administran automáticamente el acceso durante toda la vida del paquete de acceso. En este artículo se describe cómo crear un paquete de acceso.

Información general

Todos los paquetes de acceso deben estar en un contenedor que se conoce como catálogo. Un catálogo define qué recursos puede agregar al paquete acceso. Si no especifica un catálogo, el paquete de acceso va al catálogo general. Actualmente, no puede mover un paquete de acceso existente a otro catálogo.

Se puede usar un paquete de acceso para asignar acceso a roles de varios recursos que se encuentran en el catálogo. Si es administrador o propietario del catálogo, puede agregar recursos al catálogo al crear un paquete de acceso. También puede agregar recursos después de crear el paquete de acceso y los usuarios asignados al paquete de acceso también recibirán los recursos adicionales.

Si es un administrador de paquetes de acceso, no podrá agregar los recursos que posea a un catálogo. Está limitado a usar los recursos disponibles en el catálogo. Si necesita agregar recursos a un catálogo, puede solicitarlo al propietario del catálogo.

Todos los paquetes de acceso deben tener al menos una directiva para que se les asignen usuarios. Las directivas especifican quién puede solicitar el paquete de acceso, junto con la configuración de la aprobación y del ciclo de vida, o cómo se asigna el paquete automáticamente. Al crear un paquete de acceso, puede crear una directiva inicial para los usuarios del directorio, para los usuarios que no están en el directorio, o solo para asignaciones directas del administrador.

Diagram of an example marketing catalog, including its resources and its access package.

Estos son los pasos generales para crear un paquete de acceso con una directiva inicial:

  1. En Identity Governance, inicie el proceso para crear un paquete de acceso.

  2. Seleccione el catálogo donde quiera colocar el paquete de acceso y asegúrese de que tiene los recursos necesarios.

  3. Agregue roles de recursos de los recursos del catálogo al paquete de acceso.

  4. Especifique una directiva inicial para los usuarios que pueden solicitar acceso.

  5. Especifique la configuración de aprobación y la configuración del ciclo de vida en esa directiva.

Después, una vez creado el paquete de acceso, puede cambiar la configuración oculta, agregar o quitar roles de recursos y agregar directivas adicionales.

Inicie el proceso de creación

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para completar los pasos siguientes, necesita un rol de administrador global, administrador de Identity Governance, propietario del catálogo o administrador de paquetes de acceso.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de la identidad>Administración de derechos>Paquete de acceso.

  3. Seleccione New access package (Nuevo paquete de acceso).

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Configurar conceptos básicos

En la pestaña Aspectos básicos, asigne un nombre al paquete de acceso y especifique en qué catálogo quiere crear el paquete de acceso.

  1. Escriba un nombre para mostrar y una descripción para el paquete de acceso. Los usuarios verán esta información al enviar una solicitud al paquete de acceso.

  2. En la lista desplegable Catálogo, seleccione el catálogo en el que quiera colocar el paquete de acceso. Por ejemplo, puede que tenga un propietario de catálogo que administra todos los recursos de marketing que se pueden solicitar. En este caso, puede seleccionar el catálogo de marketing.

    Solo verá los catálogos en los que tiene permiso para crear paquetes de acceso. Para crear un paquete de acceso en un catálogo existente, debe ser administrador global, administrador de Identity Governance. O bien, debe ser propietario del catálogo o administrador de paquetes de acceso en ese catálogo.

    Screenshot that shows basic information for a new access package.

    Si es administrador global, administrador de Identity Governance o el creador del catálogo, y quiere crear el paquete de acceso en un catálogo nuevo que no aparece en la lista, seleccione Crear catálogo. Escriba el nombre del catálogo y la descripción y después seleccione Crear.

    El paquete de acceso que está creando y los recursos incluidos en él se agregan al nuevo catálogo. Más adelante, puede agregar más propietarios del catálogo o agregar atributos a los recursos que ha colocado en el catálogo. Para más información sobre cómo editar la lista de atributos de un recurso de catálogo específico y los roles de los requisitos previos, lea Adición de atributos de recursos al catálogo.

