Ampliación o renovación de PIM para asignaciones de grupos

Privileged Identity Management (PIM) de Microsoft Entra ID proporciona controles para administrar el ciclo de vida de acceso y asignación de la propiedad y la pertenencia a grupos. Los administradores pueden asignar propiedades de fecha y hora de inicio y finalización para la pertenencia a grupos y la propiedad. Cuando el fin de la asignación se aproxima, Privileged Identity Management envía notificaciones por correo electrónico a los usuarios o grupos afectados. También envía notificaciones por correo electrónico a los administradores del recurso para asegurarse de que se mantenga el acceso adecuado. Las asignaciones pueden renovarse y permanecer visibles en un estado expirado durante un máximo de 30 días, incluso si el acceso no se prolonga.

Quién puede ampliar y renovar

Solo los usuarios con permisos para administrar grupos pueden extender o renovar la pertenencia a grupos o las asignaciones de propiedad con límite de tiempo. El usuario o grupo afectado puede solicitar que se amplíen las asignaciones que están a punto de expirar, así como que se renueven las que ya han expirado.

Los grupos a los que se pueden asignar roles pueden ser administrados por, al menos, el Administrador de roles con privilegios o el Propietario del grupo. Los grupos a los que no se pueden asignar roles pueden ser administrados, al menos, por el Escritor de directorios, el Administrador de grupos, el Administrador de gobernanza de identidades, el Administrador de usuarios o el Propietario del grupo. Las asignaciones de roles para los administradores deberían tener el ámbito en el nivel de directorio (no en el nivel de unidad administrativa).

Nota:

Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos M365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en PIM de Microsoft Entra.

Cuándo se envían notificaciones

Privileged Identity Management envía notificaciones por correo electrónico a los administradores y a los usuarios afectados de las asignaciones de grupos de PIM que expiran:

  • En un plazo de 14 días antes de la expiración.
  • Un día antes de la expiración.
  • Cuando expira una asignación.

Los administradores reciben notificaciones cuando un usuario o grupo asignado a un rol que va a expirar, o que ha expirado, solicita la ampliación o renovación. Cuando un administrador resuelve la solicitud, se notifica la aprobación o denegación a todos los administradores y al usuario que lo solicita.

Extensión de las asignaciones de grupo

En los pasos siguientes se describe el proceso de la solicitud, resolución o administración de una extensión o renovación de una asignación de pertenencia a grupos o propiedad.

Ampliación automática de asignaciones que van a expirar

Los usuarios asignados a una pertenencia a grupos o propiedad pueden ampliar las asignaciones de grupos que van a expirar directamente desde la pestaña Válido o Activo en la página de asignaciones del grupo. Los usuarios o grupos pueden solicitar la ampliación de las asignaciones válidas y activas que expiren en los próximos 14 días.

Captura de pantalla en la que se indica dónde ampliar automáticamente las asignaciones de expiración.

Cuando la fecha y hora de finalización de la asignación es de 14 días, el comando Extender está disponible. Para solicitar una extensión de la asignación de grupo, seleccione Extender para abrir el formulario de solicitud.

Captura de pantalla en la que se indica dónde ampliar el panel de asignación de grupos con un cuadro de motivos y detalles.

Nota:

Se recomienda incluir los detalles de por qué es necesaria la extensión y de cuánto tiempo debe ser (si se tiene acceso a esta información).

Los administradores reciben una notificación por correo electrónico en la que se les solicita que revisen la solicitud de ampliación. Si ya se ha enviado una solicitud para la ampliación, aparecerá una notificación de Azure en el portal.

Para ver el estado o cancelar la solicitud, abra la página de solicitudes pendientes de la asignación de grupo.

Captura de pantalla de la página de solicitudes pendientes en la que se muestra el vínculo a la opción Cancelar.

