Configurar PIM para Grupos

  • Artículo

En Privileged Identity Management (PIM) para grupos de Microsoft Entra ID, la configuración de roles define las propiedades de asignación de pertenencia o propiedad. Estas propiedades incluyen la autenticación multifactor y los requisitos de aprobación para la activación, la duración máxima de la asignación y la configuración de las notificaciones. Este artículo muestra cómo definir las configuraciones de roles y el flujo de trabajo de aprobación para especificar quién puede aprobar o denegar las solicitudes de elevación de privilegios.

Necesita permisos de administrador de grupos para administrar la configuración. Para grupos a los que se puedan asignar roles, deberá tener el rol de Administrador global o Administrador de roles con privilegios, o ser el propietario del grupo. En el caso de los grupos a los que no se les puedan asignar roles, deberá tener el rol de Administrador global, Escritor de directorios, Administrador de grupos, Administrador de gobernanza de identidades o Administrador de usuarios, o ser el propietario del grupo. Las asignaciones de roles para los administradores deberían tener el ámbito en el nivel de directorio (no en el nivel de unidad administrativa).

Nota:

Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos Microsoft 365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en Microsoft Entra Privileged Identity Management.

La configuración de roles se define por rol y por grupo. Todas las asignaciones para el mismo rol (miembro o propietario) del mismo grupo siguen la misma configuración de roles. La configuración de los roles de un grupo es independiente de la de otro grupo. La configuración de los roles de un rol (miembro) es independiente de la configuración de roles de otro rol (propietario).

Actualización de la configuración de roles

Para abrir la configuración de un rol de grupo:

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Gobernanza de identidades>Privileged Identity Management>Grupos.

  3. Seleccione el grupo para el que desea configurar los valores de rol.

  4. Haga clic en Configuración.

  5. Seleccione el rol para el que necesita configurar los valores de rol. Las opciones son Miembro o Propietario.

    Screenshot that shows where to select the role for which you need to configure role settings.

  6. Revise la configuración actual del rol.

  7. Seleccione Editar para actualizar la configuración del rol.

    Screenshot that shows where to select Edit to update role settings.

  8. Seleccione Actualizar.

Configuración de roles

En esta sección se describen las opciones de configuración del rol.

Duración máxima de la activación

Use el control deslizante Duración máxima de la activación para establecer el tiempo máximo, en horas, que una solicitud de activación de una asignación de roles permanece activa antes de expirar. Este valor puede oscilar entre una y 24 horas.

Es necesaria la autenticación multifactor durante la activación

Puede requerir que los usuarios elegibles para un rol demuestren quiénes son utilizando la función de autenticación multifactor en Microsoft Entra ID antes de que se puedan activar. La autenticación multifactor ayuda a proteger el acceso a los datos y las aplicaciones. Proporciona otra capa de seguridad mediante una segunda forma de autenticación.

Es posible que a las personas usuarias no se les pida autenticación multifactor si se autentican con credenciales seguras o si proporcionaron la autenticación multifactor anteriormente en esta sesión. Si el objetivo es asegurarse de que los usuarios tengan que proporcionar autenticación durante la activación, puede usar Activado la activación, requerir el contexto de autenticación de acceso condicional de Microsoft Entra junto con puntos fuertes de autenticación.

Los usuarios deben autenticarse durante la activación mediante métodos diferentes del que usaban para iniciar sesión en la máquina. Por ejemplo, si los usuarios inician sesión en la máquina mediante Windows Hello para empresas, puedes usar Durante la activación, requerir el contexto de autenticación de acceso condicional de Microsoft Entra y Niveles de intensidad de autenticación para exigir que las personas usuarias inicien sesión sin contraseña con Microsoft Authenticator cuando activen el rol.

Después de que el usuario proporcione el inicio de sesión sin contraseña con Microsoft Authenticator una vez en este ejemplo, puede realizar su siguiente activación en esta sesión sin otra autenticación. El inicio de sesión sin contraseña con Microsoft Authenticator ya forma parte de su token.

Se recomienda habilitar la característica de autenticación multifactor en Microsoft Entra ID para todos los usuarios. Para obtener más información, consulta la Planificación la implementación de la autenticación multifactor de Microsoft Entra.

Durante la activación, se requiere el contexto de autenticación de acceso condicional de Microsoft Entra

Puede requerir que los usuarios aptos para un rol cumplan los requisitos de la directiva de acceso condicional. Por ejemplo, puedes requerir que las personas usuarias usen un método de autenticación específico aplicado a través de los Niveles de intensidad de autenticación, eleven el rol de un dispositivo compatible con Intune y cumplan con los términos de uso.

