¿Qué es Azure AD Identity Governance?What is Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Governance le permite equilibrar la productividad de los empleados y la seguridad que necesita su organización con la visibilidad y los procesos adecuados.Azure Active Directory (Azure AD) Identity Governance allows you to balance your organization's need for security and employee productivity with the right processes and visibility. Proporciona funcionalidades que garantizan que las personas adecuadas tienen el acceso adecuado a los recursos adecuados.It provides you with capabilities to ensure that the right people have the right access to the right resources. Estas características de Azure AD y Enterprise Mobility + Security y relacionadas permiten reducir el riesgo del acceso al proteger, supervisar y auditar el acceso a los recursos críticos, al mismo tiempo que garantizan la productividad de empleados y asociados empresariales.These and related Azure AD and Enterprise Mobility + Security features allows you to mitigate access risk by protecting, monitoring, and auditing access to critical assets -- while ensuring employee and business partner productivity.

Identity Governance ofrece a las organizaciones la posibilidad de realizar las siguientes tareas con empleados, asociados empresariales, proveedores, servicios y aplicaciones tanto en el entorno local como en la nube:Identity Governance give organizations the ability to do the following tasks across employees, business partners and vendors, and across services and applications both on-premises and in clouds:

  • Controlar el ciclo de vida de las identidades.Govern the identity lifecycle
  • Controlar el ciclo de vida de los accesos.Govern access lifecycle
  • Proteger el acceso con privilegios para la administraciónSecure privileged access for administration

Está especialmente diseñado para ayudar a las organizaciones a abordar estas cuatro preguntas claves:Specifically, it is intended to help organizations address these four key questions:

  • ¿Qué usuarios deben tener acceso a qué recursos?Which users should have access to which resources?
  • ¿Qué hacen esos usuarios con el acceso concedido?What are those users doing with that access?
  • ¿La organización cuenta con controles eficaces para administrar el acceso?Are there effective organizational controls for managing access?
  • ¿Los auditores pueden comprobar qué controles funcionan?Can auditors verify that the controls are working?

Ciclo de vida de las identidadesIdentity lifecycle

La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización)Identity Governance helps organizations achieve a balance between productivity - How quickly can a person have access to the resources they need, such as when they join my organization? y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral).And security - How should their access change over time, such as due to changes to that person's employment status? La administración del ciclo de vida de las identidades es la piedra angular de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a diferentes escalas, es preciso modernizar la infraestructura de administración del ciclo de vida de las identidades en las aplicaciones.Identity lifecycle management is the foundation for Identity Governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

Ciclo de vida de las identidades

En muchas organizaciones, el ciclo de vida de las identidades de los empleados está relacionado con la representación del usuario en un sistema HCM (administración del capital humano).For many organizations, identity lifecycle for employees is tied to the representation of that user in an HCM (human capital management) system. Azure AD Premium mantiene automáticamente las identidades de usuario de las personas representadas en Workday y SuccessFactors, tanto en Active Directory como en Azure Active Directory, tal y como se describe en la guía Planeamiento de la aplicación de RR. HH. en la nube para el aprovisionamiento de usuarios de Azure Active Directory.Azure AD Premium automatically maintains user identities for people represented in Workday and SuccessFactors in both Active Directory and Azure Active Directory, as described in the cloud HR application to Azure Active Directory user provisioning planning guide. Azure AD Premium incluye también Microsoft Identity Manager, que permite importar registros desde los sistemas administradores de conexiones híbridas locales, como SAP, Oracle eBusiness y Oracle PeopleSoft.Azure AD Premium also includes Microsoft Identity Manager, which can import records from on-premises HCM systems such as SAP HCM, Oracle eBusiness, and Oracle PeopleSoft.

Cada vez son más los escenarios en los que es preciso colaborar con personas que están fuera de la organización.Increasingly, scenarios require collaboration with people outside your organization. La colaboración B2B de Azure AD permite compartir de forma segura las aplicaciones y servicios corporativos con usuarios invitados y asociados externos de cualquier organización, a la vez que mantiene el control sobre sus propios datos corporativos.Azure AD B2B collaboration enables you to securely share your organization's applications and services with guest users and external partners from any organization, while maintaining control over your own corporate data. La administración de derechos de Azure AD le permite seleccionar los usuarios de la organización que tienen permiso para solicitar acceso y que se pueden agregar como invitados B2B al directorio de la organización; también garantiza que estos invitados se eliminen cuando ya no necesiten acceso.Azure AD entitlement management enables you to select which organization's users are allowed to request access and be added as B2B guests to your organization's directory, and ensures that these guests are removed when they no longer need access.

