Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las revisiones de acceso de Microsoft Entra admiten hasta tres fases de revisión, en las que participan varios tipos de revisores para determinar quién necesita acceso todavía a los recursos de la empresa. Estas revisiones pueden ser para la pertenencia a grupos o equipos, el acceso a aplicaciones, asignaciones a roles con privilegios o asignaciones de paquetes de acceso. Cuando los administradores de revisión configuran la revisión para la aplicación automática de las decisiones, al final del período de revisión, se revoca el acceso a los usuarios denegados.
Casos de uso para revisiones de varias fases
Las revisiones de acceso de varias fases permiten a usted y a su organización habilitar flujos de trabajo complejos para cumplir los requisitos de recertificación y auditoría mediante llamadas a varios revisores para atestiguar el acceso de los usuarios en una secuencia determinada. También le ayudan a diseñar revisiones más eficaces para los propietarios de recursos y auditores al reducir el número de decisiones de las que es responsable cada revisor. Este enfoque permite combinar revisiones que de otro modo serían revisiones independientes para el mismo recurso para combinarlas en una revisión de acceso.
Estos son algunos escenarios que podría tener en cuenta:
- Alcanzar el consenso entre varios conjuntos de revisores: permitir que dos audiencias de revisores revisen de forma independiente el acceso a un recurso. Puede configurar las revisiones de forma que ambas fases de revisores deberán estar de acuerdo en la decisión de Aprobado sin ver las decisiones de los demás.
- Asignar revisores alternativos para ponderar las decisiones no revisadas: permitir que el propietario del recurso confirme el acceso a su recurso en primer lugar. A continuación, los usuarios para los que no se ha registrado ninguna decisión van a un revisor de segunda fase, por ejemplo, el administrador del usuario o un equipo de auditoría, que revisan las solicitudes no decididas.
- Reducir la carga de los revisores de fases posteriores: las revisiones se pueden configurar de forma que en las fases posteriores no se revisen los usuarios denegados en fases anteriores, lo que permite a los revisores de la fase posterior ver una lista filtrada. Use este escenario para filtrar por los usuarios que se van a revisar, fase por fase.
Alcanzar el consenso entre varios conjuntos de revisores
Alcanzar un cuórum sobre el acceso adecuado para los usuarios puede ser una tarea difícil. En el caso de los recursos a los que tienen acceso muchos usuarios, o para un grupo o usuarios diversos que se deban revisar, es especialmente difícil que cualquier revisor único tome las decisiones adecuadas para todos los revisados. Alcanzar el consenso al ofrecer hasta tres grupos de revisores diferentes la oportunidad de registrar decisiones y mostrar lo que dijeron las audiencias de revisores anteriores ayuda a impulsar el consenso sobre quién debe tener acceso al recurso.
Un ejemplo sería una revisión que consta de tres fases que determinan la pertenencia a un grupo que rige el acceso a un recurso. En la configuración de la revisión, el administrador decide no mostrar las decisiones de los revisores de las fases anteriores. Esta configuración permite que cada audiencia de revisión, por ejemplo, el responsable del usuario, el propietario del grupo y un oficial de seguridad revisen el acceso de forma independiente. Las tres fases se alinean con una mayor importancia del peso de la audiencia de revisores, donde las decisiones de la última audiencia de revisores podrían sobrescribir las decisiones del revisor de la fase anterior.
La configuración de este escenario tendría el siguiente aspecto:
| Atributo | Configuración |
|---|---|
| Revisión de varias fases | habilitado |
| Revisores de la primera fase | Administradores de usuarios |
| Revisores de la segunda fase | Propietarios del grupo |
| Revisores de la tercera fase | Seleccionar usuarios o grupos: "Grupo de auditores de Contoso" |
| Mostrar las decisiones de las fases anteriores a los revisores de fases posteriores | habilitado |
| Revisores a la siguiente fase | Seleccionar todo |
| Si los revisores no responden | Eliminación de acceso |
Asignar revisores alternativos para ponderar las decisiones no revisadas
En escenarios en los que necesite registrar las decisiones y necesite asegurarse de que se conserva el acceso para las personas adecuadas, las revisiones de varias fases le permiten avanzar un subconjunto de revisados a la siguiente fase, lo que puede necesitar una segunda audiencia de revisores para la doble comprobación o la toma de decisiones. Use este patrón para asegurarse de que haya menos usuarios no revisados o usuarios marcados como No lo sé pasando estos revisados a otra fase y haciendo que otro grupo de revisores tome las decisiones.
