Creación de un paquete de acceso en la administración de derechos de Azure AD

Un paquete de acceso le permite realizar una instalación única de los recursos y las directivas que administran automáticamente el acceso durante toda la vida del paquete de acceso. En este artículo se describe cómo crear un paquete de acceso.

Información general

Todos los paquetes de acceso deben colocarse en un contenedor que se conoce como catálogo. Un catálogo define qué recursos puede agregar al paquete acceso. Si no especifica un catálogo, el paquete de acceso se colocará en el catálogo General. Actualmente, no puede mover un paquete de acceso existente a otro catálogo.

Se puede usar un paquete de acceso para asignar acceso a roles de varios recursos que se encuentran en el catálogo. Si es administrador o propietario del catálogo, puede agregar recursos al catálogo al crear un paquete de acceso. Si es un administrador de paquetes de acceso, no podrá agregar los recursos que posea a un catálogo. Está limitado a usar los recursos disponibles en el catálogo. Si necesita agregar recursos a un catálogo, puede solicitarlo al propietario del catálogo.

Todos los paquetes de acceso deben tener al menos una directiva para que los usuarios se asignen al paquete de acceso. Las directivas especifican quién puede solicitar el paquete de acceso y también la configuración de la aprobación y del ciclo de vida. Al crear un paquete de acceso, puede crear una directiva inicial para los usuarios del directorio, para los usuarios que no están en el directorio, solo para asignaciones directas del administrador o puede decidir crear la directiva más adelante.

Create an access package

Estos son los pasos generales para crear un paquete de acceso.

  1. En Identity Governance, inicie el proceso para crear un paquete de acceso.

  2. Seleccione el catálogo en el que quiere crearlo.

  3. Agregue roles de recursos de los recursos del catálogo al paquete de acceso.

  4. Especifique una directiva inicial para los usuarios que pueden solicitar acceso.

  5. Especifique cualquier configuración de aprobación.

  6. Especifique la configuración del ciclo de vida.

Inicio de un nuevo paquete de acceso

Requisitos previos de rol: Administrador global, Administrador de Identity Governance, Administrador de usuarios, Propietario del catálogo o Administrador de paquetes de acceso.

  1. Inicie sesión en Azure Portal.

  2. Haga clic en Azure Active Directory y, luego, haga clic en Gobernanza de identidades.

  3. En el menú izquierdo, haga clic en Paquetes de acceso.

  4. Haga clic en New access package (Nuevo paquete acceso).

    Entitlement management in the Azure portal

Aspectos básicos

En la pestaña Aspectos básicos, asigne un nombre al paquete de acceso y especifique en qué catálogo quiere crear el paquete de acceso.

  1. Escriba un nombre para mostrar y una descripción para el paquete de acceso. Los usuarios verán esta información al enviar una solicitud al paquete de acceso.

  2. En la lista desplegable Catálogo, seleccione el catálogo en el que quiera crear el paquete de acceso. Por ejemplo, puede que tenga un propietario de catálogo que administra todos los recursos de marketing que se pueden solicitar. En este caso, puede seleccionar el catálogo de marketing.

    Solo verá los catálogos en los que tenga permiso para crear paquetes de acceso. Para crear el paquete de acceso en un catálogo existente, debe ser al menos administrador global, administrador de Identity Governance o administrador de usuarios, o debe ser propietario del catálogo o administrador del paquete de acceso en ese catálogo.

    Access package - Basics

    Si es administrador global, administrador de Identity Governance, administrador de usuarios o el creador del catálogo y quiere crear el paquete de acceso en un catálogo nuevo que no aparece en la lista, haga clic en Crear catálogo. Escriba el nombre del catálogo y la descripción y después haga clic en Crear.

    El paquete de acceso que está creando y los recursos incluidos en él se agregarán al nuevo catálogo. También puede agregar propietarios de catálogo más adelante y agregar atributos a los recursos que coloque en el catálogo. Para más información sobre cómo editar la lista de atributos de un recurso de catálogo específico y los roles de los requisitos previos, consulte Adición de atributos de recursos (versión preliminar) al catálogo.