Ciclo de vida de los accesosAccess lifecycle

Las organizaciones necesitan un proceso que administre el acceso sin limitarse a lo que se aprovisionó inicialmente, cuando se creó la identidad del usuario.Organizations need a process to manage access beyond what was initially provisioned for a user when that user's identity was created. Además, las organizaciones empresariales deben ser capaces de escalar sus recursos con eficacia para poder desarrollar y aplicar de forma continuada directivas y controles de acceso.Furthermore, enterprise organizations need to be able to scale efficiently to be able to develop and enforce access policy and controls on an ongoing basis.

Ciclo de vida de los accesos

Normalmente, el departamento de TI delega las decisiones sobre la aprobación de los accesos en los responsables de la toma de decisiones de la empresa.Typically, IT delegates access approval decisions to business decision makers. Por otro lado, el departamento de TI puede involucrar él mismo a los usuarios.Furthermore, IT can involve the users themselves. Por ejemplo, los usuarios que tienen acceso a los datos confidenciales de los clientes en una aplicación de marketing de una compañía en Europa tienen que conocer las directivas de la compañía.For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. Es posible que los usuarios invitados no conozcan los requisitos de administración de los datos de una organización a la que han sido invitados.Guest users may be unaware of the handling requirements for data in an organization to which they have been invited.

Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos utilizando determinadas tecnologías, como los grupos dinámicos, junto con el aprovisionamiento de usuarios en aplicaciones SaaS o aplicaciones integradas con SCIM.Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS apps or apps integrated with SCIM. Las organizaciones también pueden controlar qué usuarios invitados tienen acceso a las aplicaciones locales.Organizations can also control which guest users have access to on-premises applications. Estos derechos de acceso se pueden revisar periódicamente utilizando revisiones de acceso de Azure AD recurrentes.These access rights can then be regularly reviewed using recurring Azure AD access reviews. La administración de derechos de Azure AD también le permite definir cómo los usuarios solicitan acceso en los paquetes de pertenencias a grupos y equipos, roles de aplicación y roles de SharePoint Online.Azure AD entitlement management also enables you to define how users request access across packages of group and team memberships, application roles, and SharePoint Online roles.

Cuando un usuario intenta acceder a las aplicaciones, Azure AD impone directivas de acceso condicional.When a user attempts to access applications, Azure AD enforces Conditional Access policies. Por ejemplo, las directivas de acceso condicional pueden especificar que se muestren los términos de uso para garantizar que el usuario acepta los términos antes de acceder a una aplicación.For example, Conditional Access policies can include displaying a terms of use and ensuring the user has agreed to those terms prior to being able to access an application.

Ciclo de vida de los accesos con privilegiosPrivileged access lifecycle

Históricamente, otros proveedores concebían el acceso con privilegios como una funcionalidad independiente de la gobernanza de identidades.Historically, privileged access has been described by other vendors as a separate capability from Identity Governance. Sin embargo, en Microsoft, creemos que el control del acceso con privilegios constituye una parte fundamental de la gobernanza de identidades, especialmente si tenemos en cuenta las consecuencias que podría tener para la organización un uso indebido con los derechos de administrador.However, at Microsoft, we think governing privileged access is a key part of Identity Governance -- especially given the potential for misuse associated with those administrator rights can cause to an organization. Es preciso controlar a los empleados, los proveedores y los contratistas que tienen derechos administrativos.The employees, vendors, and contractors that take on administrative rights need to be governed.