  3. Seleccione Siguiente: Roles de recurso.

Seleccione roles de recurso

En la pestaña Roles de recurso, se seleccionan los recursos que se incluirán en el paquete de acceso. Los usuarios que soliciten y reciban el paquete de acceso recibirán todos los roles de recursos, como la pertenencia de grupo, del paquete de acceso.

Si no está seguro de qué roles de recursos incluir, puede omitir adicionarlos al crear el paquete de acceso y, a continuación, agregarlos más tarde.

  1. Seleccione el tipo de recurso que quiera agregar (Grupos y equipos, Aplicaciones o Sitios de SharePoint).

  2. En el panel Seleccionar aplicaciones que aparece, seleccione uno o varios recursos de la lista.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Si está creando el paquete de acceso en el catálogo general o un catálogo nuevo, puede elegir cualquier recurso del directorio que posee. Debe ser al menos un administrador global, un administrador de Identity Governance o creador de catálogos.

    Nota:

    Puede agregar grupos dinámicos a catálogos y paquetes de acceso. Sin embargo, solo puede seleccionar el rol de propietario al administrar un recurso de grupo dinámico de un paquete de acceso.

    Si está creando el paquete de acceso en un catálogo existente, puede seleccionar cualquier recurso que ya esté en el catálogo sin que sea necesario ser su propietario.

    Si es administrador global, un administrador de Identity Governance o el propietario del catálogo, tiene la opción adicional de seleccionar los recursos que posee o administre pero que aún no están en el catálogo. Si selecciona recursos del directorio que no están actualmente en el catálogo seleccionado, estos también se agregan al catálogo para que otros administradores de catálogos compilen paquetes de acceso con ellos. Para ver todos los recursos del directorio que se pueden agregar al catálogo, active la casilla Ver todo en la parte superior del panel. Si solo desea seleccionar los recursos que se encuentran actualmente en el catálogo seleccionado, deje la casilla Ver todo desactivada (estado predeterminado).

  3. En la lista Roles, seleccione el rol que quiere que se les asigne a los usuarios para el recurso. Para más información sobre la selección de las funciones adecuadas para un recurso, consulte Cómo determinar qué funciones de recursos incluir en un paquete de acceso.

    Screenshot that shows resource role selection for a new access package.

  4. Seleccione Siguiente: Solicitudes.

Creación de directivas de solicitud

En la pestaña Solicitudes, creará la primera directiva para especificar quién puede solicitar el paquete de acceso. También se configuran las opciones de aprobación. Más adelante, puede crear más directivas de solicitud para permitir a otros grupos de usuarios que soliciten el paquete de acceso con su propia configuración de aprobación.

Screenshot that shows the Requests tab for a new access package.

En función de qué usuarios desea que puedan solicitar este paquete de acceso, realice los pasos que se describen en una de las secciones siguientes.

Permitir que los usuarios del directorio soliciten el paquete de acceso

Use los siguientes pasos si quiere que los usuarios que están en el directorio puedan solicitar este paquete de acceso. Al definir la directiva de solicitud, puede especificar usuarios individuales o (más comúnmente) grupos de usuarios. Por ejemplo, es posible que su organización ya tenga un grupo, como Todos los empleados. Si ese grupo se agrega a la directiva para los usuarios que pueden solicitar acceso, entonces cualquier miembro de ese grupo podrá solicitar acceso.

  1. En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione For users in your directory (Para los usuarios del directorio).

    Cuando se selecciona esta opción, aparecen nuevas opciones para restringir aún más quién en el directorio puede solicitar este paquete de acceso.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Seleccione una de las siguientes opciones:

    Opción Descripción
    Usuarios y grupos específicos Elija esta opción si desea que solo los usuarios y grupos del directorio que especifique puedan solicitar este paquete de acceso.
    Todos los miembros (excepto invitados) Elija esta opción si desea que todos los usuarios miembros del directorio puedan solicitar este paquete de acceso. Esta opción no incluye ningún usuario invitado al que pueda haber invitado en su directorio.
    Todos los usuarios (incluidos invitados) Elija esta opción si desea que todos los usuarios miembros y los usuarios invitados del directorio puedan solicitar este paquete de acceso.