  3. Haga clic en Next.

Roles de recursos

En la pestaña Roles de recurso, se seleccionan los recursos que se incluirán en el paquete de acceso. Los usuarios que soliciten y reciban el paquete de acceso recibirán todos los roles de recursos, como la pertenencia de grupo, del paquete de acceso.

Si no está seguro de qué roles de recursos incluir, puede omitir la adición de roles de recursos al crear el paquete de acceso y, a continuación, agregar roles de recursos después de crear el paquete de acceso.

  1. Haga clic en el tipo de recurso que quiera agregar (Grupos y equipos, Aplicaciones o Sitios de SharePoint).

  2. En el panel de selección que aparece, seleccione uno o varios recursos de la lista.

    Access package - Resource roles

    Si está creando el paquete de acceso en el catálogo General o un catálogo nuevo, podrá elegir cualquier recurso del directorio que posee. Debe ser al menos administrador global, administrador de usuarios o creador de catálogos.

    Si está creando el paquete de acceso en un catálogo existente, puede seleccionar cualquier recurso que ya esté en el catálogo sin que sea su propietario.

    Si es administrador global, administrador de usuarios o el propietario del catálogo, tiene la opción adicional de seleccionar los recursos que posee y que aún no están en el catálogo. Si selecciona los recursos que no están actualmente en el catálogo seleccionado, estos también se agregarán al catálogo para que otros administradores de catálogos compilen paquetes de acceso con él. Para ver todos los recursos que se pueden agregar al catálogo, active la casilla Ver todo en la parte superior del panel Seleccionar. Si solo desea seleccionar los recursos que se encuentran actualmente en el catálogo seleccionado, deje la casilla Ver todo desactivada (estado predeterminado).

  3. Una vez que haya seleccionado los recursos, en la lista Roles, seleccione el rol que quiere que se les asigne a los usuarios para el recurso. Para obtener más información sobre cómo seleccionar los roles adecuados para un recurso, lea Agregar roles de recursos.

    Access package - Resource role selection

  4. Haga clic en Next.

Nota

Puede agregar grupos dinámicos a catálogos y paquetes de acceso. Sin embargo, solo podrá seleccionar el rol de propietario al administrar un recurso de grupo dinámico de un paquete de acceso.

Requests

En la pestaña Solicitudes, creará la primera directiva para especificar quién puede solicitar el paquete de acceso y también la configuración de aprobación. Más adelante, puede crear más directivas de solicitud para permitir a otros grupos de usuarios que soliciten el paquete de acceso con su propia configuración de aprobación.

Access package - Requests tab

En función de quién desea que pueda solicitar este paquete de acceso, realice los pasos que se describen en una de las secciones siguientes.

para los usuarios del directorio

Siga estos pasos si quiere que los usuarios que están en el directorio puedan solicitar este paquete de acceso. Al definir la directiva de solicitud, puede especificar usuarios individuales o, más comúnmente, grupos de usuarios. Por ejemplo, es posible que su organización ya tenga un grupo, como Todos los empleados. Si ese grupo se agrega a la directiva para los usuarios que pueden solicitar acceso, cualquier miembro de ese grupo podrá solicitar acceso.

  1. En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione For users in your directory (Para los usuarios del directorio).

    Cuando se selecciona esta opción, aparecen nuevas opciones para restringir aún más quién en el directorio puede solicitar este paquete de acceso.

    Access package - Requests - For users in your directory

  2. Seleccione una de las siguientes opciones:

    Descripción
    Usuarios y grupos específicos Elija esta opción si desea que solo los usuarios y grupos del directorio que especifique puedan solicitar este paquete de acceso.
    Todos los miembros (excepto invitados) Elija esta opción si desea que todos los usuarios miembros del directorio puedan solicitar este paquete de acceso. Esta opción no incluye ningún usuario invitado al que pueda haber invitado en su directorio.
    Todos los usuarios (incluidos invitados) Elija esta opción si desea que todos los usuarios miembros y los usuarios invitados del directorio puedan solicitar este paquete de acceso.