Ampliación aprobada por el administrador

Cuando un usuario o grupo envía una solicitud para extender la asignación de un grupo, los administradores reciben una notificación por correo electrónico con los detalles de la asignación original y el motivo de la solicitud. La notificación incluye un vínculo directo a la solicitud para que el administrador la apruebe o deniegue.

Además de usar el vínculo del correo electrónico, los administradores pueden aprobar o rechazar las solicitudes en el portal de administración de Privileged Identity Management; para ello, deben seleccionar Aprobar solicitudes en el panel izquierdo.

Captura de pantalla de la página de aprobación de solicitudes en la que se muestran solicitudes y vínculos para aprobar o denegar.

Cuando un administrador selecciona Aprobar o Denegar, se muestran los detalles de la solicitud, junto con un campo para especificar una justificación comercial para los registros de auditoría.

Captura de pantalla en la que se indica dónde realizar la aprobación de la asignación de grupos y que incluye el motivo del solicitante, el tipo de asignación, la hora de inicio, la hora de finalización y el motivo.

Al aprobar una solicitud para extender la asignación de grupos, los administradores de recursos pueden elegir una nueva fecha de inicio y finalización y un tipo de asignación. Cambiar el tipo de asignación puede ser necesario si el administrador quiere proporcionar acceso limitado para completar una tarea específica (por ejemplo, un día). En este ejemplo, el administrador puede cambiar la asignación de Elegible a Activa. Esto quiere decir que puede brindar acceso al solicitante sin requerirle que la activación.

Ampliación iniciada por el administrador

Si un usuario asignado a un grupo no solicita una extensión para la asignación de grupos, un administrador puede extender una asignación en nombre del usuario. Las extensiones administrativas de la asignación de grupos no requieren aprobación, pero se envían notificaciones a todos los administradores restantes después de haber extendido la asignación.

Para extender una asignación de grupos, vaya a la vista de la asignación en Privileged Identity Management. Busque la asignación que requiere una ampliación. Luego, seleccione Extender en la columna de acción.

Captura de pantalla de la página de asignaciones en la que se enumeran las asignaciones de grupo válidas con vínculos para ampliarlas.

Renovación de las asignaciones de grupo

Aunque conceptualmente es similar al proceso para solicitar una extensión, el proceso para renovar una asignación de grupo expirada es diferente. Mediante los siguientes pasos, tanto las asignaciones como los administradores pueden renovar cuando sea necesario el acceso a las asignaciones que hayan expirado.

Renovación automática

Los usuarios que ya no tengan acceso a los recursos pueden tener acceso durante un período de hasta 30 días al historial de asignaciones expiradas. Para ello, vaya a Mis roles en el panel izquierdo y luego seleccione la pestaña Asignaciones expiradas.

La lista de asignaciones que se muestra de forma predeterminada se denomina Asignaciones válidas. Utilice el menú desplegable para alternar entre las asignaciones válidas y activas.

Para solicitar la renovación de cualquiera de las asignaciones de grupos de la lista, seleccione la acción Renovar. A continuación, indique un motivo para la solicitud. Resulta útil indicar una duración, además de cualquier contexto adicional o una justificación comercial que ayude al administrador de recursos a la hora de decidir si la aprueba o la deniega.

Después de haber enviado la solicitud, se notifica a los administradores de recursos de que hay una solicitud pendiente para renovar la asignación de un grupo.

Aprobaciones de los administradores

Los administradores de recursos pueden acceder a la solicitud de renovación desde el vínculo de la notificación por correo electrónico o bien pueden acceder a Privileged Identity Management en el centro de administración de Microsoft Entra y seleccionar Aprobar solicitudes en el panel izquierdo.

Cuando un administrador selecciona Aprobar o Denegar, se muestran los detalles de la solicitud, junto con un campo para especificar una justificación comercial para los registros de auditoría.

Al aprobar una solicitud para renovar la asignación de grupos, los administradores de recursos deben especificar una nueva fecha de inicio y finalización y un tipo de asignación.

Pasos siguientes