¿Qué es la administración de derechos de Azure AD?What is Azure AD entitlement management?

La administración de derechos de Azure Active Directory (Azure AD) es una característica de control de identidad que permite a las organizaciones administrar el ciclo de vida de identidad y acceso a escala, mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y la expiración.Azure Active Directory (Azure AD) entitlement management is an identity governance feature that enables organizations to manage identity and access lifecycle at scale, by automating access request workflows, access assignments, reviews, and expiration.

Los empleados de las organizaciones necesitan tener acceso a varios grupos, aplicaciones y sitios para realizar su trabajo.Employees in organizations need access to various groups, applications, and sites to perform their job. La administración de este acceso es complicada, dado que los requisitos cambian, se agregan nuevas aplicaciones o los usuarios necesitan derechos de acceso adicionales.Managing this access is challenging, as requirements change - new applications are added or users need additional access rights. Este escenario se complica si se colabora con organizaciones externas: puede que no sepa qué usuarios de la otra organización necesitan acceder a los recursos de su organización y ellos no sabrán qué aplicaciones, grupos o sitios usa esta.This scenario gets more complicated when you collaborate with outside organizations - you may not know who in the other organization needs access to your organization's resources, and they won't know what applications, groups, or sites your organization is using.

La administración de derechos de Azure AD puede ayudarle a administrar de manera más eficiente el acceso a grupos, aplicaciones y sitios de SharePoint Online para usuarios internos y también para usuarios de fuera de la organización que necesitan acceso a esos recursos.Azure AD entitlement management can help you more efficiently manage access to groups, applications, and SharePoint Online sites for internal users, and also for users outside your organization who need access to those resources.

¿Qué es la administración de derechos?Why use entitlement management?

Las organizaciones empresariales a menudo se enfrentan a desafíos a la hora de administrar el acceso de los empleados a recursos tales como:Enterprise organizations often face challenges when managing employee access to resources such as:

  • Es posible que los usuarios no sepan qué acceso deben tener y, incluso si lo saben, pueden tener dificultades para encontrar los usuarios adecuados que aprueben su acceso.Users may not know what access they should have, and even if they do, they may have difficulty locating the right individuals to approve their access
  • Una vez que los usuarios buscan y reciben acceso a un recurso, pueden retener el acceso por más tiempo del necesario para fines empresariales.Once users find and receive access to a resource, they may hold on to access longer than is required for business purposes

Estos problemas se agravan para los usuarios que necesitan acceso desde otra organización, como los usuarios externos que pertenecen a organizaciones de la cadena de suministro u otros asociados comerciales.These problems are compounded for users who need access from another organization, such as external users that are from supply chain organizations or other business partners. Por ejemplo:For example:

  • Es posible que nadie conozca a todas las personas de los directorios de otra organización para poder invitarlos.No one person may know all of the specific individuals in other organization's directories to be able to invite them
  • Incluso si las organizaciones pudieran invitar a estos usuarios, es posible que nadie de esa organización se acuerde de administrar todo el acceso de los usuarios de forma coherente.Even if they were able to invite these users, no one in that organization may remember to manage all of the users' access consistently

La administración de derechos de Azure AD puede ayudar a abordar estos desafíos.Azure AD entitlement management can help address these challenges. Para más información sobre cómo los clientes han estado usando la administración de derechos de Azure AD, puede leer el caso de estudio de Avanade y el caso de estudio de Centrica.To learn more about how customers have been using Azure AD entitlement management, you can read the Avanade case study and the Centrica case study. Este vídeo proporciona información general sobre la administración de derechos y su valor:This video provides an overview of entitlement management and its value:

¿Qué se puede hacer con la administración de derechos?What can I do with entitlement management?

Estas son algunas de las funcionalidades de la administración de derechos:Here are some of capabilities of entitlement management:

  • Delegue a los usuarios que no son administradores la posibilidad de crear paquetes de acceso.Delegate to non-administrators the ability to create access packages. Estos paquetes de acceso contienen recursos que los usuarios pueden solicitar, y los administradores de paquetes de acceso delegados pueden definir directivas con reglas sobre lo que los usuarios pueden solicitar, quién debe aprobar su acceso y cuándo expira este.These access packages contain resources that users can request, and the delegated access package managers can define policies with rules for which users can request, who must approve their access, and when access expires.
  • Seleccione las organizaciones conectadas cuyos usuarios pueden solicitar acceso.Select connected organizations whose users can request access. Cuando un usuario que todavía no está en su directorio solicita acceso y este acceso se aprueba, se le invita automáticamente al directorio y se le asigna acceso.When a user who is not yet in your directory requests access, and is approved, they are automatically invited into your directory and assigned access. Cuando expira su acceso, si no tiene otras asignaciones de paquete de acceso, su cuenta de B2B en el directorio se puede quitar automáticamente.When their access expires, if they have no other access package assignments, their B2B account in your directory can be automatically removed.