    Los usuarios invitados hacen referencia a usuarios externos que han sido invitados al directorio con Azure AD B2B. Para más información sobre las diferencias entre los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Azure Active Directory?

  3. Si seleccionó Usuarios y grupos específicos, seleccione Agregar usuarios y grupos.

  4. En el panel Seleccionar usuarios y grupos, seleccione los usuarios y grupos que quiera agregar.

    Access package - Requests - Select users and groups

  5. Seleccione Seleccionar para agregar los usuarios y grupos.

  6. Vaya a la sección Aprobación.

para los usuarios que no están en el directorio

Los Usuarios que no están en el directorio se refieren a los usuarios que están en otro dominio o directorio de Azure AD. Es posible que estos usuarios no hayan sido invitados todavía al directorio. Los directorios de Azure AD deben configurarse para permitir invitaciones en Restricciones de colaboración. Para más información, consulte Configuración de la colaboración externa.

Nota:

Se creará una cuenta de usuario invitado para un usuario que aún no esté en el directorio cuya solicitud se haya aprobado o aprobado automáticamente. Se invitará al invitado, pero no recibirá un correo electrónico de invitación. En su lugar, recibirá un correo electrónico cuando se entregue su asignación de paquete de acceso. De forma predeterminada, más adelante cuando ese usuario invitado ya no tenga ninguna asignación de paquete de acceso porque su última asignación ha expirado o se ha cancelado, se bloqueará el inicio de sesión de esa cuenta de usuario invitado y se eliminará posteriormente. Si quiere que los usuarios invitados permanezcan en el directorio de manera indefinida, incluso si no tienen ninguna asignación de paquete de acceso, puede cambiar la configuración de la administración de derechos. Para más información acerca del objeto de usuario de invitado, consulte Propiedades de un usuario de colaboración B2B de Azure Active Directory.

Siga estos pasos si quiere que los usuarios que no están en el directorio soliciten este paquete de acceso:

  1. En la sección Users who can request access (Usuarios que pueden solicitar acceso), seleccione Para los usuarios que no están en su directorio.

    Cuando se selecciona esta opción, aparecen nuevas opciones.

    Access package - Requests - For users not in your directory

  2. Seleccione una de las siguientes opciones:

    Descripción
    Organizaciones conectadas específicas Elija esta opción si desea seleccionar de una lista de organizaciones que el administrador haya agregado anteriormente. Todos los usuarios de las organizaciones seleccionadas pueden solicitar este paquete de acceso.
    Todas las organizaciones conectadas Elija esta opción si todos los usuarios de las organizaciones conectadas pueden solicitar este paquete de acceso.
    Todos los usuarios (todas las organizaciones conectadas y todos los nuevos usuarios externos) Elija esta opción si todos los usuarios de todas las organizaciones conectadas pueden solicitar este paquete de acceso y que la configuración de la lista de permitidos o bloqueados de B2B tenga prioridad para todos los usuarios externos nuevos.

    Una organización conectada es un dominio o directorio externo de Azure AD con el que tiene relación.

  3. Si seleccionó Organizaciones conectadas específicas, seleccione Agregar directorios para seleccionar en una lista de las organizaciones conectadas que el administrador haya agregado anteriormente.

  4. Escriba el nombre o el nombre de dominio para buscar una organización anteriormente conectada.

    Access package - Requests - Select directories

    Si la organización con la que desea colaborar no está en la lista, puede pedir al administrador que la agregue como una organización conectada. Para más información, consulte Incorporación de una organización conectada.