    Los usuarios invitados son usuarios externos que se han invitado a su directorio a través de Microsoft Entra B2B. Para más información sobre las diferencias entre los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Microsoft Entra ID?

  3. Si seleccionó Usuarios y grupos específicos, seleccione Agregar usuarios y grupos.

  4. En el panel Seleccionar usuarios y grupos, seleccione los usuarios y grupos que quiera agregar.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Elija Seleccionar para agregar los usuarios y grupos.

  6. Vaya a la sección Especificar configuración de aprobación.

Permitir que los usuarios que no están en el directorio soliciten el paquete de acceso

Es posible que los usuarios que se encuentren en otro directorio o dominio de Microsoft Entra aún no se hayan invitado al directorio. Los directorios de Microsoft Entra deben configurarse para permitir invitaciones en Restricciones de colaboración. Para más información, consulte Configuración de la colaboración externa.

Se creará una cuenta de usuario invitado para un usuario que aún no esté en el directorio cuya solicitud se haya aprobado o no necesite aprobación. Se invitará al invitado, pero no recibirá un correo electrónico de invitación. En su lugar, recibirá un correo electrónico cuando se entregue su asignación de paquete de acceso. Más adelante, cuando ese usuario invitado ya no tenga ninguna asignación de paquete de acceso porque su última asignación ha expirado o se ha cancelado, se bloqueará el inicio de sesión de esa cuenta y se eliminará posteriormente. El bloqueo y la eliminación se producen de forma predeterminada.

Si quiere que los usuarios invitados permanezcan en el directorio de manera indefinida, incluso si no tienen ninguna asignación de paquete de acceso, puede cambiar la configuración de la administración de derechos. Para obtener más información acerca del objeto de usuario invitado, vea Propiedades de un usuario de colaboración B2B de Microsoft Entra.

Siga estos pasos si quiere que los usuarios que no están en el directorio soliciten este paquete de acceso:

  1. En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione Para los usuarios que no están en su directorio.

    Cuando se selecciona esta opción, aparecen nuevas opciones.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Seleccione una de las siguientes opciones:

    Opción Descripción
    Organizaciones conectadas específicas Elija esta opción si desea seleccionar de una lista de organizaciones que el administrador haya agregado anteriormente. Todos los usuarios de las organizaciones seleccionadas pueden solicitar este paquete de acceso.
    Todas las organizaciones conectadas Elija esta opción si todos los usuarios de todas las organizaciones conectadas configuradas pueden solicitar este paquete de acceso.
    Todos los usuarios (todas las organizaciones conectadas y todos los nuevos usuarios externos) Elija esta opción si algún usuario puede solicitar este paquete de acceso y si la configuración de la lista de permitidos o bloqueados de B2B debe tener prioridad frente a cualquier usuario externo nuevo.

    Una organización conectada es un dominio o directorio externo de Microsoft Entra con el que tiene relación.

  3. Si seleccionó Organizaciones conectadas específicas, seleccione Agregar directorios para seleccionar en una lista de las organizaciones conectadas que el administrador haya agregado anteriormente.

  4. Escriba el nombre o el nombre de dominio para buscar una organización anteriormente conectada.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Si la organización con la que desea colaborar no está en la lista, puede pedir al administrador que la agregue como una organización conectada. Para más información, consulte Incorporación de una organización conectada.

  5. Si seleccionó Todas las organizaciones conectadas, debe confirmar con el administrador global la lista de organizaciones conectadas que están configuradas actualmente y planificadas para estar dentro del ámbito.

  6. Si seleccionó Todos los usuarios, deberá configurar aprobaciones en la sección de aprobaciones, ya que este ámbito permitiría que cualquier identidad de Internet solicitara acceso.