Un ejemplo de esto sería una revisión que contiene dos fases que determinan el acceso a una aplicación. En la configuración de la revisión, el administrador de la revisión elige Mostrar decisiones de fases anteriores a los revisores de fases posteriores. En Revisión que va a la siguiente fase, se agregarán las decisiones que necesitan confirmación: para asegurarse de que todos los revisados tengan una decisión, seleccione los revisados marcados como "No lo sé" y Revisión no revisada, de modo que los revisores de la fase posterior solo vean los revisados no decididos o no seguros para conservar el acceso correcto.
| Atributo | Configuración |
|---|---|
| Revisión de varias fases | habilitado |
| Revisores de la primera fase | Seleccionar usuarios o grupos: los propietarios de las aplicaciones |
| Revisores de la segunda fase | Administradores de usuarios |
| Mostrar las decisiones de las fases anteriores a los revisores de fases posteriores | Deshabilitado |
| Revisores a la siguiente fase | Seleccione Revisión no revisada y los revisados marcados como "No lo sé". |
| Si los revisores no responden | Aprobar el acceso |
Reducir la carga de los revisores de fases posteriores
En el caso de las revisiones que pueden contener muchos revisados (o usuarios que se van a revisar y atestiguar), es posible que necesite que se atestigüen todos los usuarios finales ellos mismos antes de que los revise un propietario de recursos o su administrador en una fase posterior. Este modelo permite filtrar los revisados de fase a fase, pasando a la siguiente fase a los revisados que solo tienen su propia aprobación.
Los revisores de fases posteriores, como los responsables de los usuarios o el propietario del recurso, solo ven la lista reducida de revisados, aquellos aprobados anteriormente. El número de revisados por fase disminuye fase a fase. Solo los usuarios que se han aprobado en las tres fases conservan el acceso.
Un ejemplo sería una revisión de un grupo que concede una excepción de TI, que un administrador quiere revisar periódicamente. Dado que esa excepción es popular, se pide a los usuarios que respondan primero y solo aquellos que respondieron que todavía necesitan la excepción se pasan a la segunda fase, en la que decide su responsable. Solo si el usuario y el responsable lo aprueban, los propietarios de TI de la excepción llegan a ver la lista de usuarios que siguen necesitando y quieren la excepción, examinando una lista reducida de revisados.
| Atributo | Configuración |
|---|---|
| Revisión de varias fases | habilitado |
| Revisores de la primera fase | Revisión del propio acceso por parte de los usuarios |
| Revisores de la segunda fase | Administradores de usuarios |
| Revisores de la tercera fase | Propietarios del grupo |
| Mostrar las decisiones de las fases anteriores a los revisores de fases posteriores | Deshabilitado |
| Revisores a la siguiente fase | Seleccionar Revisados aprobados |
| Si los revisores no responden | Eliminación de acceso |
Revisiones de usuarios invitados
Las revisiones de usuarios invitados ayudan a las organizaciones que utilizan Microsoft Entra B2B para la colaboración. El acceso de estos usuarios invitados debe revisarse periódicamente para comprobar si aún tienen el acceso adecuado y si todavía se desea esa colaboración, de modo que revocar el acceso o realizar una limpieza de las cuentas de usuario invitado que ya no son necesarias sea posible.
Este escenario se puede configurar con revisiones de varias fases similares a cómo funciona el escenario "Reducir la carga de los revisores de fases posteriores". En primer lugar, pida a los usuarios invitados que revisen automáticamente y confirmen su interés continuado y la necesidad de colaboración, incluido el requisito de proporcionar una justificación comercial. Solo los invitados con aprobación automática pasan a una fase posterior, donde un patrocinador u otro empleado aprueba o deniega el acceso continuado o la colaboración.