  5. Una vez que haya seleccionado todas las organizaciones conectadas, seleccione Seleccionar.

    Nota:

    Todos los usuarios de las organizaciones conectadas seleccionadas podrán solicitar este paquete de acceso. Esto incluye a los usuarios de Azure AD de todos los subdominios asociados a la organización, a menos que los dominios estén bloqueados por la lista de permitidos o la lista de bloqueados de Azure B2B. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).

  6. Vaya a la sección Aprobación.

ninguno (solo para las asignaciones directas del administrador)

Siga estos pasos si quiere omitir las solicitudes de acceso y permitir a los administradores asignar directamente a usuarios específicos al paquete de acceso. Los usuarios no tendrán que solicitar el paquete de acceso. Aún podrá establecer la configuración del ciclo de vida, pero no hay ninguna configuración de solicitud.

  1. En la sección Usuarios que pueden solicitar acceso, seleccione Ninguno (solo para las asignaciones directas del administrador).

    Access package - Requests - None administrator direct assignments only

    Después de crear el paquete de acceso, puede asignar directamente usuarios internos y externos específicos al paquete de acceso. Si especifica un usuario externo, se creará una cuenta de usuario invitado en su directorio. Para información sobre la asignación directa de un usuario, consulte Visualización, incorporación y eliminación de asignaciones en un paquete de acceso.

  2. Vaya a la sección Habilitación de solicitudes.

Aprobación

En la sección Aprobación, especifique si se requiere una aprobación cuando los usuarios soliciten este paquete de acceso. La configuración de aprobación funciona de la siguiente manera:

  • Una solicitud para una aprobación de una sola fase solo debe aprobarla uno de los aprobadores seleccionados o un aprobador de reserva.
  • Una solicitud para una aprobación de dos fases solo debe aprobarla uno de los aprobadores seleccionados de cada fase.
  • El aprobador puede ser un administrador, un patrocinador interno o un patrocinador externo, dependiendo de quién rige el acceso a la directiva.
  • Para una aprobación de una sola fase o de dos fases no se necesita la aprobación de cada uno de los aprobadores seleccionados.
  • La decisión de aprobación se basa en el aprobador que revise primero la solicitud.

Para ver una demostración de cómo agregar aprobadores a una directiva de solicitud, vea el vídeo siguiente:

Para ver una demostración de cómo agregar una aprobación de varias fases a una directiva de solicitud, vea el vídeo siguiente:

Siga estos pasos para especificar la configuración de aprobación de las solicitudes para el paquete de acceso:

  1. Para requerir la aprobación de las solicitudes de los usuarios seleccionados, establezca el botón de alternancia Requerir aprobación en . O bien, para que las solicitudes se aprueban automáticamente, establezca el botón de alternancia en No.

  2. Para requerir que los usuarios proporcionen una justificación para solicitar el paquete de acceso, establezca la opción R en .

  3. Ahora determine si las solicitudes requerirán la aprobación de una sola fase o de dos fases. Establezca el botón de alternancia Número de fases en 1 para una aprobación de una sola fase o en 2, para la aprobación de dos fases.

    Access package - Requests - Approval settings

Siga los pasos que se indican a continuación para agregar aprobadores después de seleccionar el número de fases que requiere:

Aprobación de una sola fase

  1. Agregue el Primer aprobador:

    Si la directiva está establecida en Para los usuarios del directorio, puede seleccionar Administrador como aprobador. O bien agregue un usuario específico con un clic en Agregar aprobadores después de seleccionar Elegir aprobadores específicos en el menú desplegable.

    Access package - Requests - For users in directory - First Approver

    Si esta directiva está establecida en Para los usuarios que no están en el directorio, puede seleccionar Patrocinador externo o Patrocinador interno. O bien agregue un usuario específico con un clic en Agregar aprobadores o grupos en Elegir aprobadores específicos.

    Access package - Requests - For users out of directory - First Approver

  2. Si seleccionó Administrador como el primer aprobador, seleccione Agregar reserva para seleccionar uno o más usuarios o grupos del directorio como aprobador de reserva. Los aprobadores de reserva reciben la solicitud si la administración de derechos no encuentra al administrador del usuario que solicita el acceso.

