Tutorial: Administración del acceso a los recursos en la administración de derechos de Azure ADTutorial: Manage access to resources in Azure AD entitlement management

Administrar el acceso a todos lol recursos que necesitan los empleados, como grupos, aplicaciones y sitios, es una función importante en las organizaciones.Managing access to all the resources employees need, such as groups, applications, and sites, is an important function for organizations. Querrá conceder a los empleados el nivel de acceso correcto que necesitan para ser productivos y eliminar su acceso cuando ya no se precise.You want to grant employees the right level of access they need to be productive and remove their access when it is no longer needed.

En este tutorial, trabajará para Woodgrove Bank como administrador de TI.In this tutorial, you work for Woodgrove Bank as an IT administrator. Le han pedido que cree un paquete de recursos para una campaña de marketing que los usuarios internos puedan usar para realizar solicitudes de autoservicio.You've been asked to create a package of resources for a marketing campaign that internal users can use to self-service request. Las solicitudes no requerirán aprobación y el acceso del usuario expirará al cabo de 30 días.Requests do not require approval and user's access expires after 30 days. En este tutorial, los recursos de la campaña de marketing son simplemente la pertenencia a un único grupo, pero podrían ser una colección de grupos, aplicaciones o sitios de SharePoint Online.For this tutorial, the marketing campaign resources are just membership in a single group, but it could be a collection of groups, applications, or SharePoint Online sites.

Diagrama que muestra la información general del escenario.

En este tutorial, aprenderá a:In this tutorial, you learn how to:

  • Crear un paquete de acceso con un grupo como recursoCreate an access package with a group as a resource
  • Permitir que un usuario del directorio solicite accesoAllow a user in your directory to request access
  • Demostrar cómo un usuario interno puede solicitar el paquete de accesoDemonstrate how an internal user can request the access package

Para consultar una demostración detallada del proceso de implementación de la administración de derechos de Azure Active Directory, incluida la creación del primer paquete de acceso, vea el siguiente vídeo:For a step-by-step demonstration of the process of deploying Azure Active Directory entitlement management, including creating your first access package, view the following video:

PrerrequisitosPrerequisites

Para usar la administración de derechos de Azure AD, debe tener una de las licencias siguientes:To use Azure AD entitlement management, you must have one of the following licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • Licencia de Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5 license

Para obtener más información, consulte Requisitos de licencia.For more information, see License requirements.

Paso 1: Configuración de usuarios y gruposStep 1: Set up users and group

Un directorio de recurso tiene uno o más recursos para compartir.A resource directory has one or more resources to share. En este paso, creará un grupo denominado Recursos de marketing en el directorio de Woodgrove Bank que es el recurso de destino de la administración de derechos.In this step, you create a group named Marketing resources in the Woodgrove Bank directory that is the target resource for entitlement management. También configurará un solicitante interno.You also set up an internal requestor.

Rol necesario: administrador global o administrador de usuarios.Prerequisite role: Global administrator or User administrator

Creación de usuarios y grupos

  1. Inicie sesión en Azure Portal como administrador global o administrador de usuarios.Sign in to the Azure portal as a Global administrator or User administrator.

  2. En el panel de navegación izquierdo, haga clic en Azure Active Directory.In the left navigation, click Azure Active Directory.

  3. Cree o configure los siguientes dos usuarios.Create or configure the following two users. Puede usar estos nombres u otros diferentes.You can use these names or different names. Admin1 puede ser el usuario con el que inició sesión.Admin1 can be the user you are currently signed in as.

    NombreName Rol del directorioDirectory role
    Admin1Admin1 Administrador globalGlobal administrator
    O bien-or-
    Administrador de usuariosUser administrator
    Solicitante1Requestor1 UsuarioUser
  4. Cree un grupo de seguridad de Azure AD llamado Recursos de marketing con un tipo de pertenencia de Asignado.Create an Azure AD security group named Marketing resources with a membership type of Assigned.

    Este grupo será el recurso de destino para la administración de derechos.This group will be the target resource for entitlement management. El grupo debe estar vacío para comenzar.The group should be empty of members to start.

Paso 2: Creación de un paquete de accesoStep 2: Create an access package

Un paquete de acceso es un conjunto de recursos que un equipo o proyecto necesita y se rige por directivas.An access package is a bundle of resources that a team or project needs and is governed with policies. Los paquetes de acceso se definen en contenedores llamados catálogos.Access packages are defined in containers called catalogs. En este paso, creará un paquete de acceso Campaña de marketing en el catálogo General.In this step, you create a Marketing Campaign access package in the General catalog.