Ciclo de vida de los accesos con privilegios

Azure AD Privileged Identity Management (PIM) dispone de controles adicionales que están adaptados para proteger los derechos de acceso de los recursos en Azure AD, Azure y otros servicios en línea de Microsoft.Azure AD Privileged Identity Management (PIM) provides additional controls tailored to securing access rights for resources, across Azure AD, Azure, and other Microsoft Online Services. El acceso Just-In-Time y las funcionalidades de envío de alertas cuando cambia un rol disponibles en Azure AD PIM, junto con la autenticación multifactor y el acceso condicional, ofrecen un conjunto completo de controles de gobernanza que ayudan a proteger los recursos de la compañía (roles de recursos de directorio, de Azure y de Microsoft 365).The just-in-time access, and role change alerting capabilities provided by Azure AD PIM, in addition to multi-factor authentication and Conditional Access, provide a comprehensive set of governance controls to help secure your company's resources (directory, Microsoft 365, and Azure resource roles). Al igual que con otras formas de acceso, las organizaciones pueden usar las revisiones de acceso para configurar nuevas certificaciones de acceso periódicas para todos los usuarios con roles de administrador.As with other forms of access, organizations can use access reviews to configure recurring access recertification for all users in administrator roles.

Funcionalidades de gobernanza en otras características de Azure ADGovernance capabilities in other Azure AD features

Además de las características mencionadas anteriormente, las características adicionales de Azure AD que se usan con frecuencia para proporcionar escenarios de gobernanza de identidad incluyen:In addition to the features listed above, additional Azure AD features frequently used to provide identity governance scenarios include:

CapacidadCapability EscenarioScenario CaracterísticaFeature
Ciclo de vida de la identidad (empleados)Identity lifecycle (employees) Los administradores pueden habilitar el aprovisionamiento de cuentas de usuario de RR. HH. en la nube de WorkDay o SuccessFactors, o de recursos humanos locales.Admins can enable user account provisioning from Workday or SuccessFactors cloud HR, or on-premises HR. Aprovisionamiento de usuarios de RR. HH. en la nube en Azure ADcloud HR to Azure AD user provisioning
Ciclo de vida de la identidad (invitados)Identity lifecycle (guests) Los administradores pueden habilitar el autoservicio de incorporación de usuarios invitados desde otro inquilino de Azure AD, la federación directa, el código de acceso de un solo uso (OTP) o cuentas de Google.Admins can enable self-service guest user onboarding from another Azure AD tenant, direct federation, One Time Passcode (OTP) or Google accounts. Los usuarios invitados se aprovisionan y desaprovisionan automáticamente de acuerdo con las directivas de ciclo de vida.Guest users are automatically provisioned and deprovisioned subject to lifecycle policies. Administración de derechos mediante B2BEntitlement management using B2B
Administración de derechosEntitlement management Los propietarios de recursos pueden crear paquetes de acceso que contengan aplicaciones, equipos, Azure AD y grupos de Microsoft 365, y sitios de SharePoint Online.Resource owners can create access packages containing apps, Teams, Azure AD and Microsoft 365 groups, and SharePoint Online sites. Administración de derechosEntitlement management
Solicitudes de accesoAccess requests Los usuarios finales pueden solicitar la pertenencia a un grupo o el acceso a las aplicaciones.End users can request group membership or application access. Los usuarios finales, incluidos los invitados de otras organizaciones, pueden solicitar acceso a los paquetes.End users, including guests from other organizations, can request access to access packages. Administración de derechosEntitlement management
Flujo de trabajoWorkflow Los propietarios de recursos pueden definir los aprobadores y aprobadores de escalación para las solicitudes de acceso y aprobadores para las de activación de rol.Resource owners can define the approvers and escalation approvers for access requests and approvers for role activation requests. Administración de derechos y PIMEntitlement management and PIM
Administración de directivas y rolesPolicy and role management El administrador puede definir directivas de acceso condicional para el acceso en tiempo de ejecución a las aplicaciones.Admin can define conditional access policies for run-time access to applications. Los propietarios de recursos pueden definir directivas para el acceso del usuario mediante paquetes de acceso.Resource owners can define policies for user's access via access packages. Directivas de acceso condicional y de administración de derechosConditional access and Entitlement management policies
Certificación de accesoAccess certification Los administradores pueden habilitar la certificación de acceso recurrente para: aplicaciones SaaS o pertenencias a grupos en la nube, asignaciones de roles de Azure AD o de recursos de Azure.Admins can enable recurring access re-certification for: SaaS apps or cloud group memberships, Azure AD or Azure Resource role assignments. Quita automáticamente el acceso a los recursos, bloquea el acceso de invitados y elimina cuentas de invitado.Automatically remove resource access, block guest access and delete guest accounts. Revisiones de acceso, también en PIMAccess reviews, also surfaced in PIM
Cumplimiento y aprovisionamientoFulfillment and provisioning Aprovisionamiento y desaprovisionamiento automáticos en las aplicaciones conectadas con Azure AD, también con SCIM y en los sitios de SharePoint Online.Automatic provisioning and deprovisioning into Azure AD connected apps, including via SCIM and into SharePoint Online sites. aprovisionamiento de usuariosuser provisioning
Informes y análisisReporting and analytics Los administradores pueden recuperar los registros de auditoría de la actividad reciente de aprovisionamiento e inicio de sesión de los usuarios.Admins can retrieve audit logs of recent user provisioning and sign on activity. Integración con Azure Monitor y "quién tenga acceso" mediante los paquetes de acceso.Integration with Azure Monitor and 'who has access' via access packages. Informes y supervisión de Azure ADAzure AD reports and monitoring
Acceso con privilegiosPrivileged access Flujos de trabajo de aprobación, alertas y acceso programado y Just-In-Time para los roles de Azure AD (roles personalizados incluidos) y de los recursos de Azure.Just-in-time and scheduled access, alerting, approval workflows for Azure AD roles (including custom roles) and Azure Resource roles. Azure AD PIMAzure AD PIM
AuditoríaAuditing Se puede avisar a los administradores de la creación de cuentas de administrador.Admins can be alerted of creation of admin accounts. Alertas de Azure AD PIMAzure AD PIM alerts