Nota

Si está preparado para probar la administración de derechos, puede empezar a trabajar con el tutorial para crear el primer paquete de acceso.If you are ready to try Entitlement management you can get started with our tutorial to create your first access package.

También puede leer los escenarios comunes o ver los vídeos siguientes:You can also read the common scenarios, or watch videos, including

¿Qué son los paquetes de acceso y qué recursos puedo administrar con ellos?What are access packages and what resources can I manage with them?

La administración de derechos introduce en Azure AD el concepto de un paquete de acceso.Entitlement management introduces to Azure AD the concept of an access package. Un paquete de acceso es una agrupación de todos los recursos con el acceso que necesita un usuario para trabajar en un proyecto o realizar su tarea.An access package is a bundle of all the resources with the access a user needs to work on a project or perform their task. Los paquetes de acceso se utilizan para controlar el acceso de los empleados internos y también de los usuarios de fuera de la organización.Access packages are used to govern access for your internal employees, and also users outside your organization.

Estos son los tipos de recursos para los que puede administrar el acceso del usuario con la administración de derechos:Here are the types of resources you can manage user's access to with entitlement management:

  • Pertenencia a grupos de seguridad de Azure ADMembership of Azure AD security groups
  • Pertenencia a Teams y Grupos de Microsoft 365Membership of Microsoft 365 Groups and Teams
  • Asignación a aplicaciones empresariales de Azure AD, incluidas las aplicaciones SaaS y las aplicaciones integradas personalizadas que admitan la federación o el inicio de sesión único o el aprovisionamientoAssignment to Azure AD enterprise applications, including SaaS applications and custom-integrated applications that support federation/single sign-on and/or provisioning
  • Pertenencia a sitios de SharePoint OnlineMembership of SharePoint Online sites

También puede controlar el acceso a otros recursos que dependen de los grupos de seguridad de Azure AD o de Grupos de Microsoft 365.You can also control access to other resources that rely upon Azure AD security groups or Microsoft 365 Groups. Por ejemplo:For example:

  • Puede conceder licencias a los usuarios para Microsoft 365 mediante un grupo de seguridad de Azure AD en un paquete de acceso y la configuración de licencias basadas en grupos para ese grupo.You can give users licenses for Microsoft 365 by using an Azure AD security group in an access package and configuring group-based licensing for that group.
  • Puede dar acceso a los usuarios para administrar los recursos de Azure mediante un grupo de seguridad de Azure AD en un paquete de acceso y la creación de una asignación de roles de Azure para ese grupo.You can give users access to manage Azure resources by using an Azure AD security group in an access package and creating an Azure role assignment for that group.
  • Puede conceder a los usuarios acceso para administrar los roles de Azure AD mediante el uso de grupos asignables a roles de Azure AD en un paquete de acceso y la asignación de un rol de Azure AD a ese grupo.You can give users access to manage Azure AD roles by using groups assignable to Azure AD roles in an access package and assigning an Azure AD role to that group.

¿Cómo se controla quién tiene acceso?How do I control who gets access?

Con un paquete de acceso, un administrador o un administrador de paquetes de acceso delegado enumera los recursos (grupos, aplicaciones y sitios) y los roles que los usuarios necesitan para esos recursos.With an access package, an administrator or delegated access package manager lists the resources (groups, apps, and sites), and the roles the users need for those resources.

Los paquetes de acceso también incluyen una o varias directivas.Access packages also include one or more policies. Una directiva define las reglas o barreras para la asignación al paquete de acceso.A policy defines the rules or guardrails for assignment to access package. Cada directiva puede usarse para garantizar que solo los usuarios adecuados puedan solicitar acceso, que haya aprobadores para su solicitud y que el acceso a esos recursos sea por tiempo limitado y expire si no se ha renovado.Each policy can be used to ensure that only the appropriate users are able to request access, that there are approvers for their request, and that their access to those resources is time-limited and will expire if not renewed.

