Configuración de roles de Azure AD en Privileged Identity Management

Un administrador de roles con privilegios puede personalizar Privileged Identity Management (PIM) en su organización de Azure Active Directory (Azure AD); así, por ejemplo, puede cambiar la experiencia de un usuario que va a activar una asignación de roles válida. Para obtener información sobre los eventos de PIM que desencadenan notificaciones y qué administradores las reciben, consulte Notificaciones por correo electrónico en Privileged Identity Management.

Apertura de la configuración de roles

Siga estos pasos para abrir la configuración de un rol de Azure AD.

  1. Inicie sesión en Azure Portal con un usuario en el rol Administrador de roles con privilegios.

  2. Abra Azure AD Privileged Identity Management>Roles de Azure AD>Configuración de roles.

    Role settings page listing Azure AD roles

  3. Seleccione el rol cuya configuración desea configurar.

    Role setting details page listing several assignment and activation settings

  4. Seleccione Editar para abrir la página Configuración de roles.

    Edit role settings page with options to update assignment and activation settings

    En el panel Configuración de roles de cada rol, hay varias opciones que puede configurar.

Duración de la asignación

Puede elegir entre dos opciones de duración de asignación para cada tipo de asignación (Apto y Activo) cuando se configuran las opciones para un rol. Estas opciones se convierten en la duración máxima predeterminada cuando se asigna un usuario al rol en Privileged Identity Management.

Puede elegir uno de estas opciones de duración de asignación tipo Apto:

Configuración Descripción
Allow permanent eligible assignment (Permitir la asignación apta permanente) Los administradores globales y los administradores de roles con privilegios pueden asignar una asignación elegible permanente.
Hacer que las asignaciones elegibles expiren después de Los administradores globales y los administradores de roles con privilegios pueden requerir que todas las asignaciones elegibles tengan una fecha de inicio y finalización especificada.

Además, puede elegir una de estas opciones de duración de asignación tipo Activo:

Configuración Descripción
Allow permanent active assignment (Permitir la asignación activa permanente) Los administradores globales y los administradores de roles con privilegios pueden asignar una asignación activa permanente.
Hacer que las asignaciones activas expiren después de Los administradores globales y los administradores de roles con privilegios pueden requerir que todas las asignaciones activas tengan una fecha de inicio y finalización especificada.

Nota:

Los administradores globales y los administradores de roles con privilegios pueden renovar todas las asignaciones que tienen una fecha de finalización específica. Además, los usuarios pueden iniciar solicitudes de autoservicio para ampliar o renovar las asignaciones de roles.

Requiere autenticación multifactor

Privileged Identity Management proporciona la obligatoriedad de la autenticación multifactor de Azure AD en la activación y en la asignación activa.

En la activación

Puede exigir que los usuarios que sean elegibles para un rol demuestren quiénes están usando Azure AD Multi-Factor Authentication antes de que se puedan activar. La autenticación multifactor garantiza que el usuario sea quien dice ser con certeza razonable. Aplicar esta opción protege los recursos críticos en situaciones en las que es posible que la cuenta de usuario se haya puesto en peligro.

Para exigir la autenticación multifactor para activar la asignación de roles, seleccione la opción On activation, require Azure MFA (En la activación, exigir Azure MFA) en la pestaña Activación de Edit role setting (Editar configuración de roles).

En la asignación activa

Esta opción requiere que los administradores completen una autenticación multifactor antes de crear una asignación de roles activa (en lugar de elegible). Privileged Identity Management no puede exigir la autenticación multifactor cuando el usuario utiliza su asignación de roles, porque ya está activa en el rol desde el momento en que se asigna.

Para requerir la autenticación multifactor al crear una asignación de roles activa, seleccione la opción Requerir Azure Multi-Factor Authentication en la asignación activa en la pestaña Asignación de la opción Edit role setting (Editar configuración de roles).

Para más información, consulte Autenticación multifactor y Privileged Identity Management.

Duración máxima de la activación

Use el control deslizante Duración máxima de la activación para establecer el tiempo máximo, en horas, que una solicitud de activación de una asignación de roles permanece activa antes de expirar. Este valor puede oscilar entre una y 24 horas.

