Creación de una revisión de acceso de recursos de Azure y roles de Azure AD en PIM

La necesidad de acceso a recursos de Azure y roles de Azure AD con privilegios por parte de los empleados cambia con el tiempo. Para reducir el riesgo asociado con las asignaciones de roles obsoletas, debe revisar el acceso periódicamente. Azure Active Directory (Azure AD) Privileged Identity Management (PIM) se puede usar para crear revisiones de acceso para obtener acceso con privilegios a los recursos de Azure y a los roles de Azure AD. También puede configurar revisiones de acceso periódicas que se produzcan automáticamente. En este artículo se describe cómo crear una o varias revisiones de acceso.

Requisitos previos

Necesita una licencia de Azure AD Premium P2 para usar esta característica. A fin de obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de Azure AD. Para más información sobre las licencias para PIM, consulte Requisitos de licencia para usar Privileged Identity Management.

Para crear revisiones de acceso en los recursos de Azure, es preciso tener asignado los roles de Azure Propietario o Administrador de acceso de usuario para los recursos de Azure. Para crear revisiones de acceso para los roles de Azure AD, debe tener asignado los roles de Administrador global o Administrador de roles con privilegios.

Nota:

En la versión preliminar pública, se puede limitar el ámbito de una revisión de acceso a las entidades de servicio con acceso a Azure AD y roles de recursos de Azure con una edición de Azure Active Directory Premium P2 activa en el inquilino. Después de la disponibilidad general, es posible que se requieran licencias adicionales.

Crear revisiones del acceso

  1. Inicie sesión en Azure Portal con un usuario que esté asignado a uno de los roles necesarios.

  2. Seleccione Identity Governance.

  3. En Roles de Azure AD, seleccione Roles de Azure AD en Privileged Identity Management. En Recursos de Azure, seleccione Recursos de Azure en Privileged Identity Management.

    Select Identity Governance in Azure Portal screenshot.

  4. En Roles de Azure AD, vuelva a seleccionar Roles de Azure AD en Administrar. En Recursos de Azure, seleccione la suscripción que desea administrar.

  5. En Administrar, seleccione Revisiones de acceso y, luego, elija Nuevapara crear una nueva revisión de acceso.

    Azure AD roles - Access reviews list showing the status of all reviews screenshot.

  6. Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.

    Create an access review - Review name and description screenshot.

  7. Establezca un valor para Fecha de inicio. De forma predeterminada, una revisión de acceso ocurre una vez, se inicia a la misma hora en que se crea y finaliza en un mes. Puede cambiar las fechas de inicio y de finalización para hacer que una revisión de acceso se inicie en el futuro, transcurridos tantos días como desee.

    Start date, frequency, duration, end, number of times, and end date screenshot.

  8. Para realizar que la revisión de acceso sea periódica, cambie la opción Frecuencia de Una vez a Semanal, Mensual, Trimestral, Anual o Semestral. Use el control deslizante o el cuadro de texto Duración para definir cuántos días se abrirá cada revisión de la serie periódica para que los revisores escriban datos. Por ejemplo, la duración máxima que puede establecer para una revisión mensual es 27 días, con el fin de evitar la superposición de revisiones.

  9. Use el valor Fin para especificar cómo finalizar la serie de revisión de acceso periódica. La serie puede terminar de tres formas: se ejecuta continuamente para iniciar revisiones indefinidamente, hasta una fecha concreta, o hasta que se haya completado un número definido de veces. Cualquier administrador que pueda administrar revisiones puede detener la serie después de su creación cambiando la fecha en Configuración, de manera que termine en esa fecha.

  10. En la sección Ámbito de los usuarios, seleccione el ámbito de la revisión. En Roles de Azure AD, la primera opción de ámbito es Usuarios y grupos. En esta selección se incluirán los usuarios asignados directamente y los grupos a los que se pueden asignar roles. En Roles de recursos de Azure, el primer ámbito será Usuarios. Los grupos asignados a los roles de recursos de Azure se expanden para mostrar asignaciones de usuario transitivas en la revisión con esta selección. También puede seleccionar Entidades de servicio para examinar las cuentas de máquina con acceso directo al recurso de Azure o al rol de Azure AD.

    Users scope to review role membership of screenshot.