Paquete de acceso y directivas

Dentro de cada directiva, un administrador o el administrador de paquetes de acceso define:Within each policy, an administrator or access package manager defines

  • Los usuarios existentes (normalmente empleados o invitados) o las organizaciones asociadas de usuarios externos, que pueden solicitar accesoEither the already-existing users (typically employees or already-invited guests), or the partner organizations of external users, that are eligible to request access
  • El proceso de aprobación y los usuarios que pueden aprobar o denegar el accesoThe approval process and the users that can approve or deny access
  • La duración de la asignación del acceso de un usuario, una vez aprobado, antes de que expire la asignación.The duration of a user's access assignment, once approved, before the assignment expires

El siguiente diagrama muestra un ejemplo de los diferentes elementos de la administración de derechos.The following diagram shows an example of the different elements in entitlement management. Aparece un catálogo con dos paquetes de acceso de ejemplo.It shows one catalog with two example access packages.

  • El paquete de acceso 1 incluye un único grupo como un recurso.Access package 1 includes a single group as a resource. El acceso se define con una directiva que permite a un conjunto de usuarios del directorio solicitar acceso.Access is defined with a policy that enables a set of users in the directory to request access.
  • El paquete de acceso 2 incluye un grupo, una aplicación y un sitio de SharePoint Online como recursos.Access package 2 includes a group, an application, and a SharePoint Online site as resources. El acceso se define con dos directivas diferentes.Access is defined with two different policies. La primera directiva permite a un conjunto de usuarios del directorio solicitar acceso.The first policy enables a set of users in the directory to request access. La segunda directiva permite a los usuarios de un directorio externo solicitar acceso.The second policy enables users in an external directory to request access.

Introducción a la administración de derechos

¿Cuándo debo usar paquetes de acceso?When should I use access packages?

Los paquetes de acceso no reemplazan a otros mecanismos de asignación de acceso.Access packages do not replace other mechanisms for access assignment. Son más adecuadas en situaciones como las siguientes:They are most appropriate in situations such as:

  • Los empleados necesitan acceso por tiempo limitado para una tarea determinada.Employees need time-limited access for a particular task. Por ejemplo, podría usar licencias basadas en grupos y un grupo dinámico para asegurarse de que todos los empleados tengan un buzón de Exchange Online y usar luego los paquetes de acceso en situaciones en las que los empleados necesiten acceso adicional, por ejemplo, para leer los recursos de un departamento desde otro departamento.For example, you might use group-based licensing and a dynamic group to ensure all employees have an Exchange Online mailbox, and then use access packages for situations in which employees need additional access, such as to read departmental resources from another department.
  • Acceso que requiera la aprobación del administrador de un empleado o de otras personas designadas.Access that requires the approval of an employee's manager or other designated individuals.
  • Los departamentos desean administrar sus propias directivas de acceso a los recursos sin la intervención del departamento de TI.Departments wish to manage their own access policies for their resources without IT involvement.
  • Dos o más organizaciones colaboran en un proyecto y, como resultado, varios usuarios de una organización deberán incorporarse mediante Azure AD B2B para tener acceso a los recursos de la otra organización.Two or more organizations are collaborating on a project, and as a result, multiple users from one organization will need to be brought in via Azure AD B2B to access another organization's resources.

¿Cómo se delega el acceso?How do I delegate access?

Los paquetes de acceso se definen en contenedores llamados catálogos.Access packages are defined in containers called catalogs. Puede tener un único catálogo para todos los paquetes de acceso o puede designar a personas para que creen o posean sus propios catálogos.You can have a single catalog for all your access packages, or you can designate individuals to create and own their own catalogs. Un administrador puede agregar recursos a cualquier catálogo, pero una persona que no sea administrador solo puede agregar a un catálogo los recursos que posea.An administrator can add resources to any catalog, but a non-administrator can only add to a catalog the resources that they own. El propietario de un catálogo puede agregar a otros usuarios como copropietarios del catálogo o como administradores de paquetes de acceso.A catalog owner can add other users as catalog co-owners, or as access package managers. Estos escenarios se describen con más detalle en el artículo Delegación y roles en la administración de derechos de Azure AD.These scenarios are described further in the article delegation and roles in Azure AD entitlement management.

Resumen de la terminologíaSummary of terminology

Para comprender mejor la administración de derechos y su documentación, puede consultar la siguiente lista de términos.To better understand entitlement management and its documentation, you can refer back to the following list of terms.