IntroducciónGetting started

Consulte la pestaña Introducción de Identity Governance de Azure Portal para comenzar a usar la administración de derechos, las revisiones de acceso, Privileged Identity Management y los términos de uso.Check out the Getting started tab of Identity Governance in the Azure portal to start using entitlement management, access reviews, Privileged Identity Management, and Terms of use.

Introducción al gobierno de identidades

Si tiene algún comentario sobre las características de Gobierno de identidades, haga clic en ¿Tiene algún comentario? en Azure Portal para enviar sus comentarios.If you have any feedback about Identity Governance features, click Got feedback? in the Azure portal to submit your feedback. El equipo revisa periódicamente los comentarios.The team regularly reviews your feedback.

Aunque no existe ninguna solución o recomendación perfecta para cada cliente, las siguientes guías de configuración también proporcionan las directivas de referencia que Microsoft recomienda seguir para garantizar unos recursos más seguros y productivos.While there is no perfect solution or recommendation for every customer, the following configuration guides also provide the baseline policies Microsoft recommends you follow to ensure a more secure and productive workforce.

Apéndice: Roles con menos privilegios para administrar en características de Identity GovernanceAppendix - least privileged roles for managing in Identity Governance features

Se recomienda usar el rol con menos privilegios para realizar tareas administrativas en la gobernanza de identidades.It's a best practice to use the least privileged role to perform administrative tasks in Identity Governance. Igualmente, para realizar estas tareas, se recomienda usar Azure AD PIM para activar un rol según sea necesario.We recommend that you use Azure AD PIM to activate a role as needed to perform these tasks. A continuación se muestran los roles de directorio con menos privilegios para configurar las características de gobernanza de identidades:The following are the least privileged directory roles to configure Identity Governance features:

CaracterísticaFeature Rol con privilegios mínimosLeast privileged role
Administración de derechosEntitlement management Administrador de usuarios (a excepción de la adición de sitios de SharePoint Online a catálogos, que requiere un administrador global)User administrator (with the exception of adding SharePoint Online sites to catalogs, which requires Global administrator)
Revisiones de accesoAccess reviews Administrador de usuarios (con la excepción de las revisiones de acceso de Azure o los roles de Azure AD, que requiere el administrador de roles con privilegios)User administrator (with the exception of access reviews of Azure or Azure AD roles, which requires Privileged role administrator)
Privileged Identity ManagementPrivileged Identity Management Administrador de roles con privilegiosPrivileged role administrator
Términos de usoTerms of use Administrador de seguridad o Administrador de acceso condicionalSecurity administrator or Conditional access administrator

Pasos siguientesNext steps