  11. En Pertenencia a rol de revisión, seleccione el recurso de Azure o los roles de Azure AD con privilegios que desea revisar.

    Nota:

    Si selecciona más de un rol, se crearán varias revisiones de acceso. Por ejemplo, al seleccionar cinco roles, se crearán cinco revisiones de acceso independientes.

    Review role memberships screenshot.

  12. En el tipo de asignación, defina el ámbito de la revisión según la asignación de la entidad de seguridad al rol. Elija Eligible assignments only (Solo asignaciones aptas) para revisar las asignaciones aptas (independientemente del estado de activación al crear la revisión) o Solo asignaciones activas para revisar las asignaciones activas. Elija All active and eligible assignments (Todas las asignaciones activas y aptas) para revisar todas las asignaciones, independientemente del tipo.

    Reviewers list of assignment types screenshot.

  13. En la sección Revisores, seleccione una o más personas para que revisen a todos los usuarios. También puede seleccionar que los miembros revisen su propio acceso.

    Reviewers list of selected users or members (self)

    • Usuarios seleccionados: use esta opción para designar un usuario específico para completar la revisión. Esta opción está disponible independientemente del ámbito de la revisión y los revisores seleccionados pueden revisar usuarios, grupos y entidades de servicio.
    • Miembros (por sí mismos) : use esta opción para hacer que los usuarios revisen sus propias asignaciones de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. En Roles de Azure AD, los grupos a los que se pueden asignar roles no formarán parte de la revisión cuando se selecciona esta opción.
    • Administrador: use esta opción para que el administrador del usuario revise su asignación de roles. Esta opción solo está disponible si el ámbito de la revisión es Usuarios y grupos o Usuarios. Tras seleccionar Administrador, también tendrá la opción de especificar un revisor de reserva. Se pide a los revisores de reserva que revisen a un usuario cuando este no tiene ningún administrador especificado en el directorio. En Roles de Azure AD, el revisor de reserva examinará los grupos a los que se pueden asignar roles si hay alguno seleccionado.

Configuración de finalización

  1. Para especificar lo que sucede una vez finalizada una revisión, expanda la sección Configuración de finalización.

    Upon completion settings to auto apply and should review not respond screenshot.

  2. Si desea quitar automáticamente el acceso para los usuarios que se han denegado, establezca Aplicar automáticamente los resultados al recurso en Habilitar. Si desea aplicar manualmente los resultados cuando se complete la revisión, establezca el conmutador en Deshabilitar.

  3. Use la lista If reviewer don't respond (Si el revisor no responde) para especificar lo que ocurre con los usuarios a los que el revisor no ha revisado dentro del período de revisión. Este valor no afecta a los usuarios que los revisores revisaron.

    • Sin cambios: dejar el acceso del usuario sin cambios
    • Quitar acceso: quitar el acceso del usuario
    • Aprobar acceso: aprobar el acceso del usuario
    • Aceptar recomendaciones: aceptar la recomendación del sistema sobre la denegación o aprobación del acceso continuo del usuario
  4. Use la lista Action to apply on denied guest users (Acción que se aplica a los usuarios invitados denegados) para especificar lo que les sucede a los usuarios invitados denegados. Este valor no se puede editar para las revisiones de los recursos de Azure y los roles de Azure AD en este momento; los usuarios invitados, al igual que todos los usuarios, siempre perderán el acceso al recurso si se deniegan.

    Upon completion settings - Action to apply on denied guest users screenshot.

  5. Puede enviar notificaciones a usuarios o grupos adicionales para recibir actualizaciones de finalización de las revisiones. Esta característica permite que partes interesadas que no sean el creador de la revisión reciban actualizaciones sobre el progreso de la revisión. Para usar esta característica, seleccione Seleccionar usuarios o grupos y agregue un usuario o grupo adicional cuando quiera recibir el estado de finalización.

    Upon completion settings - Add additional users to receive notifications screenshot.

Configuración avanzada

  1. Para especificar configuraciones adicionales, expanda la sección Configuración avanzada.

    Advanced settings for show recommendations, require reason on approval, mail notifications, and reminders screenshot.

  2. Establezca Mostrar recomendaciones en Habilitar para mostrar las recomendaciones del sistema de los revisores según la información del acceso del usuario.

