¿Qué es Microsoft Entra ID Governance?

Microsoft Entra ID Governance es una solución de gobernanza de identidades que permite a las organizaciones mejorar la productividad, reforzar la seguridad y cumplir con más facilidad los requisitos normativos y de cumplimiento. Puede usar Microsoft Entra ID Governance para garantizar automáticamente que las personas adecuadas tengan el acceso adecuado a los recursos adecuados, con automatización de procesos de identidad y acceso, delegación a grupos empresariales y mayor visibilidad. Con las características incluidas en Microsoft Entra ID Governance, junto con las de productos relacionados de Microsoft Entra, Microsoft Security y Microsoft Azure, puede mitigar los riesgos de identidad y acceso mediante la protección, supervisión y auditoría del acceso a los recursos críticos.

En concreto, Microsoft Entra ID Governance ayuda a las organizaciones a abordar estas cuatro preguntas clave, para el acceso entre servicios y aplicaciones tanto locales como en nubes:

  • ¿Qué usuarios deben tener acceso a qué recursos?
  • ¿Qué hacen esos usuarios con el acceso concedido?
  • ¿La organización cuenta con controles para administrar el acceso?
  • ¿Los auditores pueden comprobar que los controles funcionan de manera eficaz?

Con Microsoft Entra ID Governance puede implementar los siguientes escenarios para empleados, socios comerciales y proveedores:

  • Controlar el ciclo de vida de las identidades.
  • Controlar el ciclo de vida del acceso
  • Proteger el acceso con privilegios para la administración

Ciclo de vida de las identidades

La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización) y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral). La administración del ciclo de vida de las identidades es la piedra angular de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a diferentes escalas, es preciso modernizar la infraestructura de administración del ciclo de vida de las identidades en las aplicaciones.

Identity lifecycle

En muchas organizaciones, el ciclo de vida de las identidades de los empleados y otros trabajadores está relacionado con la representación del usuario en un sistema de administración del capital humano (HCM) o de recursos humanos. Las organizaciones deben automatizar el proceso de creación de una identidad para un nuevo empleado que se basa en una señal de ese sistema para que el empleado pueda ser productivo desde el primer día. Además, las organizaciones deben asegurarse de que esas identidades y el acceso se quiten cuando el empleado abandone la organización.

En Microsoft Entra ID Governance, puede automatizar el ciclo de vida de identidad de estas personas mediante lo siguiente:

Las organizaciones también necesitan identidades adicionales, para asociados, proveedores y otros invitados, para permitirles colaborar o tener acceso a los recursos.

En Microsoft Entra ID Governance, puede permitir que los grupos empresariales determinen cuáles de estos invitados deben tener acceso y, durante cuánto tiempo, mediante lo siguiente:

  • administración de derechos, en la que puede especificar las otras organizaciones cuyos usuarios pueden solicitar acceso a los recursos de la organización. Cuando se aprueba una de las solicitudes de esos usuarios, la administración de derechos se agrega automáticamente como un B2B invitado al directorio de la organización y se le asigna el acceso adecuado. Y la administración de derechos quita automáticamente al usuario invitado B2B del directorio de la organización cuando expiran sus derechos de acceso o se revocan.
  • revisiones de acceso, que automatizan las revisiones periódicas de los invitados ya existentes en el directorio de la organización y quitan a esos usuarios del directorio de la organización cuando ya no necesitan acceso.

Para más información, vea ¿Qué es la administración del ciclo de vida de la identidad?

Ciclo de vida de los accesos

Las organizaciones necesitan un proceso que administre el acceso sin limitarse a lo que se aprovisionó inicialmente, cuando se creó la identidad del usuario. Además, las organizaciones empresariales deben ser capaces de escalar sus recursos con eficacia para poder desarrollar y aplicar de forma continuada directivas y controles de acceso.