TérminoTerm DescripciónDescription
paquete de accesoaccess package Conjunto de recursos que un equipo o proyecto necesita y se rige por directivas.A bundle of resources that a team or project needs and is governed with policies. Un paquete de acceso siempre se encuentra en un catálogo.An access package is always contained in a catalog. Un paquete de acceso se crearía en un escenario en el que los usuarios necesiten solicitar acceso.You would create a new access package for a scenario in which users need to request access.
solicitud de accesoaccess request Solicitud para acceder a los recursos de un paquete de acceso.A request to access the resources in an access package. Una solicitud suele pasa por un flujo de trabajo de aprobación.A request typically goes through an approval workflow. Si se aprueba, el usuario solicitante recibe una asignación de paquete de acceso.If approved, the requesting user receives an access package assignment.
asignaciónassignment La asignación de un paquete de acceso a un usuario garantiza que el usuario tenga todos los roles de recursos de ese paquete de acceso.An assignment of an access package to a user ensures the user has all the resource roles of that access package. Las asignaciones de paquetes de acceso suelen tener un límite de tiempo antes de que expiren.Access package assignments typically have a time limit before they expire.
catalogcatalog Un contenedor de recursos relacionados y paquetes de acceso.A container of related resources and access packages. Los catálogos se emplean en la delegación, de modo que las personas que no son administradores pueden crear sus propios paquetes de acceso.Catalogs are used for delegation, so that non-administrators can create their own access packages. Los propietarios de catálogos pueden agregar recursos de su propiedad a un catálogo.Catalog owners can add resources they own to a catalog.
creador de catálogoscatalog creator Una colección de usuarios que están autorizados para crear catálogos.A collection of users who are authorized to create new catalogs. Cuando un usuario que no es administrador y que está autorizado para ser un creador de catálogos crea un catálogo, se convierte automáticamente en el propietario de dicho catálogo.When a non-administrator user who is authorized to be a catalog creator creates a new catalog, they automatically become the owner of that catalog.
organización conectadaconnected organization Un directorio o dominio externo de Azure AD con el que tiene una relación.An external Azure AD directory or domain that you have a relationship with. Los usuarios de una organización conectada se pueden especificar en una directiva como que tienen permiso para solicitar acceso.The users from a connected organization can be specified in a policy as being allowed to request access.
policypolicy Un conjunto de reglas que define el ciclo de vida del acceso, como por ejemplo, cómo los usuarios obtienen acceso, quién puede aprobarlo y cuánto tiempo tienen acceso mediante una asignación.A set of rules that defines the access lifecycle, such as how users get access, who can approve, and how long users have access through an assignment. Una directiva está vinculada a un paquete de acceso.A policy is linked to an access package. Por ejemplo, un paquete de acceso podría tener dos directivas: una para que los empleados soliciten acceso y una segunda para que lo hagan los usuarios externos.For example, an access package could have two policies - one for employees to request access and a second for external users to request access.
resourceresource Un recurso, como un grupo de Office, un grupo de seguridad, una aplicación o un sitio de SharePoint Online, con un rol para el que se puede conceder permisos a un usuario.An asset, such as an Office group, a security group, an application, or a SharePoint Online site, with a role that a user can be granted permissions to.
directorio de recursosresource directory Un directorio que tiene uno o más recursos para compartir.A directory that has one or more resources to share.
rol de recursoresource role Una colección de permisos asociados a un recurso y definidos por él.A collection of permissions associated with and defined by a resource. Un grupo tiene dos roles: miembro y propietario.A group has two roles - member and owner. Los sitios de SharePoint suelen tener tres roles, pero pueden tener roles personalizados adicionales.SharePoint sites typically have 3 roles but may have additional custom roles. Las aplicaciones pueden tener roles personalizados.Applications can have custom roles.

Requisitos de licenciaLicense requirements

Necesita una licencia de Azure AD Premium P2 para usar esta característica.Using this feature requires an Azure AD Premium P2 license. Para obtener la licencia correcta para sus requisitos, consulte la  Comparación de las características con disponibilidad general de las ediciones Gratis, para aplicaciones de Office 365 y Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

Las nubes especializadas, como Azure Alemania y Azure China 21Vianet, no están actualmente disponibles para su uso.Specialized clouds, such as Azure Germany, and Azure China 21Vianet, are not currently available for use.

