Cambio de la configuración de solicitud de un paquete de acceso en la administración de derechos de Azure ADChange request settings for an access package in Azure AD entitlement management

Como administrador de paquetes de acceso, puede cambiar los usuarios que pueden solicitar un paquete de acceso en cualquier momento si edita la directiva o agrega una nueva.As an access package manager, you can change the users who can request an access package at any time by editing the policy or adding a new policy. En este artículo, se explica cómo cambiar la configuración de solicitud de un paquete de acceso existente.This article describes how to change the request settings for an existing access package.

Elección entre una o varias directivasChoose between one or multiple policies

Para especificar quién puede solicitar un paquete de acceso, debe usar una directiva.The way you specify who can request an access package is with a policy. Antes de crear una directiva o editar una directiva existente en un paquete de acceso, debe determinar cuántas directivas necesita el paquete de acceso.Before creating a new policy or editing an existing policy in an access package, you need to determine how many policies the access package needs.

Cuando se crea un paquete de acceso, se especifica la configuración de solicitud que crea una directiva.When you create an access package, you specify the request setting which creates a policy. La mayoría de los paquetes de acceso tendrán una sola directiva, pero un único paquete de acceso puede tener varias.Most access packages will have a single policy, but a single access package can have multiple policies. Se crearían varias directivas para un único paquete de acceso si deseara permitir que se concedan asignaciones a los distintos conjuntos de usuarios con una configuración de solicitudes y aprobación diferente.You would create multiple policies for an access package if you want to allow different sets of users to be granted assignments with different request and approval settings.

Por ejemplo, no se puede usar una sola directiva para asignar usuarios internos y externos al mismo paquete de acceso.For example, a single policy cannot be used to assign internal and external users to the same access package. Sin embargo, puede crear dos directivas en el mismo paquete de acceso: una para los usuarios internos y otra para los usuarios externos.However, you can create two policies in the same access package, one for internal users and one for external users. Si hay varias directivas que se aplican a un usuario, se le pedirá en el momento de su solicitud que seleccione la directiva que le gustaría que se le asignara.If there are multiple policies that apply to a user, they will be prompted at the time of their request to select the policy they would like to be assigned to. En el diagrama siguiente se muestra un paquete de acceso con dos directivas.The following diagram shows an access package with two policies.

Varias directivas en un paquete de acceso

¿Cuántas directivas necesito?How many policies will I need?

EscenarioScenario Número de directivasNumber of policies
Quiero que todos los usuarios de mi directorio tengan la misma configuración de solicitudes y aprobación para un paquete de accesoI want all users in my directory to have the same request and approval settings for an access package UnoOne
Quiero que todos los usuarios de ciertas organizaciones conectadas puedan solicitar un paquete de accesoI want all users in certain connected organizations to be able to request an access package UnoOne
Deseo permitir que los usuarios de mi directorio y también los de fuera de mi directorio soliciten un paquete de accesoI want to allow users in my directory and also users outside my directory to request an access package MúltipleMultiple
Deseo especificar una configuración de aprobación diferente para algunos usuariosI want to specify different approval settings for some users MúltipleMultiple
Quiero que algunos usuarios accedan a las asignaciones de paquetes que van a expirar mientras que otros usuarios puedan extender su accesoI want some users access package assignments to expire while other users can extend their access MúltipleMultiple

Para información sobre la lógica de prioridad que se usa cuando se aplican varias directivas, consulte Varias directivas.For information about the priority logic that is used when multiple policies apply, see Multiple policies.

Apertura de un paquete de acceso existente e incorporación de una nueva directiva de configuración de solicitudOpen an existing access package and add a new policy of request settings

Si tiene un conjunto de usuarios que deben tener una configuración de solicitudes y aprobación diferente, probablemente tendrá que crear una directiva.If you have a set of users that should have different request and approval settings, you'll likely need to create a new policy. Para empezar a agregar una nueva directiva a un paquete de acceso existente, siga estos pasos:Follow these steps to start adding a new policy to an existing access package:

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.Prerequisite role: Global administrator, User administrator, Catalog owner, or Access package manager

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.In the Azure portal, click Azure Active Directory and then click Identity Governance.

  2. En el menú de la izquierda, haga clic en Paquetes de acceso y luego abra el paquete de acceso.In the left menu, click Access packages and then open the access package.

  3. Haga clic en **Directivas ** y luego en Agregar directiva.Click Policies and then Add policy.

  4. Comenzará en la pestaña Aspectos básicos. Escriba un nombre y una descripción para la directiva.You will start on the Basics tab. Type a name and a description for the policy.