    La administración de derechos encuentra al administrador mediante el atributo Manager. El atributo está en el perfil del usuario en Azure AD. Para más información, consulte Incorporación o actualización de la información de perfil de un usuario mediante Azure Active Directory.

  3. Si seleccionó Elegir aprobadores específicos, seleccione Agregar aprobadores para seleccionar uno o varios usuarios o grupos del directorio para que sean aprobadores.

  4. En el cuadro bajo ¿Dentro de cuántos días es necesario tomar una decisión? , especifique el número de días que un aprobador tiene que revisar una solicitud para este paquete de acceso.

    Si no se aprueba una solicitud durante este período de tiempo, se rechazará automáticamente. El usuario tendrá que enviar otra solicitud para el paquete de acceso.

  5. Para requerir que los aprobadores justifiquen su decisión, establezca la opción Requerir justificación del aprobador en .

    La justificación es visible para otros aprobadores y el solicitante.

Aprobación en 2 fases

Si seleccionó una aprobación de dos fases, deberá agregar otro aprobador.

  1. Agregue el Segundo aprobador:

    Si los usuarios están en el directorio, agregue un usuario específico como el segundo aprobador mediante un clic en Agregar aprobadores en Elegir aprobadores específicos.

    Access package - Requests - For users in directory - Second Approver

    Si los usuarios no están en el directorio, seleccione Patrocinador interno o Patrocinador externo como el segundo aprobador. Después de seleccionar el aprobador, agregue los aprobadores de reserva.

    Access package - Requests - For users out of directory - Second Approver

  2. Especifique el número de días que tiene el segundo aprobador para aprobar la solicitud en el cuadro bajo ¿Dentro de cuántos días es necesario tomar una decisión?

  3. Establezca el botón de alternancia Requerir justificación del aprobador en o en No.

Aprobadores alternativos

Puede especificar aprobadores alternativos de manera similar a cómo se especifican el primer y el segundo aprobador que pueden aprobar solicitudes. Tener aprobadores alternativos lo ayudará a asegurarse de que las solicitudes se aprueban o deniegan antes de que expiren (tiempo de expiración). Puede enumerar como aprobadores alternativos el primer aprobador y el segundo aprobador para la aprobación de dos fases.

Al especificar aprobadores alternativos, si el primer o el segundo aprobador no pueda aprobar ni rechazar la solicitud, la solicitud pendiente se reenvía a los aprobadores alternativos. La solicitud se envía según la programación de reenvío que especificó durante la configuración de la directiva. Reciben un correo electrónico para aprobar o denegar la solicitud pendiente.

Después de reenviar la solicitud a los aprobadores alternativos, el primer o el segundo aprobador puede seguir aprobando o denegando la solicitud. Los aprobadores alternativos usan el mismo sitio Mi acceso para aprobar o denegar la solicitud pendiente.

Podemos enumerar personas o grupos de personas como aprobadores y aprobadores alternativos. Asegúrese de que se muestran distintos conjuntos de personas como el primer aprobador, el segundo aprobador y los aprobadores alternativos. Por ejemplo, si especificó que Alice y Bob sean los primeros aprobadores, indique que Carol y Dave serán los aprobadores alternativos. Siga estos pasos para agregar aprobadores alternativos a un paquete de acceso:

  1. En Primer aprobador, el Segundo aprobador, o en ambos, seleccione Mostrar configuración de solicitud avanzada.

    Access package - Policy - Show advanced request settings

  2. Establezca la opción Si no se toman medidas, ¿quiere realizar el reenvío a los aprobadores alternativos? en .

  3. Seleccione Agregar aprobadores alternativos y seleccione los aprobadores alternativos de la lista.

    Access package - Policy - Add Alternate Approvers

    Si selecciona Administrador como aprobador en Primer aprobador, tendrá una opción más, Second level manager as alternate approver (Administrador de segundo nivel como aprobador alternativo), que puede elegir en el campo de aprobador alternativo. Si selecciona esta opción, debe agregar un aprobador de reserva al que reenviar la solicitud en caso de que el sistema no encuentre el administrador de segundo nivel.