  7. Después de seleccionar todas las organizaciones conectadas, elija Seleccionar.

    Todos los usuarios de las organizaciones conectadas seleccionadas podrán solicitar este paquete de acceso. Esto incluye a los usuarios de Microsoft Entra ID de todos los subdominios asociados a la organización, a menos que la lista de permitidos o la lista de bloqueados de Azure B2B bloquee dichos dominios. Si especifica un dominio de proveedor de identidades sociales, como live.com, cualquier usuario del proveedor de identidades sociales podrá solicitar este paquete de acceso. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).

  8. Vaya a la sección Especificar configuración de aprobación.

Permitir solo asignaciones directas de administrador

Siga estos pasos si quiere omitir las solicitudes de acceso y permitir a los administradores asignar directamente a usuarios específicos al paquete de acceso. Los usuarios no tendrán que solicitar el paquete de acceso. Aún podrá establecer la configuración del ciclo de vida, pero no hay ninguna configuración de solicitud.

  1. En la sección Usuarios que pueden solicitar acceso, seleccione Ninguno (solo para las asignaciones directas del administrador).

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Después de crear el paquete de acceso, puede asignar directamente usuarios internos y externos específicos a él. Si especifica un usuario externo, se crea una cuenta de usuario invitado en su directorio. Para información sobre la asignación directa de un usuario, consulte Visualización, incorporación y eliminación de asignaciones en un paquete de acceso.

  2. Vaya a la sección Habilitación de solicitudes.

Especificar la configuración de aprobación

En la sección Aprobación, especifique si se requiere una aprobación cuando los usuarios soliciten este paquete de acceso. La configuración de aprobación funciona de la siguiente manera:

  • Una solicitud para una aprobación de una sola fase solo debe aprobarla uno de los aprobadores seleccionados o un aprobador de reserva.
  • Solo uno de los aprobadores seleccionados de cada fase debe aprobar una solicitud de aprobación en dos fases.
  • Un aprobador puede ser un administrador, un patrocinador de un usuario, un patrocinador interno o un patrocinador externo, en función de la gobernanza del acceso para la directiva.
  • La aprobación de cada aprobador seleccionado no es necesaria para la aprobación de una o dos fases.
  • La decisión de aprobación se basa en el aprobador que revise primero la solicitud.

Para ver una demostración de cómo agregar aprobadores a una directiva de solicitud, vea el vídeo siguiente:

Para ver una demostración de cómo agregar una aprobación de varias fases a una directiva de solicitud, vea el vídeo siguiente:

Siga estos pasos para especificar la configuración de aprobación de las solicitudes para el paquete de acceso:

  1. Para requerir la aprobación de las solicitudes de los usuarios seleccionados, establezca el botón de alternancia Requerir aprobación en . O bien, para que las solicitudes se aprueban automáticamente, establezca el botón de alternancia en No. Si la directiva permite a los usuarios externos de fuera de su organización solicitar acceso, debe requerir la aprobación para que haya supervisión sobre quién se agrega al directorio de la organización.

  2. Para requerir que los usuarios proporcionen una justificación para solicitar el paquete de acceso, establezca la opción R en .

  3. Determine si las solicitudes requieren aprobación de una o dos fases. Establezca el botón de alternancia Número de fases en 1 para una aprobación de una sola fase, en 2, para una aprobación de dos fases o en 3 para una aprobación de tres fases.

    Screenshot that shows approval settings for requests to an access package.

Siga estos pasos para agregar aprobadores después de seleccionar el número de fases.

Aprobación de una sola fase

  1. Agregue la información del Primer aprobador:

    • Si la directiva está establecida en Para los usuarios del directorio, puede seleccionar tanto Administrador como aprobador como Patrocinadores como aprobadores. O bien, puede agregar un usuario específico seleccionando Elegir aprobadores específicos y, a continuación, seleccionando Agregar aprobadores.