    Crear directiva con nombre y descripción

  5. Haga clic en Siguiente para abrir la pestaña Solicitudes.Click Next to open the Requests tab.

  6. Cambie la opción Usuarios que pueden solicitar acceso.Change the Users who can request access setting. Siga los pasos de las secciones siguientes para cambiar la configuración por una de las siguientes opciones:Use the steps in the following sections to change the setting to one of the following options:

para los usuarios del directorioFor users in your directory

Siga estos pasos si quiere que los usuarios que están en el directorio puedan solicitar este paquete de acceso.Follow these steps if you want to allow users in your directory to be able to request this access package. Al definir la directiva de solicitud, puede especificar usuarios individuales o, más comúnmente, grupos de usuarios.When defining the request policy, you can specify individual users, or more commonly groups of users. Por ejemplo, es posible que su organización ya tenga un grupo, como Todos los empleados.For example, your organization may already have a group such as All employees. Si ese grupo se agrega a la directiva para los usuarios que pueden solicitar acceso, cualquier miembro de ese grupo podrá solicitar acceso.If that group is added in the policy for users who can request access, then any member of that group can then request access.

  1. En la sección Users who can request access (Usuarios que pueden solicitar acceso), haga clic en For users in your directory (Para usuarios del directorio).In the Users who can request access section, click For users in your directory.

    Cuando se selecciona esta opción, aparecen nuevas opciones para restringir aún más quién en el directorio puede solicitar este paquete de acceso.When you select this option, new options appear to further refine who in your directory can request this access package.

    Paquete de acceso - Solicitudes - Para los usuarios que están en el directorio

  2. Seleccione una de las siguientes opciones:Select one of the following options:

    Usuarios y grupos específicosSpecific users and groups Elija esta opción si desea que solo los usuarios y grupos del directorio que especifique puedan solicitar este paquete de acceso.Choose this option if you want only the users and groups in your directory that you specify to be able to request this access package.
    Todos los miembros (excepto invitados)All members (excluding guests) Elija esta opción si desea que todos los usuarios miembros del directorio puedan solicitar este paquete de acceso.Choose this option if you want all member users in your directory to be able to request this access package. Esta opción no incluye ningún usuario invitado al que pueda haber invitado en su directorio.This option doesn't include any guest users you might have invited into your directory.
    Todos los usuarios (incluidos invitados)All users (including guests) Elija esta opción si desea que todos los usuarios miembros y los usuarios invitados del directorio puedan solicitar este paquete de acceso.Choose this option if you want all member users and guest users in your directory to be able to request this access package.

    Los usuarios invitados hacen referencia a usuarios externos que han sido invitados al directorio con Azure AD B2B.Guest users refer to external users that have been invited into your directory with Azure AD B2B. Para más información sobre las diferencias entre los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Azure Active Directory?For more information about the differences between member users and guest users, see What are the default user permissions in Azure Active Directory?.

  3. Si seleccionó Usuarios y grupos específicos, haga clic en Agregar usuarios y grupos.If you selected Specific users and groups, click Add users and groups.

  4. En el panel Seleccionar usuarios y grupos, seleccione los usuarios y grupos que quiera agregar.In the Select users and groups pane, select the users and groups you want to add.

    Paquete de acceso - Solicitudes - Seleccionar usuarios y grupos

  5. Haga clic en Seleccionar para agregar los usuarios y grupos.Click Select to add the users and groups.

  6. Si quiere solicitar aprobación, siga los pasos descritos en Cambio de la configuración de aprobación de un paquete de acceso en la administración de derechos de Azure AD para configurar los valores de aprobación.If you want to require approval, use the steps in Change approval settings for an access package in Azure AD entitlement management to configure approval settings.

  7. Vaya a la sección Habilitación de solicitudes.Go to the Enable requests section.

para los usuarios que no están en el directorioFor users not in your directory

Los Usuarios que no están en el directorio se refieren a los usuarios que están en otro dominio o directorio de Azure AD.Users not in your directory refers to users who are in another Azure AD directory or domain. Es posible que estos usuarios no hayan sido invitados todavía al directorio.These users may not have yet been invited into your directory. Los directorios de Azure AD deben configurarse para permitir invitaciones en Restricciones de colaboración.Azure AD directories must be configured to be allow invitations in Collaboration restrictions. Para más información, consulte Habilitación de la colaboración externa B2B y administración de quién puede invitar a otros usuarios.For more information, see Enable B2B external collaboration and manage who can invite guests.

