¿Qué es Azure AD Identity Governance?What is Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Governance le permite equilibrar la productividad de los empleados y la seguridad que necesita su organización con la visibilidad y los procesos adecuados.Azure Active Directory (Azure AD) Identity Governance allows you to balance your organization's need for security and employee productivity with the right processes and visibility. Proporciona funcionalidades que garantizan que las personas adecuadas tienen el acceso adecuado a los recursos adecuados.It provides you with capabilities to ensure that the right people have the right access to the right resources. Estas características de Azure AD y Enterprise Mobility + Security y relacionadas permiten reducir el riesgo del acceso al proteger, supervisar y auditar el acceso a los recursos críticos, al mismo tiempo que garantizan la productividad de empleados y asociados empresariales.These and related Azure AD and Enterprise Mobility + Security features allows you to mitigate access risk by protecting, monitoring, and auditing access to critical assets -- while ensuring employee and business partner productivity.

Identity Governance ofrece a las organizaciones la posibilidad de realizar las siguientes tareas con empleados, asociados empresariales, proveedores, servicios y aplicaciones tanto en el entorno local como en la nube:Identity Governance give organizations the ability to do the following tasks across employees, business partners and vendors, and across services and applications both on-premises and in clouds:

  • Controlar el ciclo de vida de las identidades.Govern the identity lifecycle
  • Controlar el ciclo de vida de los accesos.Govern access lifecycle
  • Proteger el acceso con privilegios para la administraciónSecure privileged access for administration

Está especialmente diseñado para ayudar a las organizaciones a abordar estas cuatro preguntas claves:Specifically, it is intended to help organizations address these four key questions:

  • ¿Qué usuarios deben tener acceso a qué recursos?Which users should have access to which resources?
  • ¿Qué hacen esos usuarios con el acceso concedido?What are those users doing with that access?
  • ¿La organización cuenta con controles eficaces para administrar el acceso?Are there effective organizational controls for managing access?
  • ¿Los auditores pueden comprobar qué controles funcionan?Can auditors verify that the controls are working?

Ciclo de vida de las identidadesIdentity lifecycle

La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización)Identity Governance helps organizations achieve a balance between productivity - How quickly can a person have access to the resources they need, such as when they join my organization? y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral).And security - How should their access change over time, such as due to changes to that person's employment status? La administración del ciclo de vida de las identidades es la piedra angular de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a diferentes escalas, es preciso modernizar la infraestructura de administración del ciclo de vida de las identidades en las aplicaciones.Identity lifecycle management is the foundation for Identity Governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

Ciclo de vida de las identidades

En muchas organizaciones, el ciclo de vida de las identidades de los empleados está relacionado con la representación del usuario en un sistema HCM (administración del capital humano).For many organizations, identity lifecycle for employees is tied to the representation of that user in an HCM (human capital management) system. Azure AD Premium mantiene automáticamente las identidades de usuario de las personas representadas en Workday tanto en Active Directory como en Azure Active Directory, como se describe en el tutorial sobre el aprovisionamiento de entrada en Workday.Azure AD Premium automatically maintains user identities for people represented in Workday in both Active Directory and Azure Active Directory, as described in the Workday inbound provisioning tutorial. Azure AD Premium incluye también Microsoft Identity Manager, que permite importar registros desde los sistemas HCM locales, como SAP, Oracle eBusiness y Oracle PeopleSoft.Azure AD Premium also includes Microsoft Identity Manager, which can import records from on-premises HCM systems such as SAP, Oracle eBusiness, and Oracle PeopleSoft.