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.Prerequisite role: Global administrator, User administrator, Catalog owner, or Access package manager

Creación de un paquete de acceso

  1. En la barra de navegación izquierda de Azure Portal, haga clic en Azure Active Directory.In the Azure portal, in the left navigation, click Azure Active Directory.

  2. En el menú izquierdo, haga clic en Gobernanza de identidades.In the left menu, click Identity Governance

  3. En el menú izquierdo, haga clic en Paquetes de acceso.In the left menu, click Access packages. Si ve Acceso denegado, asegúrese de que haya una licencia Azure AD Premium P2 en el directorio.If you see Access denied, ensure that an Azure AD Premium P2 license is present in your directory.

  4. Haga clic en New access package (Nuevo paquete acceso).Click New access package.

    Administración de derechos en Azure Portal

  5. En la pestaña Básico, escriba el nombre Campaña de marketing y la descripción Acceso a los recursos de la campaña.On the Basics tab, type the name Marketing Campaign access package and description Access to resources for the campaign.

  6. Deje la lista desplegable Catálogo establecida en General.Leave the Catalog drop-down list set to General.

    New access package (Nuevo paquete de acceso): pestaña Datos básicos

  7. Haga clic en Siguiente para abrir la pestaña Resource roles (Roles de recursos).Click Next to open the Resource roles tab.

    En esta pestaña se seleccionan los recursos y el rol de recurso que se incluirán en el paquete de acceso.On this tab, you select the resources and the resource role to include in the access package.

  8. Haga clic en Grupos y equipos.Click Groups and Teams.

  9. En el panel Seleccionar grupos, busque y seleccione el grupo Recursos de marketing que creó anteriormente.In the Select groups pane, find and select the Marketing resources group you created earlier.

    De forma predeterminada, verá grupos dentro del catálogo general.By default, you see groups inside the General catalog. Al seleccionar un grupo fuera del catálogo general, que puede ver si activa la casilla Ver todo, se agregará al catálogo general.When you select a group outside of the General catalog, which you can see if you check the See all check box, it will be added to the General catalog.

    Captura de pantalla que muestra la pestaña "Nuevo paquete de acceso: roles de recursos" y la ventana "Seleccionar grupos".

  10. Haga clic en Seleccionar para agregar el grupo a la lista.Click Select to add the group to the list.

  11. En la lista desplegable Rol, seleccione Miembro.In the Role drop-down list, select Member.

    New access package (Nuevo paquete de acceso): pestaña Resource roles (Roles de recursos)

    Importante

    Los grupos a los que se pueden asignar roles que se agregan a un paquete de acceso se indicarán mediante el subtipo Assignable to roles (asignable a roles).The role-assignable groups added to an access package will be indicated using the Sub Type Assignable to roles. Consulte Creación de un grupo al que se pueden asignar roles en Azure Active Directory para obtener más detalles sobre los grupos que se pueden asignar a roles de Azure AD.Refer to Create a role-assignable group in Azure Active Directory for more details on groups assignable to Azure AD roles. Tenga en cuenta que una vez que un grupo al que se pueden asignar roles está presente en un catálogo de paquetes de acceso, los usuarios administrativos que pueden encargarse de la administración de derechos, como administradores globales, administradores de usuarios y propietarios de catálogos, podrán controlar los paquetes de acceso en el catálogo. De este modo, tendrán la posibilidad de decidir a quién agregar a esos grupos.Keep in mind that once a role-assignable group is present in an access package catalog, administrative users who are able to manage in entitlement management, including global administrators, user administrators and catalog owners of the catalog, will be able to control the access packages in the catalog, allowing them to choose who can be added to those groups. Si no ve un grupo al que se pueden asignar roles que quiera agregar, o no puede agregarlo, asegúrese de que tiene los roles de administración de derechos y de Azure AD que se requieren para realizar esta operación.If you don't see a role-assignable group that you want to add or you are unable to add it, make sure you have the required Azure AD role and entitlement management role to perform this operation. Quizá necesite pedirle a alguien con los roles necesarios que agregue el recurso al catálogo.You might need to ask someone with the required roles add the resource to your catalog. Para obtener más información, vea Roles necesarios para agregar recursos a un catálogo.For more information, see Required roles to add resources to a catalog.