      Para usar Patrocinadores como aprobadores para Aprobación, debe tener una licencia de Microsoft Entra ID Governance. Para más información, consulte Comparación de las características de disponibilidad general de Microsoft Entra ID.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Si esta directiva está establecida en Para los usuarios que no están en el directorio, puede seleccionar Patrocinador externo o Patrocinador interno. O bien, puede agregar un usuario específico seleccionando Elegir aprobadores específicos y, a continuación, seleccionando Agregar aprobadores.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Si seleccionó Administrador como el primer aprobador, seleccione Agregar reserva para seleccionar uno o más usuarios o grupos del directorio como aprobador de reserva. Los aprobadores de reserva reciben la solicitud si la administración de derechos no encuentra al administrador del usuario que solicita el acceso.

    La administración de derechos busca el administrador mediante el atributo Administrador. El atributo está en el perfil de usuario en Microsoft Entra ID. Para más información, consulte: Agregar o actualizar la información de perfil y la configuración de un usuario.

  3. Si seleccionó Patrocinadores como el primer aprobador, seleccione Agregar reserva para seleccionar uno o más usuarios o grupos del directorio como aprobadores de reserva. Los aprobadores de reserva reciben la solicitud si la administración de derechos no encuentra al patrocinador del usuario que solicita el acceso.

    La administración de derechos busca patrocinadores mediante el atributo Patrocinadores. El atributo está en el perfil de usuario en Microsoft Entra ID. Para más información, consulte: Agregar o actualizar la información de perfil y la configuración de un usuario.

  4. Si seleccionó Elegir aprobadores específicos, seleccione Agregar aprobadores para seleccionar uno o varios usuarios o grupos del directorio para que sean aprobadores.

  5. En la casilla ¿Dentro de cuántos días es necesario tomar una decisión?, especifique el número de días que un aprobador tiene para revisar una solicitud para este paquete de acceso.

    Si no se aprueba una solicitud durante este período de tiempo, se rechaza automáticamente. El usuario deberá enviar otra solicitud para el paquete de acceso.

  6. Para requerir que los aprobadores justifiquen su decisión, establezca la opción Requerir justificación del aprobador en .

    La justificación es visible para otros aprobadores y el solicitante.

Aprobación en dos fases

Si seleccionó una aprobación de dos fases, debe agregar otro aprobador:

  1. Agregue la información del Segundo aprobador:

    • Si los usuarios están en su directorio, puede seleccionar Patrocinadores como aprobadores. O bien, agregue un usuario específico seleccionando Elegir aprobadores específicos en el menú desplegable y, después, Agregar aprobadores.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Si los usuarios no están en el directorio, seleccione Patrocinador interno o Patrocinador externo como el segundo aprobador. Después de seleccionar el aprobador, agregue los aprobadores de reserva.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. En el cuadro ¿Dentro de cuántos días es necesario tomar una decisión?, especifique el número de días que el segundo aprobador tiene para aprobar la solicitud.

  3. Establezca el botón de alternancia Requerir justificación del aprobador en o en No.

Aprobación en tres fases

Si seleccionó una aprobación en tres fases, deberá agregar un tercer aprobador:

  1. Agregue la información del tercer aprobador:

    Si los usuarios están en el directorio, agregue un usuario específico como el tercer aprobador seleccionando Elegir aprobadores específicos>Agregar aprobadores.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. En el cuadro ¿Dentro de cuántos días es necesario tomar una decisión?, especifique el número de días que el segundo aprobador tiene para aprobar la solicitud.

  3. Establezca el botón de alternancia Requerir justificación del aprobador en o en No.

Aprobadores alternativos

Puede especificar aprobadores alternativos de manera similar a cómo se especifican el primer y el segundo aprobador que pueden aprobar solicitudes. Tener aprobadores alternativos le ayuda a asegurarse de que las solicitudes se aprueban o deniegan antes de que expiren (tiempo de expiración). Puede incluir aprobadores alternativos para el primer aprobador y el segundo aprobador para la aprobación en dos fases.

Al especificar aprobadores alternativos, si el primer o el segundo aprobador no puede aprobar ni rechazar la solicitud, la solicitud pendiente se reenvía a los aprobadores alternativos. La solicitud se envía según la programación de reenvío que especificó durante la configuración de la directiva. Los aprobadores reciben un correo electrónico para aprobar o denegar la solicitud pendiente.