Cada vez son más los escenarios en los que es preciso colaborar con personas que están fuera de la organización.Increasingly, scenarios require collaboration with people outside your organization. La colaboración B2B de Azure AD permite compartir de forma segura las aplicaciones y servicios corporativos con usuarios invitados y asociados externos de cualquier organización, a la vez que mantiene el control sobre sus propios datos corporativos.Azure AD B2B collaboration enables you to securely share your organization's applications and services with guest users and external partners from any organization, while maintaining control over your own corporate data. La administración de derechos de Azure AD le permite seleccionar los usuarios de la organización que tienen permiso para solicitar acceso y que se pueden agregar como invitados B2B al directorio de la organización; también garantiza que estos invitados se eliminen cuando ya no necesiten acceso.Azure AD entitlement management enables you to select which organization's users are allowed to request access and be added as B2B guests to your organization's directory, and ensures that these guests are removed when they no longer need access.

Ciclo de vida de los accesosAccess lifecycle

Las organizaciones necesitan un proceso que administre el acceso sin limitarse a lo que se aprovisionó inicialmente, cuando se creó la identidad del usuario.Organizations need a process to manage access beyond what was initially provisioned for a user when that user's identity was created. Además, las organizaciones empresariales deben ser capaces de escalar sus recursos con eficacia para poder desarrollar y aplicar de forma continuada directivas y controles de acceso.Furthermore, enterprise organizations need to be able to scale efficiently to be able to develop and enforce access policy and controls on an ongoing basis.

Ciclo de vida de los accesos

Normalmente, el departamento de TI delega las decisiones sobre la aprobación de los accesos en los responsables de la toma de decisiones de la empresa.Typically, IT delegates access approval decisions to business decision makers. Por otro lado, el departamento de TI puede involucrar él mismo a los usuarios.Furthermore, IT can involve the users themselves. Por ejemplo, los usuarios que tienen acceso a los datos confidenciales de los clientes en una aplicación de marketing de una compañía en Europa tienen que conocer las directivas de la compañía.For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. Es posible que los usuarios invitados no conozcan los requisitos de administración de los datos de una organización a la que han sido invitados.Guest users may be unaware of the handling requirements for data in an organization to which they have been invited.

Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos utilizando determinadas tecnologías, como los grupos dinámicos, junto con el aprovisionamiento de usuarios en aplicaciones SaaS o aplicaciones integradas con SCIM.Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS apps or apps integrated with SCIM. Las organizaciones también pueden controlar qué usuarios invitados tienen acceso a las aplicaciones locales.Organizations can also control which guest users have access to on-premises applications. Estos derechos de acceso se pueden revisar periódicamente utilizando revisiones de acceso de Azure AD recurrentes.These access rights can then be regularly reviewed using recurring Azure AD access reviews. La administración de derechos de Azure AD también le permite definir cómo los usuarios solicitan acceso en los paquetes de pertenencias a grupos y equipos, roles de aplicación y roles de SharePoint Online.Azure AD entitlement management also enables you to define how users request access across packages of group and team memberships, application roles, and SharePoint Online roles.

Cuando un usuario intenta acceder a las aplicaciones, Azure AD impone directivas de acceso condicional.When a user attempts to access applications, Azure AD enforces Conditional Access policies. Por ejemplo, las directivas de acceso condicional pueden especificar que se muestren los términos de uso para garantizar que el usuario acepta los términos antes de acceder a una aplicación.For example, Conditional Access policies can include displaying a terms of use and ensuring the user has agreed to those terms prior to being able to access an application.

Ciclo de vida de los accesos con privilegiosPrivileged access lifecycle

Históricamente, otros proveedores concebían el acceso con privilegios como una funcionalidad independiente de la gobernanza de identidades.Historically, privileged access has been described by other vendors as a separate capability from Identity Governance. Sin embargo, en Microsoft, creemos que el control del acceso con privilegios constituye una parte fundamental de la gobernanza de identidades, especialmente si tenemos en cuenta las consecuencias que podría tener para la organización un uso indebido con los derechos de administrador.However, at Microsoft, we think governing privileged access is a key part of Identity Governance -- especially given the potential for misuse associated with those administrator rights can cause to an organization. Es preciso controlar a los empleados, los proveedores y los contratistas que tienen derechos administrativos.The employees, vendors, and contractors that take on administrative rights need to be governed.

