Configuración de roles de Azure AD en Privileged Identity Management

Un administrador de roles con privilegios puede personalizar Privileged Identity Management (PIM) en su organización de Azure Active Directory (Azure AD), incluido el cambio de la experiencia de un usuario que va a activar una asignación de rol válida.

Determinación de la versión de PIM

Desde noviembre de 2019, la parte de roles de Azure AD de Privileged Identity Management se está actualizando a una nueva versión que coincide con las experiencias de los roles de recursos de Azure. Esta actualización introduce características adicionales y cambios en la API existente. Mientras se implementa la nueva versión, los procedimientos que seguirá en este artículo dependerán de la versión de Privileged Identity Management que tenga actualmente. Siga los pasos de esta sección para determinar la versión de Privileged Identity Management que tiene. Cuando averigüe la versión de Privileged Identity Management, puede seleccionar los procedimientos de este artículo que coincidan con esa versión.

  1. Inicie sesión en Azure Portal con un usuario que tenga el rol Administrador de roles con privilegios.
  2. Abra Azure AD Privileged Identity Management. Si tiene un banner en la parte superior de la página de introducción, siga las instrucciones de la pestaña Nueva versión de este artículo. De lo contrario, siga las instrucciones de la pestaña Versión anterior.

Seleccionar Azure AD > Privileged Identity Management.

Siga los pasos que se describen en este artículo para aprobar o denegar solicitudes para los roles de Azure AD.

Apertura de la configuración de roles

Siga estos pasos para abrir la configuración de un rol de Azure AD.

  1. Inicie sesión en Azure Portal con un usuario en el rol Administrador de roles con privilegios.

  2. Abra Azure AD Privileged Identity Management > Roles de Azure AD > Configuración de roles.

    Página de configuración de roles que muestra los roles de Azure AD

  3. Seleccione el rol cuya configuración desea configurar.

    Página de detalles de configuración de roles que muestra varias opciones de asignación y activación

  4. Seleccione Editar para abrir la página Configuración de roles.

    Página de edición de configuración de roles con opciones para actualizar la configuración de asignación y activación

    En el panel Configuración de roles de cada rol, hay varias opciones que puede configurar.

Duración de la asignación

Puede elegir entre dos opciones de duración de asignación para cada tipo de asignación (Apto y Activo) cuando se configuran las opciones para un rol. Estas opciones se convierten en la duración máxima predeterminada cuando se asigna un usuario al rol en Privileged Identity Management.

Puede elegir uno de estas opciones de duración de asignación tipo Apto:

Descripción
Permitir asignación elegible permanente Los administradores globales y los administradores de roles con privilegios pueden asignar una asignación elegible permanente.
Hacer que las asignaciones elegibles expiren después de Los administradores globales y los administradores de roles con privilegios pueden requerir que todas las asignaciones elegibles tengan una fecha de inicio y finalización especificada.

Además, puede elegir una de estas opciones de duración de asignación tipo Activo:

Descripción
Permitir asignaciones activas permanentes Los administradores globales y los administradores de roles con privilegios pueden asignar una asignación activa permanente.
Hacer que las asignaciones activas expiren después de Los administradores globales y los administradores de roles con privilegios pueden requerir que todas las asignaciones activas tengan una fecha de inicio y finalización especificada.

Nota

Los administradores globales y los administradores de roles con privilegios pueden renovar todas las asignaciones que tienen una fecha de finalización específica. Además, los usuarios pueden iniciar solicitudes de autoservicio para ampliar o renovar las asignaciones de roles.

Requerir autenticación multifactor

Privileged Identity Management proporciona el cumplimiento opcional de Azure AD Multi-Factor Authentication en dos escenarios distintos.

Requerir autenticación multifactor para las asignaciones activas

En algunos casos, es posible que quiera asignar un usuario a un rol durante un tiempo breve (por ejemplo, un día). En este caso, no es necesario que los usuarios asignados soliciten la activación. En este escenario, Privileged Identity Management no puede exigir la autenticación multifactor cuando el usuario usa su asignación de roles, porque ya está activa en el rol desde el momento en que se asignan.

Para asegurarse de que el administrador que realiza la asignación es quien dicen ser, puede exigir la autenticación multifactor en la asignación activa; para ello, active la casilla Requerir autenticación multifactor en la asignación activa.

Requerir Multi-Factor Authentication durante la activación

Puede exigir que los usuarios que sean elegibles para un rol demuestren quiénes están usando Azure AD Multi-Factor Authentication antes de que se puedan activar. La autenticación multifactor garantiza que el usuario sea quien dice ser con certeza razonable. Aplicar esta opción protege los recursos críticos en situaciones en las que es posible que la cuenta de usuario se haya puesto en peligro.

Para requerir la autenticación multifactor antes de la activación, active la casilla Requerir autenticación multifactor en activación en la pestaña Asignación de Edición de la configuración de roles.

Para obtener más información, consulte Autenticación multifactor y Privileged Identity Management.

Duración máxima de la activación

Use control deslizante Duración máxima de la activación (horas) para establecer el tiempo máximo, en horas, que un rol permanece activo antes de expirar. Este valor puede oscilar entre una y 24 horas.

Requerir justificación

Puede requerir que los usuarios escriban una justificación empresarial cuando se activen. Para requerir justificación, active la casilla Requerir justificación para las asignaciones activas o la casilla Requerir justificación en las activaciones.

Solicitud de aprobación para activar

Si se establecen varios aprobadores, la aprobación se completa en cuanto uno de ellos aprueba o deniega. No se puede exigir la aprobación de al menos dos usuarios. Para solicitar aprobación a fin de activar un rol, siga estos pasos.

  1. Active la casilla Se requiere aprobación para activar.

  2. Seleccione Seleccionar aprobadores.

    Seleccionar un panel de usuarios o grupos para seleccionar aprobadores

  3. Seleccione al menos un usuario y haga clic en Seleccionar. Debe seleccionar al menos un aprobador. No hay aprobadores predeterminados.

    Su elección aparecerá en la lista de aprobadores seleccionados.

  4. Una vez que haya especificado todos los valores de rol, seleccione Actualizar para guardar los cambios.

Pasos siguientes