    Nota

    Si usa grupos dinámicos no verá ningún otro rol disponible además del propietario;When using dynamic groups you will not see any other roles available besides owner. es así por diseño.This is by design. Información general de los escenariosScenario overview

  12. Haga clic en Siguiente para abrir la pestaña Solicitudes.Click Next to open the Requests tab.

    En esta pestaña creará una directiva de solicitud.On this tab, you create a request policy. Una directiva define las reglas o barreras para acceder a un paquete de acceso.A policy defines the rules or guardrails to access an access package. Creará una directiva que permite que un usuario específico del directorio del recurso solicite este paquete de acceso.You create a policy that allows a specific user in the resource directory to request this access package.

  13. En la sección Usuarios que pueden solicitar acceso, haga clic en Para los usuarios de su directorio y, a continuación, haga clic en Usuarios y grupos específicos.In the Users who can request access section, click For users in your directory and then click Specific users and groups.

    Nuevo paquete de acceso: pestaña Solicitudes

  14. Haga clic en Agregar usuarios y grupos.Click Add users and groups.

  15. En el panel Seleccionar usuarios y grupos, seleccione el usuario Solicitante1 que creó anteriormente.In the Select users and groups pane, select the Requestor1 user you created earlier.

    Nuevo paquete de acceso: pestaña Solicitudes - Seleccionar usuarios y grupos

  16. Haga clic en Seleccionar.Click Select.

  17. Desplácese hacia abajo hasta las secciones Aprobación y Enable requests (Habilitar solicitudes).Scroll down to the Approval and Enable requests sections.

  18. Deje Requerir aprobación establecido en No.Leave Require approval set to No.

  19. En Enable requests (Habilitar solicitudes), haga clic en para permitir que este paquete de acceso se solicite en cuanto se cree.For Enable requests, click Yes to enable this access package to be requested as soon as it is created.

    Nuevo paquete de acceso: pestaña Solicitudes - Aprobación y Enable requests (Habilitar solicitudes)

  20. Haga clic en Siguiente para abrir la pestaña Ciclo de vida.Click Next to open the Lifecycle tab.

  21. En la sección Expiración, establezca Las asignaciones de paquetes de acceso expiran en Número de días.In the Expiration section, set Access package assignments expire to Number of days.

  22. Establezca Las asignaciones expiran después de en 30 días.Set Assignments expire after to 30 days.

    Nuevo paquete de acceso: pestaña Ciclo de vida

  23. Haga clic en Siguiente para abrir la pestaña Revisar y crear.Click Next to open the Review + Create tab.

    New access package (Nuevo paquete de acceso): pestaña Revisar y crear

    Transcurridos unos instantes, verá una notificación que dice que el paquete de acceso se ha creado correctamente.After a few moments, you should see a notification that the access package was successfully created.

  24. En el menú izquierdo del paquete de acceso Campaña de marketing, haga clic en Información general.In left menu of the Marketing Campaign access package, click Overview.

  25. Copie el vínculo del portal Mi acceso.Copy the My Access portal link.

    Este vínculo lo usará en el paso siguiente.You'll use this link for the next step.

    Información general del paquete acceso: vínculo del portal Mi acceso

Paso 3: Solicitar accesoStep 3: Request access

En este paso, realizará los pasos como solicitante interno y solicitará acceso al paquete acceso.In this step, you perform the steps as the internal requestor and request access to the access package. Los solicitantes envían sus solicitudes mediante un sitio conocido como el portal Mi acceso.Requestors submit their requests using a site called the My Access portal. El portal Mi acceso permite a los solicitantes enviar solicitudes de paquetes de acceso, ver los paquetes de acceso a los que ya tienen acceso y ver sus historiales de solicitudes.The My Access portal enables requestors to submit requests for access packages, see the access packages they already have access to, and view their request history.

Rol necesario: solicitante internoPrerequisite role: Internal requestor

  1. Cierre sesión en Azure Portal.Sign out of the Azure portal.

  2. En una nueva ventana del explorador, vaya al vínculo del portal Mi acceso que copió en el paso anterior.In a new browser window, navigate to the My Access portal link you copied in the previous step.

  3. Inicie sesión en el portal Mi acceso como Solicitante1.Sign in to the My Access portal as Requestor1.

    Debería ver el paquete de acceso Campaña de marketing.You should see the Marketing Campaign access package.

  4. Si es necesario, en la columna Descripción, haga clic en la flecha para ver detalles sobre el paquete de acceso.If necessary, in the Description column, click the arrow to view details about the access package.