Access lifecycle

Con Microsoft Entra ID Governance, los departamentos de TI pueden establecer qué derechos de acceso deben tener los usuarios en varios recursos y qué comprobaciones de cumplimiento son necesarias, como la separación de tareas o la eliminación de acceso en el cambio de trabajo. Microsoft Entra ID tiene conectores a cientos de aplicaciones locales y en la nube, y puede integrar las demás aplicaciones de la organización que dependen de grupos de AD, otros directorios locales o bases de datos, que tienen una API SOAP o REST, incluidas SAP, o bien que implementan estándares como SCIM, SAML u OpenID Connect. Cuando un usuario intenta iniciar sesión en una de esas aplicaciones, Microsoft Entra ID impone directivas de acceso condicional. Por ejemplo, las directivas de acceso condicional pueden especificar que se muestren los términos de uso para garantizar que el usuario acepta los términos antes de acceder a una aplicación. Para más información, vea control del acceso a las aplicaciones de la entorno, incluido cómo definir directivas de la organización para gobernar el acceso a las aplicaciones, integración de aplicaciones e implementación de directivas.

Los cambios de acceso entre aplicaciones y grupos se pueden automatizar en función de los cambios de atributo. Los flujos de trabajo del ciclo de vida de Microsoft Entra y la administración de derechos de Microsoft Entra agregan y quitan automáticamente usuarios de grupos o paquetes de acceso, para actualizar el acceso a aplicaciones y recursos. Los usuarios también se pueden cambiar cuando su condición dentro de la organización cambia a diferentes grupos e incluso se pueden quitar por completo de todos los grupos.

Las organizaciones que anteriormente hayan usado un producto de gobernanza de identidades local pueden migrar su modelo de roles de la organización a Microsoft Entra ID Governance.

Además, el equipo de TI puede delegar decisiones de administración de acceso a los responsables de la toma de decisiones empresariales. Por ejemplo, los empleados que desean acceder a los datos confidenciales de los clientes en la aplicación de marketing de una empresa en Europa podrían necesitar la aprobación de su jefe, un responsable de departamento o propietario de recursos, y un responsable de riesgos de seguridad. La administración de derechos le permite definir cómo los usuarios solicitan acceso en los paquetes de pertenencias a grupos y equipos, roles de aplicación y roles de SharePoint Online, y aplicar comprobaciones de separación de responsabilidades en los paquetes de acceso.

Las organizaciones también pueden controlar qué usuarios invitados tienen acceso, incluido a las aplicaciones locales. Después, estos derechos de acceso se pueden revisar periódicamente mediante revisiones de acceso de Microsoft Entra recurrentes para volver a certificar el acceso.

Ciclo de vida de los accesos con privilegios

El control del acceso con privilegios es una parte fundamental de la gobernanza de identidades, especialmente si se tienen en cuenta las consecuencias que podría tener para la organización un uso indebido de los derechos de administrador. Es preciso controlar las cuentas y los derechos de acceso con privilegios de los empleados, proveedores y contratistas que tienen derechos administrativos.

Privileged access lifecycle

Microsoft Entra Privileged Identity Management (PIM) proporciona controles adicionales que adaptados para proteger los derechos de acceso de los recursos en Microsoft Entra, Azure y otros servicios en línea de Microsoft y otras aplicaciones. El acceso “cuando es necesario” y las funcionalidades de envío de alertas cuando cambia un rol, disponibles en PIM de Microsoft Entra ID, junto con la autenticación multifactor y el acceso condicional, ofrecen un conjunto completo de controles de gobernanza que ayudan a proteger los recursos de la compañía (roles de recursos de directorio, de Azure y de Microsoft 365). Como sucede con otras formas de acceso, las organizaciones pueden usar las revisiones de acceso para configurar nuevas certificaciones de acceso periódicas para todos los usuarios con roles de administrador con privilegios.

Requisitos de licencia

El uso de esta característica requiere licencias de Microsoft Entra ID Governance. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.

Introducción

Consulte los requisitos previos antes de configurar Microsoft Entra ID para la gobernanza de identidades. A continuación, visite el panel de gobernanza en el Centro de administración de Microsoft Entra para empezar a usar la administración de derechos, las revisiones de acceso, los flujos de trabajo del ciclo de vida y Privileged Identity Management.