Requerir justificación

Puede requerir que los usuarios escriban una justificación empresarial cuando se activen. Para requerir justificación, active la casilla Requerir justificación para las asignaciones activas o la casilla Requerir justificación en las activaciones.

Solicitud de información del vale en el momento de la activación

Si su organización usa un sistema de vales para realizar un seguimiento de los elementos del departamento de soporte técnico o cambiar las solicitudes de su entorno, puede seleccionar el cuadro Solicitar información de vale en la activación para requerir que la solicitud de elevación contenga el nombre del sistema de vales (opcional, si la organización usa varios sistemas) y el número de vale que solicitó la necesidad de activación del rol.

Solicitud de aprobación para activar

Si se establecen varios aprobadores, la aprobación se completa en cuanto uno de ellos aprueba o deniega. No se puede forzar la aprobación de un segundo aprobador o posterior. Para solicitar aprobación a fin de activar un rol, siga estos pasos.

  1. Active la casilla Se requiere aprobación para activar.

  2. Seleccione Seleccionar aprobadores.

    Select a user or group pane to select approvers

  3. Seleccione al menos un usuario y haga clic en Seleccionar. Seleccione por lo menos un aprobador. Si no se seleccionan aprobadores específicos, los administradores globales o de roles con privilegios pasarán a ser los aprobadores predeterminados.

  4. Para guardar los cambios, seleccione Actualizar.

Administrar la configuración de roles a través de Microsoft Graph

Para administrar la configuración de los roles de Azure AD a través de Microsoft Graph, use el tipo de recurso unifiedRoleManagementPolicy y los métodos relacionados.

En Microsoft Graph, la configuración de roles se conoce como reglas y se asignan a los roles de Azure AD mediante directivas de contenedor. A cada rol de Azure AD se le asigna un objeto de directiva específico. Puede recuperar todas las directivas cuyo ámbito son los roles de Azure AD y, para cada directiva, recuperar la colección de reglas asociada a través de un parámetro de consulta $expand. La sintaxis de la solicitud es la siguiente:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

Las reglas se agrupan en contenedores. Los contenedores se dividen aún más en definiciones de reglas que se identifican mediante identificadores únicos para facilitar la administración. Por ejemplo, un contenedor unifiedRoleManagementPolicyEnablementRule expone tres definiciones de regla identificadas por los siguientes identificadores únicos.

  • Enablement_Admin_Eligibility - Reglas que se aplican a los administradores para llevar a cabo operaciones sobre los requisitos de rol. Por ejemplo, si se requiere justificación y si es para todas las operaciones (por ejemplo, renovación, activación o desactivación) o solo para operaciones específicas.
  • Enablement_Admin_Assignment - Reglas que se aplican a los administradores para llevar a cabo operaciones sobre las asignaciones de rol. Por ejemplo, si se requiere justificación y si es para todas las operaciones (por ejemplo, renovación, desactivación o extensión) o solo para operaciones específicas.
  • Enablement_EndUser_Assignment - Reglas que se aplican a las entidades de seguridad para habilitar sus asignaciones. Por ejemplo, si se requiere la autenticación multifactor.

Para actualizar estas definiciones de regla, use la API de reglas de actualización. Por ejemplo, la siguiente solicitud especifica una colección enabledRules vacía, por lo que desactiva las reglas habilitadas para una directiva, como la autenticación multifactor, la información de vales y la justificación.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Puede recuperar la colección de reglas que se aplican a todos los roles de Azure AD o a un rol específico de Azure AD mediante el tipo de recurso unifiedRoleManagementPolicyAssignment y los métodos relacionados. Por ejemplo, la siguiente solicitud usa el parámetro de consulta $expand para recuperar las reglas que se aplican a un rol de Azure AD identificado por roleDefinitionId o templateId62e90394-69f5-4237-9190-012177145e10.

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

Para obtener más información sobre cómo administrar la configuración de roles a través de PIM, consulte Configuración de roles y PIM.

Pasos siguientes