Nota

Se creará una cuenta de usuario invitado para un usuario que aún no esté en el directorio cuya solicitud se haya aprobado o aprobado automáticamente.A guest user account will be created for a user not yet in your directory whose request is approved or auto-approved. Se invitará al invitado, pero no recibirá un correo electrónico de invitación.The guest will be invited, but will not receive an invite email. En su lugar, recibirá un correo electrónico cuando se entregue su asignación de paquete de acceso.Instead, they will receive an email when their access package assignment is delivered. De forma predeterminada, más adelante cuando ese usuario invitado ya no tenga ninguna asignación de paquete de acceso porque su última asignación ha expirado o se ha cancelado, se bloqueará el inicio de sesión de esa cuenta de usuario invitado y se eliminará posteriormente.By default, later when that guest user no longer has any access package assignments, because their last assignment has expired or been cancelled, that guest user account will be blocked from sign in and subsequently deleted. Si quiere que los usuarios invitados permanezcan en el directorio de manera indefinida, incluso si no tienen ninguna asignación de paquete de acceso, puede cambiar la configuración de la administración de derechos.If you want to have guest users remain in your directory indefinitely, even if they have no access package assignments, you can change the settings for your entitlement management configuration. Para más información acerca del objeto de usuario de invitado, consulte Propiedades de un usuario de colaboración B2B de Azure Active Directory.For more information about the guest user object, see Properties of an Azure Active Directory B2B collaboration user.

Siga estos pasos si quiere que los usuarios que no están en el directorio soliciten este paquete de acceso:Follow these steps if you want to allow users not in your directory to request this access package:

  1. En la sección Usuarios que pueden solicitar acceso, haga clic en Para los usuarios que no están en el directorio.In the Users who can request access section, click For users not in your directory.

    Cuando se selecciona esta opción, aparecen nuevas opciones.When you select this option, new options appear.

    Paquete de acceso - Solicitudes - Para los usuarios que no están en el directorio

  2. Seleccione una de las siguientes opciones:Select one of the following options:

    Organizaciones conectadas específicasSpecific connected organizations Elija esta opción si desea seleccionar de una lista de organizaciones que el administrador haya agregado anteriormente.Choose this option if you want to select from a list of organizations that your administrator previously added. Todos los usuarios de las organizaciones seleccionadas pueden solicitar este paquete de acceso.All users from the selected organizations can request this access package.
    Todas las organizaciones conectadas configuradasAll configured connected organizations Elija esta opción si todos los usuarios de todas las organizaciones conectadas configuradas pueden solicitar este paquete de acceso.Choose this option if all users from all your configured connected organizations can request this access package. Solo los usuarios de las organizaciones conectadas configuradas pueden solicitar paquetes de acceso que se muestran a los usuarios de todas las organizaciones configuradas.Only users from configured connected organizations can request access packages that are shown to users from all configured organizations.
    Todos los usuarios (todas las organizaciones conectadas y todos los nuevos usuarios externos)All users (All connected organizations + any new external users) Elija esta opción si cualquier usuario de Internet debe poder solicitar este paquete de acceso.Choose this option if any user on the internet should be able to request this access package. Si no pertenecen a una organización conectada del directorio, se creará automáticamente una organización conectada para ellos cuando soliciten el paquete.If they don’t belong to a connected organization in your directory, a connected organization will automatically be created for them when they request the package. La organización conectada creada automáticamente tendrá el estado Propuesta.The automatically created connected organization will be in a proposed state. Para más información sobre el estado Propuesta, consulte Propiedades de estado de las organizaciones conectadas.For more information about the proposed state, see State properties of connected organizations.

    Una organización conectada es un dominio o directorio externo de Azure AD con el que tiene relación.A connected organization is an external Azure AD directory or domain that you have a relationship with.

  3. Si seleccionó Organizaciones conectadas específicas, haga clic en Agregar directorios para seleccionar en una lista de las organizaciones conectadas que el administrador haya agregado anteriormente.If you selected Specific connected organizations, click Add directories to select from a list of connected organizations that your administrator previously added.

  4. Escriba el nombre o el nombre de dominio para buscar una organización anteriormente conectada.Type the name or domain name to search for a previously connected organization.

    Paquete de acceso - Solicitudes - Seleccionar directorios

    Si la organización con la que desea colaborar no está en la lista, puede pedir al administrador que la agregue como una organización conectada.If the organization you want to collaborate with isn't in the list, you can ask your administrator to add it as a connected organization. Para más información, consulte Incorporación de una organización conectada.For more information, see Add a connected organization.

  5. Una vez que haya seleccionado todas las organizaciones conectadas, haga clic en Seleccionar.Once you've selected all your connected organizations, click Select.

    Nota

    Todos los usuarios de las organizaciones conectadas seleccionadas podrán solicitar este paquete de acceso.All users from the selected connected organizations will be able to request this access package. Esto incluye a los usuarios de Azure AD de todos los subdominios asociados a la organización, a menos que los dominios estén bloqueados por la lista de permitidos o denegados de Azure B2B.This includes users in Azure AD from all subdomains associated with the organization, unless those domains are blocked by the Azure B2B allow or deny list. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).For more information, see Allow or block invitations to B2B users from specific organizations.

