Fase 1: implementación del marco para administrar a escala
En esta sección de la guía de referencia de operaciones de Administración de permisos de Microsoft Entra se describen las comprobaciones y acciones que se deben tener en cuenta para delegar de forma eficaz permisos y administrar a gran escala.
Definición de un modelo de administración delegada
Propietario recomendado: arquitectura de seguridad de la información
Definir los administradores de la Administración de permisos de Microsoft Entra
Para empezar a poner en marcha la Administración de permisos de Microsoft Entra, asigne de dos a cinco administradores de administración de permisos que deleguen permisos en el producto, configuren las opciones clave y creen y administren la configuración de la organización.
Importante
La Administración de permisos de Microsoft Entra se basa en usuarios con direcciones de correo electrónico válidas. Se recomienda que los administradores de Administración de permisos tengan cuentas de buzón habilitadas.
Asigne a los administradores designados el rol Administrador de Administración de permisos en Microsoft Entra ID para realizar las tareas necesarias. Se recomienda usar Privileged Identity Management (PIM) para proporcionar a los administradores acceso Just-In-Time (JIT) al rol, en lugar de asignarlo de forma permanente.
Definir y mantener la estructura de carpetas
En Administración de permisos, una carpeta es un grupo de sistemas de autorización. Se recomienda crear carpetas en función de la estrategia de delegación de la organización. Por ejemplo, si la organización delega en función de los equipos, cree carpetas para:
- Finanzas de producción
- Infraestructura de producción
- Investigación y desarrollo de preproducción
Una estructura de carpetas eficaz facilita la delegación de permisos a gran escala y proporciona a los propietarios del sistema de autorización una experiencia de producto positiva.
Para ayudar a simplificar el entorno, consulte creación de carpetas para organizar los sistemas de autorización.
Creación de grupos de seguridad de Microsoft Entra para delegar permisos
La Administración de permisos de Microsoft Entra tiene un sistema de acceso basado en grupos que usa grupos de seguridad de Microsoft Entra para conceder permisos a diferentes sistemas de autorización. Para delegar permisos, el equipo de IAM crea grupos de seguridad de Microsoft Entra que se asignan a los propietarios del sistema de autorización y las responsabilidades de administración de permisos que defina. Asegúrese de que los usuarios con la propiedad compartida y las responsabilidades del producto estén en el mismo grupo de seguridad.
Se recomienda usar PIM para grupos. Esto proporciona acceso JIT a la Administración de permisos a los usuarios y se alinea con los principios JIT de confianza cero y acceso suficiente.
Para crear grupos de seguridad de Microsoft Entra, consulte administrar grupos y pertenencia a grupos.
Asignación de permisos en Administración de permisos de Microsoft Entra
Una vez creados los grupos de seguridad de Microsoft Entra, un administrador de la Administración de permisos concederá a los grupos de seguridad los permisos necesarios.
Como mínimo, asegúrese de que a los grupos de seguridad se les concedan permisos de Visor para los sistemas de autorización de los que sean responsables. Use permisos de Controlador para grupos de seguridad con miembros que realicen acciones de corrección. Obtenga más información sobre los roles de Administración de permisos de Microsoft Entra y los niveles de permisos.
Para obtener más información sobre cómo administrar usuarios y grupos en la Administración de permisos:
- Incorporación o eliminación de usuarios en la Administración de permisos de Microsoft Entra
- Administración de usuarios y grupos con el panel Administración de usuarios
- Selección de configuración de permisos basados en grupos
Determinación de la administración del ciclo de vida del sistema de autorización
Propietarios recomendados: arquitectura de seguridad de la información e infraestructura en la nube
A medida que se crean nuevos sistemas de autorización y los sistemas de autorización actuales evolucionan, crean y mantienen un proceso bien definido para los cambios en la Administración de permisos de Microsoft Entra. En la siguiente tabla se describen las tareas y los propietarios recomendados.
| Tarea | Propietario recomendado |
|---|---|
| Definición del proceso de detección para los nuevos sistemas de autorización creados en el entorno | Arquitectura de seguridad de la información |
| Definición de la evaluación de prioridades y los procesos de incorporación para los nuevos sistemas de autorización en la Administración de permisos | Arquitectura de seguridad de la información |
| Definición de los procesos de administración para nuevos sistemas de autorización: delegación de permisos y actualización de la estructura de carpetas | Arquitectura de seguridad de la información |
| Desarrollo de una estructura de carga cruzada. Determinación de un proceso de administración de costes. | El propietario varía según la organización |
Definición de una estrategia de índice de exceso de permisos
Propietario recomendado: arquitectura de seguridad de la información
Se recomienda definir objetivos y casos de uso para la forma en que el índice de exceso de permisos (PCI) impulsa la actividad y los informes de arquitectura de seguridad de la información. Este equipo puede definir y ayudar a otros usuarios a cumplir los umbrales de PCI de destino de la organización.
Establecimiento de umbrales de PCI de destino
Los umbrales de PCI guían el comportamiento operativo y actúan como directivas para determinar cuándo se requerirá acción en su entorno. Establezca umbrales de PCI para:
- Sistemas de autorización
- Usuarios de identidad humana
- Directorio de empresa (ED)
- SAML
- Local
- Invitado
- Identidades no humanas
Nota:
Dado que la actividad de identidades no humanas varía menos que la de las identidades humanas, aplique un ajuste de tamaño más estricto a las identidades no humanas: establezca un umbral de PCI inferior.
Los umbrales de PCI varían en función de los objetivos y los casos de uso de la organización. Se recomienda alinearse con los umbrales de riesgo de la Administración de permisos integrados. Consulte los siguientes intervalos de PCI, por riesgo:
- Bajo: de 0 a 33
- Mediano: 34 a 67
- Alto: de 68 a 100
Con la lista anterior, revise los siguientes ejemplos de directivas de umbral de PCI:
| Category | Umbral de PCI | Directiva |
|---|---|---|
| Sistemas de autorización | 67: clasificación del sistema de autorización como de alto riesgo | Si un sistema de autorización tuviera una puntuación de PCI superior a 67, revise y cambie el tamaño de las identidades PCI que estén altas en el sistema de autorización |
| Identidades humanas: ED, SAML y local | 67: clasificación de identidades humanas como de riesgo alto | Si una identidad humana tuviera una puntuación de PCI superior a 67, corrija el tamaño de los permisos de la identidad |
| Identidad humana: usuario invitado | 33: clasificación de usuarios invitados como de riesgo alto o medio | Si un usuario invitado tuviera una puntuación de PCI superior a 33, corrija el tamaño de los permisos de la identidad |
| Identidades no humanas | 33: clasificación de identidades no humanas como de riesgo alto o medio | Si una identidad no humana tuviera una puntuación de PCI superior a 33, corrija el tamaño de los permisos de la identidad |