  4. En el cuadro ¿Dentro de cuántos días quiere realizar el reenvío a los aprobadores alternativos? , escriba el número de días durante los cuales los aprobadores pueden aprobar o denegar una solicitud. Si ningún aprobador ha aprobado o denegado la solicitud en ese período, la solicitud expirará (tiempo de expiración). El usuario tendrá que enviar otra solicitud para el paquete de acceso.

    Las solicitudes no se pueden reenviar a aprobadores alternativos hasta un día después de que la duración de la solicitud sea la mitad y la decisión de los aprobadores principales debe ser agotar el tiempo de espera después de cuatro días como mínimo. Si el tiempo de espera de la solicitud es menor o igual que 3, no hay tiempo suficiente para reenviar la solicitud a los aprobadores alternativos. En este ejemplo, la duración de la solicitud es de 14 días. De este modo, la mitad de la duración de la solicitud es el día 7. Por lo tanto, la solicitud no se puede reenviar antes del día 8. Además, las solicitudes no se pueden reenviar el último día de la duración de la solicitud. Por lo tanto, en el ejemplo, la solicitud se puede reenviar a más tardar el día 13.

Habilitación de solicitudes

  1. Si quiere que el paquete de acceso esté disponible de inmediato para los usuarios de la directiva de solicitud para que puedan solicitarlo, cambie el conmutador de alternancia Habilitar a .

    Podrá habilitarla en todo momento cuando haya terminado de crear el paquete de acceso.

    Si seleccionó Ninguno (solo para las asignaciones directas del administrador) y establece la habilitación en No, los administradores no podrán asignar directamente este paquete de acceso.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Seleccione Next (Siguiente).

Adición de la información del solicitante para un paquete de acceso

  1. Vaya a la pestaña Requestor information (Información del solicitante) y seleccione la subpestaña Questions (Preguntas).

  2. Escriba lo que desea pedir al solicitante, lo cual también se conoce como cadena que se va a mostrar, para la pregunta del cuadro Pregunta.

    Access package - Policy- Enable Requestor information setting

  3. Si desea agregar sus propias opciones de localización, haga clic en Add localization (Agregar localización).

    1. En el panel Add localizations for question (Agregar traducciones para la pregunta), seleccione el código de idioma para el idioma en el que va a traducir la pregunta.
    2. En el idioma configurado, escriba la pregunta en el cuadro Localized Text (Texto traducido).
    3. Una vez que haya agregado todas las localizaciones necesarias, seleccione Save (Guardar).

    Access package - Policy- Configure localized text

  4. Seleccione el formato de respuesta en el que desea que los solicitantes respondan. Entre los formatos de respuesta se incluyen Short text (Texto corto), Multiple choice(Opciones múltiples) y Long text (Texto largo).

    Access package - Policy- Select view and edit multiple choice answer format

  5. Si selecciona varias opciones, seleccione el botón Edit and localize (Editar y localizar) para configurar las opciones de respuesta.

    1. A continuación, se abrirá el panel View/edit question (Ver o editar pregunta).
    2. Escriba las opciones de respuesta que desea dar al solicitante al responder a la pregunta de los cuadros Answer values (Valores de respuesta).
    3. Seleccione el idioma de la opción de respuesta. Si elige más idiomas, puede localizar las opciones de respuesta.
    4. Escriba tantas respuestas como sea necesario y seleccione Save (Guardar).

    Access package - Policy- Enter multiple choice options

  6. Para requerir a los solicitantes que respondan esta pregunta al solicitar acceso a un paquete de acceso, seleccione la casilla situada debajo de Required (Obligatorio).

  7. Seleccione la pestaña secundaria Attributes (Atributos) para ver los atributos asociados a los recursos agregados al paquete de acceso.