También hay tutoriales para administrar el acceso a los recursos en la administración de derechos, incorporar usuarios externos a Microsoft Entra ID mediante un proceso de aprobación y controlar el acceso a las aplicaciones existentes y a los usuarios existentes de las aplicaciones.

Aunque cada organización puede tener sus propios requisitos únicos, las siguientes guías de configuración también proporcionan las directivas de línea base que Microsoft recomienda seguir para garantizar una fuerza de trabajo más segura y productiva.

Es posible que también quiera interactuar con uno de los servicios y asociados de integración de Microsoft para planear la implementación o integrarse con las aplicaciones y otros sistemas de su entorno.

Si tiene algún comentario sobre las características de Identity Governance, seleccione ¿Tiene comentarios? en el Centro de administración de Microsoft Entra para enviar sus comentarios. El equipo revisa periódicamente los comentarios.

Simplificación de tareas de gobernanza de identidades con automatización

Una vez que haya empezado a usar estas características de gobernanza de identidades, puede automatizar fácilmente escenarios comunes de gobernanza de identidades. En la tabla siguiente se muestra cómo empezar a trabajar con la automatización en cada escenario:

Escenario para automatizar Guía de automatización
Creación, actualización y eliminación de cuentas de usuario de AD y Microsoft Entra automáticamente para los empleados Planeamiento del aprovisionamiento de usuarios de RR. HH. en la nube para Microsoft Entra
Actualización de la pertenencia de un grupo, en función de los cambios en los atributos del usuario miembro Creación de un grupo dinámico
Asignación de licencias Licencias basadas en grupos
Agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en función de los cambios en los atributos del usuario Configuración de una directiva de asignación automática para un paquete de acceso en la administración de derechos
Agregar y quitar las pertenencias a grupos de un usuario, los roles de aplicación y los roles de sitio de SharePoint, en una fecha específica Configuración del ciclo de vida para un paquete de acceso en la administración de derechos
Ejecución de flujos de trabajo personalizados cuando un usuario solicita o recibe acceso, o se quita el acceso Desencadenamiento de Logic Apps en la administración de derechos
Periódicamente, se revisan las pertenencias de invitados en grupos de Microsoft y Teams, y se quitan las pertenencias de invitado denegadas Creación de una revisión de acceso
Eliminación de cuentas de invitado denegadas por un revisor Revisión y eliminación de usuarios externos que ya no tienen acceso a los recursos
Eliminación de cuentas de invitado que no tienen asignaciones de paquetes de acceso Administración del ciclo de vida de los usuarios externos
Aprovisionamiento de usuarios en aplicaciones locales y en la nube que tienen sus propios directorios o bases de datos Configuración del aprovisionamiento automático de usuarios con asignaciones de usuarios o filtros de ámbito
Otras tareas programadas Automatización de tareas de gobernanza de identidades con Azure Automation y Microsoft Graph mediante el módulo de PowerShell Microsoft.Graph.Identity.Governance

Apéndice: Roles con menos privilegios para administrar en características de Identity Governance

Se recomienda usar el rol con menos privilegios para realizar tareas administrativas en la gobernanza de identidades. Igualmente, para realizar estas tareas, se recomienda usar Microsoft Entra PIM para activar un rol según sea necesario. A continuación se muestran los roles de directorio con menos privilegios para configurar las características de gobernanza de identidades:

Característica Rol con privilegios mínimos
Administración de derechos Administrador de Identity Governance
Revisiones de acceso Administrador de usuarios (excepto las revisiones de acceso de los roles de Azure o Microsoft Entra, que requieren el administrador de roles con privilegios)
Privileged Identity Management Administrador de roles con privilegios
Términos de uso Administrador de seguridad o Administrador de acceso condicional

Nota:

El rol con privilegios mínimos para la administración de derechos ha cambiado del rol Administrador de usuarios al rol Administrador de gobernanza de identidades.

Pasos siguientes