    Portal Mi acceso: paquetes de acceso

  5. Haga clic en la marca de verificación para seleccionar el paquete.Click the checkmark to select the package.

  6. Haga clic en Solicitar acceso para abrir el panel Solicitar acceso.Click Request access to open the Request access pane.

    Portal Mi acceso: botón Solicitar acceso

  7. En el cuadro Justificación comercial, escriba la justificación Estoy trabajando en la nueva campaña de marketing.In the Business justification box, type the justification I am working on the new marketing campaign.

    Portal Mi acceso: solicitud de acceso

  8. Haga clic en Enviar.Click Submit.

  9. En el menú izquierdo, haga clic en Historial de solicitudes para comprobar que la solicitud se ha enviado.In the left menu, click Request history to verify that your request was submitted.

Paso 4: Validación de que se ha asignado el accesoStep 4: Validate that access has been assigned

En este paso, confirmará que se asignó el paquete de acceso al solicitante interno y que este es ahora miembro del grupo Recursos de marketing.In this step, you confirm that the internal requestor was assigned the access package and that they are now a member of the Marketing resources group.

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.Prerequisite role: Global administrator, User administrator, Catalog owner, or Access package manager

  1. Cierre sesión en el portal Mi acceso.Sign out of the My Access portal.

  2. Inicie sesión en Azure Portal como Admin1.Sign in to the Azure portal as Admin1.

  3. Haga clic en Azure Active Directory y, luego, haga clic en Gobernanza de identidades.Click Azure Active Directory and then click Identity Governance.

  4. En el menú izquierdo, haga clic en Paquetes de acceso.In the left menu, click Access packages.

  5. Busque y haga clic en el paquete de acceso Campaña de marketing.Find and click Marketing Campaign access package.

  6. En el menú izquierdo, haga clic en Solicitudes.In the left menu, click Requests.

    Verá Solicitante1 y la directiva inicial con el estado Entregado.You should see Requestor1 and the Initial policy with a status of Delivered.

  7. Haga clic en la solicitud para ver los detalles.Click the request to see the request details.

    Paquete de acceso: detalles de la solicitud

  8. En el panel de navegación izquierdo, haga clic en Azure Active Directory.In the left navigation, click Azure Active Directory.

  9. Haga clic en Grupos y abra el grupo Recursos de marketing.Click Groups and open the Marketing resources group.

  10. Haga clic en Miembros.Click Members.

    Verá que Solicitante1 aparece como miembro.You should see Requestor1 listed as a member.

    Miembros de Recursos de marketing

Paso 5: Limpieza de recursosStep 5: Clean up resources

En este paso, se quitarán los cambios realizados y se eliminará el paquete de acceso Campaña de marketing.In this step, you remove the changes you made and delete the Marketing Campaign access package.

Rol necesario: administrador global o administrador de usuarios.Prerequisite role: Global administrator or User administrator

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.In the Azure portal, click Azure Active Directory and then click Identity Governance.

  2. Abra el paquete de acceso Campaña de marketing.Open the Marketing Campaign access package.

  3. Haga clic en Asignaciones.Click Assignments.

  4. En Solicitante1, haga clic en el botón de puntos suspensivos ( ... ) y, luego, en Quitar acceso.For Requestor1, click the ellipsis (...) and then click Remove access. En el mensaje que aparece, haga clic en .In the message that appears, click Yes.

    Tras unos momentos, el estado cambiará de Entregado a Expirado.After a few moments, the status will change from Delivered to Expired.

  5. Haga clic en Roles de recursos.Click Resource roles.

  6. En Recursos de marketing, haga clic en el botón de puntos suspensivos ( ... ) y, luego, en Eliminar rol de recurso.For Marketing resources, click the ellipsis (...) and then click Remove resource role. En el mensaje que aparece, haga clic en .In the message that appears, click Yes.

  7. Abra la lista de paquetes de acceso.Open the list of access packages.

  8. En Campaña de marketing, haga clic en el botón de puntos suspensivos ( ... ) y, a continuación, haga clic en Eliminar.For Marketing Campaign, click the ellipsis (...) and then click Delete. En el mensaje que aparece, haga clic en .In the message that appears, click Yes.

  9. En Azure Active Directory, elimine los usuarios creados como Solicitante1 y Admin1.In Azure Active Directory, delete any users you created such as Requestor1 and Admin1.

  10. Elimine el grupo Recursos de marketing.Delete the Marketing resources group.

Pasos siguientesNext steps

Avance al siguiente artículo para conocer los pasos del escenario común de administración de derechos.Advance to the next article to learn about common scenario steps in entitlement management.