En el caso de las revisiones de los usuarios invitados, considere también la posibilidad de aprovechar la configuración de Inactive users (on tenant level) only (Solo usuarios inactivos (en el nivel de inquilino)). Esto limitará la revisión a usuarios externos inactivos que no hayan iniciado sesión en el inquilino de recursos el número de días especificados.
En escenarios para usuarios invitados, las revisiones de acceso admiten una opción de configuración adicional: Acción que se va a aplicar a los usuarios invitados denegados, lo que puede dar lugar a lo siguiente:
- Quitar la pertenencia del usuario del recurso
- Bloquear el inicio de sesión del usuario durante 30 días y después quitar el usuario del inquilino
En función de sus necesidades de revisión, se pueden quitar automáticamente del inquilino los usuarios invitados que no respondan a la solicitud de revisión o rechacen continuar con la colaboración. Esto da como resultado una cuenta de usuario invitado B2B bloqueada durante 30 días, a lo que le sigue la eliminación de la cuenta.
| Atributo | Configuración |
|---|---|
| Solo usuarios inactivos (en el nivel de inquilino) | 180 días |
| Revisión de varias fases | habilitado |
| Revisores de la primera fase | Revisión del propio acceso por parte de los usuarios |
| Revisores de la segunda fase | Propietarios del grupo |
| Mostrar las decisiones de las fases anteriores a los revisores de fases posteriores | Deshabilitado |
| Revisores a la siguiente fase | Seleccionar Revisados aprobados |
| Si los revisores no responden | Eliminación de acceso |
| Acción que se aplicará a los usuarios invitados denegados | Bloquear el inicio de sesión del usuario durante 30 días y después quitar el usuario del inquilino |
Nota
La opción Acción que se va a aplicar a los usuarios invitados denegados solo es visible en el proceso de creación de la revisión si el ámbito de la revisión de acceso está configurado como Solo usuarios invitados.
Duración de las fases de la revisión
Los administradores de la revisión definen la duración de cada fase de la revisión y, por lo tanto, la cantidad de tiempo que tienen los revisores en su fase para registrar sus decisiones. Cada fase se puede configurar para que tenga su propia duración, para atender la disponibilidad y las expectativas de los revisores.
Cada fase de la revisión permanece abierta para que los revisores agreguen decisiones mientras dure la revisión. Los administradores de la revisión pueden detener una fase en ejecución y avanzar automáticamente el progreso de la revisión general a la siguiente fase de revisión en la página de información general del revisor seleccionando Detener fase actual.
Aplicación de los resultados
Las revisiones de acceso de Microsoft Entra pueden aplicar las decisiones sobre el acceso a un recurso quitando del recurso los usuarios que ya no son necesarios. Las decisiones siempre se aplican al final del período de revisión o cuando un administrador de la revisión finaliza manualmente la revisión. El administrador de la revisión define la aplicación automática de los resultados con la opción Aplicar automáticamente los resultados al recurso o manualmente mediante el botón Aplicar resultados en la página de información general de la revisión.
Los revisores recopilan las decisiones de cada fase. La opción Revisión que va a la siguiente fase define qué revisores de fases posteriores de los revisados verán y se le pedirá que registren las decisiones. Solo se aplican las decisiones al recurso al final de la revisión general.
Para todas las decisiones, la última decisión registrada para un revisado se aplica al final de la revisión. Las decisiones que se tomaron para Jane en la primera fase de la revisión se pueden sobrescribir en la fases dos y tres por parte de los revisores de las fases posteriores.
Si se establece la opción Revisiones que pasan a la siguiente fase de forma que solo un subconjunto de los revisados avancen a las fases posteriores, es posible que se apliquen al final de la revisión las decisiones tomadas en la primera fase. Si el administrador de la revisión ha configurado una revisión de tres fases y quiere que solo los revisados marcados como Denegar y No revisado avancen a las siguientes fases, si se aprobó a Jane en la primera fase, no avanzará a las fases posteriores, se registrará su decisión de Aprobado y se aplicará al final de la revisión.