Para aplicar este requisito, cree el contexto de autenticación de acceso condicional.

  1. Configurar la directiva de acceso condicional que aplicaría los requisitos para este contexto de autenticación.

    El ámbito de la directiva de acceso condicional debe incluir todos los usuarios o los usuarios aptos para la pertenencia a grupos o la propiedad. No cree una directiva de acceso condicional para el contexto de autenticación y el grupo al mismo tiempo. Durante la activación, un usuario aún no tiene pertenencia a grupos, por lo que la directiva de acceso condicional no se aplicaría.

  2. Configure el contexto de autenticación en la configuración de PIM para el rol.

    Screenshot that shows the Edit role setting - Member page.

Si las opciones de PIM tienen configurado Al activarse, se requiere el contexto de autenticación de acceso condicional de Microsoft Entra, las directivas de acceso condicional definen las condiciones que un usuario debe cumplir para satisfacer los requisitos de acceso.

Esto significa que las entidades de seguridad con permisos para administrar las directivas de acceso condicional —como administradores de acceso condicional o administradores de seguridad— pueden cambiar los requisitos, quitarlos o impedir que usuarios aptos activen la pertenencia a grupos o la propiedad. Las entidades de seguridad que pueden administrar las directivas de acceso condicional deben considerarse con privilegios elevados y protegerse en consecuencia.

Le recomendamos crear y habilitar una directiva de acceso condicional para el contexto de autenticación antes de configurar el contexto de autenticación en las configuraciones de PIM. Como mecanismo de protección de respaldo, si no hay directivas de acceso condicional en el inquilino que tengan como destino el contexto de autenticación configurado en las opciones de PIM, durante la activación de pertenencia a grupos o propiedad, se requiere la característica de autenticación multifactor en Microsoft Entra, ya que la opción Al activarse, se requiere la autenticación multifactor estaría establecida.

Este mecanismo de protección de respaldo está diseñado para proteger únicamente en un escenario en el que se actualicen las configuraciones de PIM antes de crear la directiva de acceso condicional debido a un error de configuración. Este mecanismo de protección de respaldo no se desencadenará si la directiva de acceso condicional está desactivada, está en modo de solo informe o si los usuarios aptos están excluidos de la directiva.

La opción Al activar, se requiere el contexto de autenticación de acceso condicional de Microsoft Entra define el contexto de autenticación, los requisitos que los usuarios deberán satisfacer cuando activen la pertenencia a grupos o la propiedad. Una vez activada la pertenencia a grupos o la propiedad, esto no impide que los usuarios usen otra sesión de exploración, dispositivo o ubicación ara usar la pertenencia a grupos o la propiedad.

Por ejemplo, los usuarios pueden usar un dispositivo compatible con Intune para activar la pertenencia a grupos o la propiedad. Después de activar el rol, es posible que inicien sesión en la misma cuenta de usuario desde otro dispositivo que no sea compatible con Intune y usen la propiedad o pertenencia del grupo activada anteriormente desde allí.

Para evitar esta situación, puede definir el ámbito de las directivas de acceso condicional para aplicar determinados requisitos a los usuarios aptos directamente. Por ejemplo, puede requerir que los usuarios aptos para determinada pertenencia a grupos o propiedad usen siempre dispositivos compatibles con Intune.

Para más información sobre el contexto de autenticación de acceso condicional, consulte Acceso condicional: aplicaciones en la nube, acciones y contexto de autenticación.

Requerir justificación en las activaciones

Puede requerir que los usuarios escriban una justificación comercial cuando activen la asignación apta.

Solicitud de información del vale en el momento de la activación

Puede requerir que los usuarios escriban una incidencia de soporte técnico cuando activen la asignación apta. Esta opción es un campo de solo información. La correlación con la información de cualquier sistema de vales no se aplica.

Solicitud de aprobación para activar

Puede requerir aprobación para una activación de la asignación apta. El aprobador no tiene que ser miembro del grupo ni propietario. Cuando utilice esta opción, debe seleccionar al menos un aprobador. Te recomendamos agregar al menos dos personas aprobadoras. No hay aprobadores predeterminados.

Para más información sobre las aprobaciones, consulta Aprobar solicitudes de activación para miembros y propietarios de PIM para grupos.

Duración de la asignación

Al configurar las opciones para un rol, puedes elegir entre dos opciones de duración de asignación para cada tipo de asignación: apto y activo. Estas opciones se convierten en la duración máxima predeterminada cuando se asigna un usuario al rol en Privileged Identity Management.

Puedes elegir una de estas opciones de duración de asignación de tipo aptas.

