Realiza una revisión de acceso a los recursos de Azure y a los roles de Microsoft Entra en PIM

Visión general

Los administradores de roles con privilegios pueden revisar el acceso con privilegios una vez iniciada una revisión de acceso. Privileged Identity Management (PIM) en Microsoft Entra ID envía automáticamente un correo electrónico que pide a los usuarios que revisen su acceso. Si un usuario no recibe un correo electrónico, puede enviarles las instrucciones para realizar una revisión de acceso.

Una vez creada la revisión, siga los pasos de este artículo para llevar a cabo la revisión y ver los resultados.

Realización de revisiones de acceso

  1. Inicie sesión en el centro de administración de Microsoft Entra como un usuario que tiene asignado uno o más roles necesarios.

  2. Vaya a Gobernanza de identidades>Administración de identidades con privilegios.

  3. En Roles de Microsoft Entra, seleccione Roles de Microsoft Entra. En Recursos de Azure, seleccione Recursos de Azure.

  4. Seleccione la revisión de acceso que quiere administrar. A continuación se muestra una captura de pantalla de ejemplo de la visión general de Revisión de acceso para recursos de Azure y roles de Microsoft Entra.

    Lista de revisiones de acceso que muestra el rol, el propietario, la fecha de inicio, la fecha de finalización y la captura de pantalla de estado.

En la página de detalles, están disponibles las siguientes opciones para administrar la revisión de los recursos de Azure y los roles de Microsoft Entra:

Opciones para administrar una revisión en recursos de Azure: captura de pantalla Detener, Restablecer, Aplicar, Eliminar.

Detener una revisión de acceso

Todas las revisiones de acceso tienen una fecha de finalización, pero puede usar el botón Detener para finalizarlo temprano. El botón Detener solo se puede seleccionar cuando la instancia de revisión está activa. No se puede reiniciar una revisión después de detenerla.

Restablecimiento de una revisión de acceso

Cuando la instancia de revisión está activa y al menos se ha tomado una decisión por parte de los revisores, puede restablecer la revisión de acceso seleccionando el botón Restablecer para quitar todas las decisiones que se tomaron en ella. Después de restablecer una revisión de acceso, todos los usuarios se marcan nuevamente como no revisados.

Aplicación de una revisión de acceso

Una vez completada una revisión de acceso, ya sea porque ha alcanzado la fecha límite o la ha detenido manualmente, el botón Aplicar quita el acceso de los usuarios cuya solicitud fue denegada al rol. Si se ha denegado el acceso de un usuario durante la revisión, este es el paso que revoca su asignación de roles. Si la opción Aplicar automáticamente está configurada al crear la revisión, este botón siempre está deshabilitado porque la revisión se aplicará automáticamente en lugar de manualmente.

Eliminación de una revisión de acceso

Si ya no le interesa la revisión, elimínela. Para quitar la revisión de acceso del servicio Privileged Identity Management, seleccione el botón Eliminar .

Importante

No es necesario confirmar este cambio destructivo, por lo que debe comprobar que desea eliminar esa revisión.

Resultados

En la página Resultados , puede ver y descargar una lista de los resultados de la revisión.

Página de resultados en la que se enumeran los usuarios, el resultado, la razón, la revisión, la aplicación y el resultado de la aplicación de la captura de pantalla de roles de Microsoft Entra.

Nota:

Los roles de Microsoft Entra tienen un concepto de grupos a los que se pueden asignar roles, donde se puede asignar un grupo al rol. Cuando esto sucede, el grupo se mostrará en la revisión en lugar de expandir sus miembros, y un revisor decidirá si aprueba o rechaza a todo el grupo.

Página de resultados en la que se enumeran los usuarios, el resultado, el motivo, la revisión, la aplicación y el resultado de la captura de pantalla de los roles de recursos de Azure.

Nota:

Si se asigna un grupo a roles de recursos de Azure, el revisor del rol de recurso de Azure verá la lista expandida de los usuarios en un grupo anidado. Si un revisor deniega un miembro de un grupo anidado, ese resultado de denegación no se aplicará correctamente porque el usuario no se quitará del grupo anidado.

Revisores

En la página Revisores , puede ver y agregar revisores a la revisión de acceso existente. También puede recordar a los revisores que completen sus revisiones aquí.

Nota:

Si el tipo de revisor seleccionado es usuario o grupo, puede agregar más usuarios o grupos como revisores principales en cualquier momento. También puede quitar revisores principales en cualquier momento. Si el tipo de revisor es administrador, puede agregar usuarios o grupos como revisores de reserva para completar las revisiones de los usuarios que no tienen administradores. Los revisores de reserva no se pueden quitar.

Captura de pantalla de la página Revisores en la que se enumeran el nombre y el nombre principal de usuario de los roles de recursos de Azure.

Pasos siguientes

  • Last updated on