Después de reenviar la solicitud a los aprobadores alternativos, el primer o el segundo aprobador puede seguir aprobando o denegando la solicitud. Los aprobadores alternativos usan el mismo sitio Mi acceso para aprobar o denegar la solicitud pendiente.

Puede designar personas o grupos como aprobadores y aprobadores alternativos. Asegúrese de que se muestran distintos conjuntos de personas como el primer aprobador, el segundo aprobador y los aprobadores alternativos. Por ejemplo, si especificó que Alice y Bob sean los primeros aprobadores, indique que Carol y Dave serán los aprobadores alternativos.

Siga estos pasos para agregar aprobadores alternativos a un paquete de acceso:

  1. En Primer aprobador, Segundo aprobador, o en ambos, seleccione Mostrar configuración de solicitud avanzada.

    Screenshot of the selection for showing advanced request settings.

  2. Establezca la opción de alternancia Si no se toman medidas, ¿quiere realizar el reenvío a los aprobadores alternativos? en .

  3. Seleccione Agregar aprobadores alternativos y, después, seleccione los aprobadores alternativos de la lista.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Si selecciona Administrador como primer aprobador, aparece una opción adicional en el cuadro Aprobador alternativo: Administrador de segundo nivel como aprobador alternativo. Si selecciona esta opción, debe agregar un aprobador de reserva al que reenviar la solicitud en caso de que el sistema no encuentre el administrador de segundo nivel.

  4. En el cuadro ¿Dentro de cuántos días quiere realizar el reenvío a los aprobadores alternativos?, escriba el número de días durante los cuales los aprobadores pueden aprobar o denegar una solicitud. Si ningún aprobador aprueba o deniega la solicitud antes de que finalice el plazo de la solicitud, ésta expirará (tiempo de expiración). El usuario deberá enviar otra solicitud para el paquete de acceso.

Las solicitudes solo se pueden reenviar a los aprobadores alternativos un día después de la mitad de la duración de la solicitud. La decisión de los aprobadores principales debe agotar el tiempo de espera después de al menos cuatro días. Si el tiempo de espera de la solicitud es menor o igual a tres días, no hay tiempo suficiente para reenviar la solicitud a los aprobadores alternativos.

En este ejemplo, la duración de la solicitud es de 14 días. La duración de la solicitud alcanza la vida media en el día 7. Por lo tanto, la solicitud no se puede reenviar antes del día 8.

Además, las solicitudes no se pueden reenviar el último día de la duración de la solicitud. Por lo tanto, en el ejemplo, la solicitud se puede reenviar a más tardar el día 13.

Habilitación de solicitudes

  1. Si quiere que el paquete de acceso esté disponible de inmediato para que los usuarios de la directiva de solicitud puedan solicitarlo, cambie el botón de alternancia Habilitar nuevas solicitudes y asignaciones a .

    Podrá habilitarlas en todo momento, después de terminar de crear el paquete de acceso.

    Si seleccionó Ninguno (solo para las asignaciones directas del administrador) y establece Habilitar nuevas solicitudes y asignaciones en No, los administradores no podrán asignar directamente este paquete de acceso.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Vaya a la siguiente sección para obtener información sobre cómo agregar un requisito de id. verificado al paquete de acceso. De lo contrario, seleccione Siguiente.

Agregar un requisito de id. verificado

Use los siguientes pasos si desea agregar un requisito de id. verificada a la directiva de paquete de acceso. Los usuarios que desean tener acceso al paquete de acceso deberán presentar las identificaciones verificadas necesarias antes de enviar correctamente su solicitud. Para obtener información sobre cómo configurar el inquilino con el servicio de id. verificado por Microsoft Entra, consulte Introducción a id. verificado por Microsoft Entra.

Deberá tener un rol de Administrador global para agregar requisitos de id. verificado a un paquete de acceso. Un administrador de Identity Governance, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso aún no puede agregar requisitos de identificador comprobados.