Ciclo de vida de los accesos con privilegios

Azure AD Privileged Identity Management (PIM) dispone de controles adicionales que están adaptados para proteger los derechos de acceso de los recursos en Azure AD, Azure y otros servicios en línea de Microsoft.Azure AD Privileged Identity Management (PIM) provides additional controls tailored to securing access rights for resources, across Azure AD, Azure, and other Microsoft Online Services. El acceso Just-In-Time y las funcionalidades para enviar alertas cuando cambia un rol que están disponibles en Azure AD PIM, junto con la autenticación multifactor y el acceso condicional, ofrecen un completo conjunto de controles de gobernanza que le ayudan a proteger los recursos de la compañía (roles de recursos de directorio, de Azure y de Office 365).The just-in-time access, and role change alerting capabilities provided by Azure AD PIM, in addition to multi-factor authentication and Conditional Access, provide a comprehensive set of governance controls to help secure your company's resources (directory, Office 365, and Azure resource roles). Al igual que con otras formas de acceso, las organizaciones pueden usar las revisiones de acceso para configurar nuevas certificaciones de acceso periódicas para todos los usuarios con roles de administrador.As with other forms of access, organizations can use access reviews to configure recurring access recertification for all users in administrator roles.

IntroducciónGetting started

Consulte la pestaña Introducción de Identity Governance de Azure Portal para comenzar a usar la administración de derechos, las revisiones de acceso, Privileged Identity Management y los términos de uso.Check out the Getting started tab of Identity Governance in the Azure portal to start using entitlement management, access reviews, Privileged Identity Management, and Terms of use.

Introducción al gobierno de identidades

Si tiene algún comentario sobre las características de Gobierno de identidades, haga clic en ¿Tiene algún comentario? en Azure Portal para enviar sus comentarios.If you have any feedback about Identity Governance features, click Got feedback? in the Azure portal to submit your feedback. El equipo revisa periódicamente los comentarios.The team regularly reviews your feedback.

Aunque no existe ninguna solución o recomendación perfecta para cada cliente, las siguientes guías de configuración también proporcionan las directivas de referencia que Microsoft recomienda seguir para garantizar unos recursos más seguros y productivos.While there is no perfect solution or recommendation for every customer, the following configuration guides also provide the baseline policies Microsoft recommends you follow to ensure a more secure and productive workforce.

Apéndice: Roles con menos privilegios para administrar en características de Identity GovernanceAppendix - least privileged roles for managing in Identity Governance features

Se recomienda usar el rol con menos privilegios para realizar tareas administrativas en la gobernanza de identidades.It's a best practice to use the least privileged role to perform administrative tasks in Identity Governance. Igualmente, para realizar estas tareas, se recomienda usar Azure AD PIM para activar un rol según sea necesario.We recommend that you use Azure AD PIM to activate a role as needed to perform these tasks. A continuación se muestran los roles de directorio con menos privilegios para configurar las características de gobernanza de identidades:The following are the least privileged directory roles to configure Identity Governance features:

CaracterísticaFeature Rol con privilegios mínimosLeast privileged role
Administración de derechosEntitlement management Administrador de usuarios (a excepción de la adición de sitios de SharePoint Online a catálogos, que requiere un administrador global)User administrator (with the exception of adding SharePoint Online sites to catalogs, which requires Global administrator)
Revisiones de accesoAccess reviews Administrador de usuarios (con la excepción de las revisiones de acceso de Azure o los roles de Azure AD, que requiere el administrador de roles con privilegios)User administrator (with the exception of access reviews of Azure or Azure AD roles, which requires Privileged role administrator)
Privileged Identity ManagementPrivileged Identity Management Administrador de roles con privilegiosPrivileged role administrator
Términos de usoTerms of use Administrador de seguridad o Administrador de acceso condicionalSecurity administrator or Conditional access administrator

Pasos siguientesNext steps