  3. Establezca Requerir motivo de la aprobación en Habilitar para requerir que el revisor proporcione un motivo para la aprobación.

  4. Establezca Notificaciones de correo en Habilitarpara que Azure AD envíe notificaciones de correo electrónico a los revisores cuando se inicia una revisión de acceso y a los administradores cuando se complete.

  5. Establezca Avisos en Habilitar para que Azure AD envíe recordatorios de revisiones de acceso en curso a los revisores que no hayan completado su revisión.

  6. El contenido del correo electrónico enviado a los revisores se genera automáticamente en función de los detalles de la revisión, como el nombre de la revisión, el nombre del recurso, la fecha de vencimiento, etc. Si necesita una forma de comunicar más información, como instrucciones adicionales o información de contacto, puede especificar estos detalles en el correo electrónico de contenido adicional para el revisor que se incluirá en la invitación y en los correos electrónicos de recordatorio enviados a los revisores asignados. La sección resaltada a continuación es donde se mostrará esta información.

    Content of the email sent to reviewers with highlights

Administración de la revisión de acceso

En la página Información general de la revisión de acceso, puede seguir el progreso de los revisores a medida que completan las revisiones. Los derechos de acceso no se cambian en el directorio hasta que la revisión finaliza. A continuación se muestra una captura de pantalla de la página de información general de las revisiones del acceso de recursos de Azure y roles de Azure AD.

Access reviews overview page showing the details of the access review for Azure AD roles screenshot.

Si se trata de una revisión puntual, una vez finalizado el período de revisión de acceso o cuando el administrador detenga la revisión de acceso, siga los pasos que encontrará en el artículo sobre cómo realizar una revisión de los recursos de Azure y los roles de Azure AD para ver los resultados y aplicarlos.

Para administrar una serie de revisiones de acceso, vaya a la revisión de acceso y verá los próximos eventos en Revisiones programadas; ahí podrá editar la fecha de finalización o agregar o quitar revisores según corresponda.

Según las selecciones de la Configuración de finalización, la aplicación automática se ejecutará después de la fecha de finalización de la revisión o cuando se detenga manualmente la revisión. El estado de la revisión cambiará de Completado a estados intermedios como Aplicando y, por último, a Aplicado. Debería ver que los usuarios denegados, si es que los hay, se eliminan de los roles en unos minutos.

Importante

Si se asigna un grupo a roles de recursos de Azure, el revisor del rol de recursos de Azure ve la lista expandida de los usuarios indirectos con acceso asignado a través de un grupo anidado. Si un revisor deniega un miembro de un grupo anidado, ese resultado de denegación no se aplicará correctamente al rol, ya que el usuario no se quita del grupo anidado. En Roles de Azure AD, los grupos a los que se pueden asignar roles se mostrarán en la revisión, en lugar de expandir sus miembros y un revisor aprueba o deniega el acceso a todo el grupo.

Actualización de la revisión de acceso

Una vez iniciadas una o varias revisiones de acceso, puede modificar o actualizar la configuración de las revisiones de acceso existentes. Hay algunos escenarios comunes que se deben tener en cuenta:

  • Agregar y quitar revisores: al actualizar las revisiones de acceso, puede optar por agregar un revisor de reserva, además del revisor principal. Los revisores principales se pueden quitar al actualizar una revisión de acceso. Sin embargo, los revisores de reserva no se pueden eliminar por diseño.

    Nota:

    Los revisores de reserva solo se pueden agregar cuando el tipo de revisor es administrador. Los revisores principales se pueden agregar cuando el tipo de revisor es un usuario seleccionado.

  • Recordar a los revisores: al actualizar las revisiones de acceso, puede optar por habilitar la opción de recordatorio en Configuración avanzada. Tras las habilitación, los usuarios recibirán una notificación por correo electrónico en el punto medio del período de revisión, independientemente de que hayan completado la revisión, o no.

    Screenshot of the reminder option under access reviews settings.

  • Actualizar la configuración: si una revisión de acceso es periódica, hay valores independientes en "Actual" y en "Serie". La actualización de los valores de "Actual" solo aplicará los cambios en la revisión de acceso actual mientras que la actualización de los valores de "Serie" actualizará la configuración de toda la periodicidad futura.

    Screenshot of the settings page under access reviews.

Pasos siguientes