  1. Seleccione + Agregar emisor y seleccione un emisor en la red de identificación verificada de Microsoft Entra. Si desea emitir sus propias credenciales a los usuarios, puede encontrar instrucciones en Emisión de credenciales de id. verificado por Microsoft Entra desde una aplicación.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Seleccione los tipos de credenciales que desea que presenten los usuarios durante el proceso de solicitud.

    Screenshot that shows the area for selecting credential types for an access package.

    Si selecciona varios tipos de credenciales de un emisor, los usuarios tendrán que presentar credenciales de todos los tipos seleccionados. Del mismo modo, si incluye varios emisores, se pedirá a los usuarios que presenten credenciales de cada uno de los emisores que incluya en la directiva. Para proporcionar a los usuarios la opción de presentar credenciales diferentes de varios emisores, configure directivas independientes para cada tipo de emisor o credencial que acepte.

  3. Seleccione Agregar para agregar el requisito de identificación verificada a la directiva del paquete de acceso.

Adición de la información del solicitante para un paquete de acceso

  1. Vaya a la pestaña Información del solicitante y seleccione la subpestaña Preguntas.

  2. En el cuadro Pregunta, escriba una pregunta que desee formular al solicitante. Esta pregunta también se conoce como cadena de presentación.

  3. Si desea agregar sus propias opciones de localización, seleccione Agregar localización.

    Screenshot that shows the box for entering a question for a requestor.

    En el panel Agregar localización para preguntas:

    1. Para Código de idioma, seleccione el código de idioma para el idioma en el que va a traducir la pregunta.
    2. En el cuadro Texto localizado, escriba la pregunta en el idioma que configuró.
    3. Cuando termine de agregar todas las localizaciones que necesite, seleccione Guardar.

    Screenshot that shows localization selections for a question.

  4. En Formato de respuesta, seleccione el formato en el que desea que los solicitantes respondan. Entre los formatos de respuesta se incluyen Texto breve, Opciones múltiples y Texto largo.

  5. Si selecciona opciones múltiples, seleccione el botón Editar y localizar para configurar las opciones de respuesta.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    En el panel Ver o editar preguntas:

    1. En los cuadros Valores de respuesta, escriba las opciones de respuesta que desea proporcionar cuando el solicitante responda a la pregunta.
    2. En los cuadros Idioma, seleccione el idioma de las opciones de respuesta. Si elige más idiomas, puede localizar las opciones de respuesta.
    3. Seleccione Guardar.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Para requerir a los solicitantes que respondan esta pregunta al solicitar acceso a un paquete de acceso, seleccione la casilla Obligatorio.

  7. Seleccione la pestaña Atributos para ver los atributos asociados a los recursos agregados al paquete de acceso.

    Nota:

    Para agregar o actualizar atributos para los recursos de un paquete de acceso, vaya a Catálogos y busque el catálogo asociado al paquete de acceso. Para más información sobre cómo editar la lista de atributos de un recurso de catálogo específico y los roles de los requisitos previos, lea Adición de atributos de recursos al catálogo.

  8. Seleccione Next (Siguiente).

Especificar un ciclo de vida

En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones.

  1. En la sección Expiración, establezca La asignación de paquetes de acceso expira en En la fecha, Número de días, Número de horas o Nunca.

    • Para la opción En la fecha, seleccione una fecha de expiración en el futuro.
    • Para la opción Número de días, especifique un número entre 0 y 3660 días.
    • En Número de horas, especifique la cantidad de horas.

    En función de lo que seleccione, la asignación de un usuario al paquete de acceso expira en una fecha concreta, algunos días después de que se haya aprobado o nunca.

  2. Si quiere que el usuario solicite una fecha específica de inicio y finalización para su acceso, haga clic en para el botón de alternancia Los usuarios pueden solicitar una línea de tiempo específica.

  3. Seleccione Mostrar configuración de expiración avanzada para ver otras opciones.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Para permitir que el usuario amplíe sus asignaciones, establezca Permitir que los usuarios extiendan el acceso en .