  6. Si quiere solicitar aprobación, siga los pasos descritos en Cambio de la configuración de aprobación de un paquete de acceso en la administración de derechos de Azure AD para configurar los valores de aprobación.If you want to require approval, use the steps in Change approval settings for an access package in Azure AD entitlement management to configure approval settings.

  7. Vaya a la sección Habilitación de solicitudes.Go to the Enable requests section.

ninguno (solo para las asignaciones directas del administrador)None (administrator direct assignments only)

Siga estos pasos si quiere omitir las solicitudes de acceso y permitir a los administradores asignar directamente a usuarios específicos al paquete de acceso.Follow these steps if you want to bypass access requests and allow administrators to directly assign specific users to this access package. Los usuarios no tendrán que solicitar el paquete de acceso.Users won't have to request the access package. Aún podrá establecer la configuración del ciclo de vida, pero no hay ninguna configuración de solicitud.You can still set lifecycle settings, but there are no request settings.

  1. En la sección Usuarios que pueden solicitar acceso, haga clic en Ninguno (solo para las asignaciones directas del administrador) .In the Users who can request access section, click None (administrator direct assignments only.

    Paquete de acceso - Solicitudes - Ninguno (solo para las asignaciones directas del administrador)

    Después de crear el paquete de acceso, puede asignar directamente usuarios internos y externos específicos al paquete de acceso.After you create the access package, you can directly assign specific internal and external users to the access package. Si especifica un usuario externo, se creará una cuenta de usuario invitado en su directorio.If you specify an external user, a guest user account will be created in your directory. Para información sobre la asignación directa de un usuario, consulte Visualización, incorporación y eliminación de asignaciones en un paquete de acceso.For information about directly assigning a user, see View, add, and remove assignments for an access package.

  2. Vaya a la sección Habilitación de solicitudes.Skip to the Enable requests section.

Apertura y edición de una directiva existente de configuración de solicitudOpen and edit an existing policy of request settings

Para cambiar la configuración de solicitudes y aprobación de un paquete de acceso, debe abrir la directiva correspondiente.To change the request and approval settings for an access package, you need to open the corresponding policy. Siga estos pasos para abrir y editar la configuración de solicitud de un paquete de acceso:Follow these steps to open and edit the request settings for an access package:

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.Prerequisite role: Global administrator, User administrator, Catalog owner, or Access package manager

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.In the Azure portal, click Azure Active Directory and then click Identity Governance.

  2. En el menú de la izquierda, haga clic en Paquetes de acceso y luego abra el paquete de acceso.In the left menu, click Access packages and then open the access package.

  3. Haga clic en Directivas y luego en la directiva que quiere editar.Click Policies and then click the policy you want to edit.

    Se abre el panel Detalles de directiva en la parte inferior de la página.The Policy details pane opens at the bottom of the page.

    Paquete de acceso - Panel Detalles de directiva

  4. Haga clic en Editar para editar la directiva.Click Edit to edit the policy.

    Paquete de acceso - Editar directiva

  5. Haga clic en la pestaña Solicitudes para abrir la configuración de solicitud.Click the Requests tab to open the request settings.

  6. Siga los pasos descritos en las secciones anteriores para cambiar la configuración de solicitud según sea necesario.Use the steps in the previous sections to change the request settings as needed.

  7. Vaya a la sección Habilitación de solicitudes.Go to the Enable requests section.

Habilitación de solicitudesEnable requests

  1. Si quiere que el paquete de acceso esté disponible de inmediato para los usuarios de la directiva de solicitud para que puedan solicitarlo, cambie el conmutador de alternancia Habilitar a .If you want the access package to be made immediately available for users in the request policy to request, move the Enable toggle to Yes.

    Podrá habilitarla en todo momento cuando haya terminado de crear el paquete de acceso.You can always enable it in the future after you have finished creating the access package.

    Si seleccionó Ninguno (solo para las asignaciones directas del administrador) y establece la habilitación en No, los administradores no podrán asignar directamente este paquete de acceso.If you selected None (administrator direct assignments only) and you set enable to No, then administrators can't directly assign this access package.

    Paquete de acceso: directiva; configuración de habilitación de la directiva

  2. Haga clic en Next.Click Next.

  3. Si quiere exigir que los solicitantes proporcionen información adicional al solicitar acceso a un paquete de acceso, siga los pasos descritos en para configurar la información del solicitante (versión preliminar).If you want to require requestors to provide additional information when requesting access to an access package, use the steps in to configure requestor information (preview).

  4. Configure los valores del ciclo de vida.Configure lifecycle settings.

  5. Si va a editar una directiva, haga clic en Actualizar.If you are editing a policy click Update. Si va a agregar una directiva nueva, haga clic en Crear.If you are adding a new policy, click Create.

Pasos siguientesNext steps