    Nota:

    Para agregar o actualizar atributos para los recursos de un paquete de acceso, vaya a Catálogos y busque el catálogo asociado al paquete de acceso. Para más información sobre cómo editar la lista de atributos de un recurso de catálogo específico y los roles de los requisitos previos, consulte Adición de atributos de recursos (versión preliminar) al catálogo.

  8. Seleccione Siguiente.

Ciclo de vida

En la sección Ciclo de vida, especificará cuándo expira la asignación de un usuario para el paquete de acceso. También puede especificar si los usuarios pueden extender sus asignaciones.

  1. En la sección Expiración, establezca La asignación de paquetes de acceso expira en En la fecha, Número de días, Número de horas o Nunca.

    • Para la opción En la fecha, seleccione una fecha de expiración en el futuro.
    • Para la opción Número de días, especifique un número entre 0 y 3660 días.
    • En Número de horas, especifique un número de horas.

    En función de lo que seleccione, la asignación de un usuario para el paquete de acceso expirará en una fecha concreta, un número determinado de días después de la aprobación o nunca.

  2. Si desea que el usuario solicite una fecha específica de inicio y finalización para su acceso, haga clic en junto a la opción Usuarios pueden solicitar un botón de alternancia de escala de tiempo específico.

  3. Haga clic en Mostrar configuración de expiración avanzada para mostrar la configuración adicional.

    Access package - Lifecycle Expiration settings

  4. Para permitir que el usuario amplíe sus asignaciones, establezca Permitir que los usuarios extiendan el acceso en .

    Si se permiten las extensiones en la directiva, el usuario recibirá un correo electrónico 14 días y 1 día antes de que se establezca la expiración de su asignación de paquete de acceso en el que se le solicitará que amplíe la asignación. El usuario todavía debe estar en el ámbito de la directiva en el momento de solicitar una extensión. Asimismo, si la directiva tiene una fecha de finalización explícita para las asignaciones y el usuario envía una solicitud para extender el acceso, la fecha de la extensión de la solicitud debe ser igual o anterior a la de expiración de las asignaciones, tal y como se define en la directiva que se usó para conceder al usuario acceso al paquete de acceso. Por ejemplo, si la directiva indica que las asignaciones están configuradas para expirar el 30 de junio, la extensión máxima que un usuario puede solicitar es el 30 de junio.

    Si se extiende el acceso de un usuario, no podrán solicitar el paquete de acceso después de la fecha de extensión especificada (la fecha está establecida en la zona horaria del usuario que ha creado la directiva).

  5. Para requerir la aprobación para conceder una extensión, establezca Requerir aprobación para conceder extensión en .

    Se utilizará la misma configuración de aprobación que se especificó en la pestaña Solicitudes.

  6. Haga clic en Siguiente o en Actualizar.

Revisar y crear

En la pestaña Revisar y crear, puede revisar la configuración y comprobar si hay errores de validación.

  1. Revise la configuración del paquete de acceso.

    Access package - Enable policy setting

  2. Haga clic en Crear para crear el paquete de acceso.

    El nuevo paquete de acceso aparece en la lista de paquetes de acceso.

Creación de un paquete de acceso mediante programación

También puede crear un paquete de acceso mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para:

  1. Enumerar los elementos accessPackageResources en el catálogo y crear un elemento accessPackageResourceRequest para todos los recursos que aún no están en el catálogo.
  2. Enumerar el elemento accessPackageResourceRoles de cada elemento accessPackageResource en un catálogo accessPackageCatalog. Esta lista de roles se usará en adelante para seleccionar un rol, cuando cree posteriormente un elemento accessPackageResourceRoleScope.
  3. Crear un elemento accessPackage.
  4. Crear un elemento accessPackageAssignmentPolicy.
  5. Crear un elemento accessPackageResourceRoleScope para cada rol de recurso necesario en el paquete de acceso.

Pasos siguientes