    Si en la directiva se permiten prórrogas, el usuario recibe un correo electrónico 14 días antes y también un día antes de que expire su asignación de paquete de acceso. El correo electrónico solicita al usuario que extienda la asignación. El usuario todavía debe estar en el ámbito de la directiva en el momento que solicite una extensión.

    Asimismo, si la directiva tiene una fecha de finalización explícita para las asignaciones y el usuario envía una solicitud para extender el acceso, la fecha de la extensión de la solicitud debe ser igual o anterior a la de expiración de las asignaciones. La directiva que usó para conceder al usuario acceso al paquete de acceso define si la fecha de extensión es anterior o igual a la expiración de la asignación. Por ejemplo, si la directiva indica que las asignaciones están configuradas para expirar el 30 de junio, la extensión máxima que un usuario puede solicitar es el 30 de junio.

    Si se extiende el acceso de un usuario, no podrá solicitar el paquete de acceso después de la fecha de extensión especificada (la fecha está establecida en la zona horaria del usuario que ha creado la directiva).

  5. Para requerir la aprobación para conceder una extensión, establezca Requerir aprobación para conceder extensión en .

    Esta aprobación usará la misma configuración de aprobación que especificó en la pestaña Solicitudes.

  6. Seleccione Siguiente o Actualizar.

Revisión y creación del paquete de acceso

En la pestaña Revisar y crear, puede revisar la configuración y comprobar si hay errores de validación.

  1. Revisar la configuración del paquete de acceso.

    Screenshot that shows a summary of access package configuration.

  2. Seleccione Crear para crear el paquete de acceso.

    El nuevo paquete de acceso aparece en la lista de paquetes de acceso.

  3. Si el paquete de acceso está pensado para que sea visible para todos los usuarios del ámbito de las directivas, deje la configuración Oculta del paquete de acceso en No. Opcionalmente, si solo tiene previsto permitir que los usuarios con el vínculo directo soliciten el paquete de acceso, edite el paquete de acceso para cambiar la configuración Oculta a . A continuación, copie el vínculo para solicitar el paquete de acceso y compártalo con los usuarios que necesitan acceso.

Creación de un paquete de acceso mediante programación

Hay dos maneras de crear un paquete de acceso mediante programación: con Microsoft Graph y con los cmdlets de PowerShell para Microsoft Graph.

Crear un paquete de acceso mediante Microsoft Graph

Puede crear un paquete de acceso mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para:

  1. Enumerar los recursos en el catálogo y crear un elemento accessPackageResourceRequest para todos los recursos que aún no están en el catálogo.
  2. Recuperar los roles y ámbitos de cada recurso del catálogo. Esta lista de roles se usará en adelante para seleccionar un rol, cuando cree posteriormente un elemento resourceRoleScope.
  3. Crear un elemento accessPackage.
  4. Crear un elemento resourceRoleScope para cada rol de recurso necesario en el paquete de acceso.
  5. Crear un elemento assignmentPolicy para cada directiva necesaria en el paquete de acceso.

Creación de un paquete de acceso con Microsoft PowerShell

También puede crear un paquete de acceso en PowerShell con los cmdlets de Microsoft Graph PowerShell para el módulo Identity Governance.

En primer lugar, recupere el identificador del catálogo y del recurso y sus roles y ámbitos en ese catálogo que desea incluir en el paquete de acceso. Use un script similar al ejemplo siguiente:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

A continuación, cree el paquete de acceso:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Después de crear el paquete de acceso, asigne los roles de recurso a él. Por ejemplo, si quiere incluir el primer rol de recurso del segundo recurso devuelto anteriormente como un rol de recurso del nuevo paquete de acceso, puede usar un script similar al siguiente:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Por último, cree las directivas. En esta directiva, solo los administradores o los administradores de asignación de paquetes de acceso puede asignar acceso, y no hay revisiones de acceso. Para más ejemplos, consulte Creación de una directiva de asignación mediante PowerShell y Creación de un assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Pasos siguientes