Configuración Descripción
Allow permanent eligible assignment (Permitir la asignación apta permanente) El equipo de administración de recursos pueden asignar una asignación apta permanente.
Hacer que las asignaciones elegibles expiren después de Los administradores de recursos pueden requerir que todas las asignaciones elegibles tengan una fecha de inicio y finalización especificada.

También puedes elegir una de estas opciones de duración de asignación activas.

Configuración Descripción
Allow permanent active assignment (Permitir la asignación activa permanente) El equipo de administración de recursos pueden asignar una asignación activa permanente.
Hacer que las asignaciones activas expiren después de Los administradores de recursos pueden requerir que todas las asignaciones activas tengan una fecha de inicio y finalización especificada.

Los administradores de recursos pueden renovar todas las asignaciones que tienen una fecha de finalización específica. Además, los usuarios pueden iniciar solicitudes de autoservicio para ampliar o renovar las asignaciones de roles.

Requerir autenticación multifactor para las asignaciones activas

Puede requerir que un administrador o propietario del grupo proporcione autenticación multifactor cuando creen una asignación activa (en lugar de apta). Privileged Identity Management no puede exigir la autenticación multifactor cuando el usuario usa su asignación de roles, porque ya está activa en el rol desde el momento en que se asigna.

Es posible que un administrador o propietario del grupo no se le pida autenticación multifactor si se autentica con credenciales seguras o proporcionó la autenticación multifactor anteriormente en esta sesión.

Requerir justificación para las asignaciones activas

Puede requerir que los usuarios escriban una justificación comercial cuando creen una asignación activa (en lugar de apta).

En la pestaña Notificaciones de la página Configuración de roles, Privileged Identity Management permite realizar un control pormenorizado sobre quién recibe las notificaciones y qué notificaciones reciben. Tiene las siguientes opciones:

  • Desactivación de un correo electrónico: Si desactivas la casilla de destinatario predeterminado y eliminas los demás destinatarios, puedes desactivar correos electrónicos específicos.
  • Límite de correos electrónicos a direcciones especificadas: Si desactivas la casilla de destinatario predeterminado, puedes desactivar los mensajes de correo electrónico enviados a destinatarios predeterminados. Luego, puede agregar otras direcciones de correo electrónico como destinatarios. Si quieres agregar más de una dirección de correo electrónico, sepáralas con un punto y coma (;).
  • Envío de correos electrónicos tanto a los destinatarios predeterminados como a otros destinatarios: Puedes enviar correos electrónicos tanto al destinatario predeterminado como a otro destinatario. Activa la casilla de destinatario predeterminado y agrega direcciones de correo electrónico para otros destinatarios.
  • Solo correo electrónico crítico: Para cada tipo de correo electrónico, puedes seleccionar la casilla para recibir solo correos electrónicos críticos. Privileged Identity Management continúa enviando mensajes de correo electrónico a los destinatarios especificados solo cuando el correo electrónico requiera una acción inmediata. Por ejemplo, los correos electrónicos que solicitan a las personas usuarias que amplíen su asignación de roles no se desencadenan. Los correos electrónicos que requieren que los administradores aprueben una solicitud de extensión se desencadenan.

Nota

Un evento de Privileged Identity Management puede generar notificaciones por correo electrónico a varios destinatarios: usuarios asignados, aprobadores o administradores. El número máximo de notificaciones enviadas por evento es 1000. Si el número de destinatarios superase los 1000, solo los primeros 1000 destinatarios recibirán una notificación por correo electrónico. Esto no impedirá que otros usuarios asignados, administradores o aprobadores usen sus permisos en Microsoft Entra ID y Privileged Identity Management.

Administrar la configuración de roles a través de Microsoft Graph

Para administrar la configuración de roles de los grupos mediante las API de PIM en Microsoft Graph, use el tipo de recurso unifiedRoleManagementPolicy y sus métodos relacionados.

En Microsoft Graph, las configuraciones de roles se denominan reglas. Se asignan a grupos mediante directivas de contenedor. Puede recuperar todas las directivas asignadas a un grupo y a cada directiva. Recupere la colección de reglas asociada mediante un parámetro de consulta $expand. La sintaxis de la solicitud es la siguiente:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Para obtener más información sobre cómo administrar la configuración de roles a través de API de PIM en Microsoft Graph, consulta Configuración de roles y PIM. Para obtener ejemplos de cómo actualizar las reglas, consulta Actualizar reglas en PIM mediante Microsoft Graph.

Pasos siguientes

Asignar la idoneidad de un grupo en Privileged Identity Management