¿Cuántas licencias debe tener?How many licenses must you have?

Asegúrese de que el directorio tenga al menos tantas licencias de Azure AD Premium P2 como usted:Ensure that your directory has at least as many Azure AD Premium P2 licenses as you have:

  • Usuarios miembros que pueden solicitar un paquete de acceso.Member users who can request an access package.
  • Usuarios miembros que solicitan un paquete de acceso.Member users who request an access package.
  • Usuarios miembros que aprueban solicitudes para un paquete de acceso.Member users who approve requests for an access package.
  • Usuarios miembros que revisan asignaciones para un paquete de acceso.Member users who review assignments for an access package.
  • Usuarios miembros que tienen una asignación directa a un paquete de acceso.Member users who have a direct assignment to an access package.

En el caso de los usuarios invitados, las necesidades de licencia dependerán del modelo de licencias que esté usando.For guest users, licensing needs will depend on the licensing model you’re using. Sin embargo, las actividades de los usuarios invitados siguientes se consideran uso de Azure AD Premium P2:However, the below guest users’ activities are considered Azure AD Premium P2 usage:

  • Usuarios invitados que solicitan un paquete de acceso.Guest users who request an access package.
  • Usuarios invitados que aprueban solicitudes para un paquete de acceso.Guest users who approve requests for an access package.
  • Usuarios invitados que revisan asignaciones para un paquete de acceso.Guest users who review assignments for an access package.
  • Usuarios invitados que tienen una asignación directa a un paquete de acceso.Guest users who have a direct assignment to an access package.

Las licencias de Azure AD Premium P2 no son necesarias para las tareas siguientes:Azure AD Premium P2 licenses are not required for the following tasks:

  • No se requiere ninguna licencia para usuarios con el rol de administrador global que configuran los catálogos iniciales, paquetes de acceso y directivas, y delegan tareas administrativas en otros usuarios.No licenses are required for users with the Global Administrator role who set up the initial catalogs, access packages, and policies, and delegate administrative tasks to other users.
  • No se requiere ninguna licencia para usuarios en los que se han delegado tareas administrativas, como el creador de catálogos, el propietario de catálogos y el administrador de paquetes de acceso.No licenses are required for users who have been delegated administrative tasks, such as catalog creator, catalog owner, and access package manager.
  • No se requiere ninguna licencia para invitados que pueden solicitar paquetes de acceso, pero no solicitan un paquete de acceso.No licenses are required for guests who can request access packages, but do not request an access package.

Para más información sobre las licencias, consulte Asignación o eliminación de licencias mediante el portal de Azure Active Directory.For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

Escenarios de licencia de ejemploExample license scenarios

Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.Here are some example license scenarios to help you determine the number of licenses you must have.

EscenarioScenario CálculoCalculation Número de licenciasNumber of licenses
Un administrador global de Woodgrove Bank crea catálogos iniciales y delega tareas administrativas en otros seis usuarios.A Global Administrator at Woodgrove Bank creates initial catalogs and delegates administrative tasks to 6 other users. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso.One of the policies specifies that All employees (2,000 employees) can request a specific set of access packages. 150 empleados solicitan los paquetes de acceso.150 employees request the access packages. 2000 empleados que pueden solicitar los paquetes de acceso2,000 employees who can request the access packages 2.0002,000
Un administrador global de Woodgrove Bank crea catálogos iniciales y delega tareas administrativas en otros seis usuarios.A Global Administrator at Woodgrove Bank creates initial catalogs and delegates administrative tasks to 6 other users. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso.One of the policies specifies that All employees (2,000 employees) can request a specific set of access packages. Otra directiva especifica que algunos usuarios del asociado Contoso (invitados) pueden solicitar los mismos paquetes de acceso sujetos a aprobación.Another policy specifies that some users from Users from partner Contoso (guests) can request the same access packages subject to approval. Contoso tiene 30 000 usuarios.Contoso has 30,000 users. 150 empleados solicitan los paquetes de acceso y 10 500 usuarios de Contoso solicitan acceso.150 employees request the access packages and 10,500 users from Contoso request access. 2000 empleados + 500 usuarios invitados de Contoso que superan la relación 1:5 (10 500 - (2000 * 5))2,000 employees + 500 guest users from Contoso that exceed the 1:5 ratio (10,500 - (2,000 * 5)) 2,5002,500

Pasos siguientesNext steps