# Permisos de runbook

{% embed url="<https://www.youtube.com/watch?v=bLi_k_Yzhyw>" %}

## Alcance

Esto aborda cómo otorgar/denegar acceso a ciertos runbooks en un tenant de Azure. Si busca respuestas sobre qué permisos de la API de MS Graph se necesitan para ejecutar una determinada acción como runbook, por favor eche un vistazo a nuestros [requisitos](/es/automatizacion/connecting-azure-automation/azure-ad-roles-and-permissions.md).

## Información general

"Runbook Permissions" define la visibilidad de los runbooks para ciertos usuarios. Algunos runbooks también pueden bloquearse/ocultarse globalmente.

Al igual que las [Runbook Customizations](/es/automatizacion/runbooks/runbook-customization.md), definir estos permisos se realiza proporcionando una configuración con formato JSON como administrador de RealmJoin en el portal web de RealmJoin en <https://portal.realmjoin.com/settings/runbooks-permissions> .

### Acerca de esta guía

Daremos una breve descripción de la sintaxis y luego construiremos un ejemplo completo paso a paso. Siéntase libre de ir directamente al ejemplo completo y comenzar desde [allí](#targetentitygroups).

## Sintaxis de configuración

### Nombres de runbooks

Los runbooks se referencian por sus nombres tal como se ven en la Azure Automation Account, por ejemplo `rjgit-group_general_remove-group`.

Se pueden usar comodines ('\*') para coincidir con múltiples runbooks. Se pueden usar múltiples comodines en la misma cadena, por ejemplo `rjgit-*_security_*`. Esto coincidiría con todos los siguientes ejemplos:

* `rjgit-org_security_list-inactive-users`
* `rjgit-device_security_enable-or-disable-device`

El prefijo `rjgit-` denota runbooks que se importan desde nuestro repositorio público de GitHub. Los runbooks específicos de cliente no tienen prefijo, por ejemplo `user_userinfo_custom-runbook`

### Entra ID Groups

Los grupos de Entra ID se referenciarán usando su Object ID, como `91688d11-9a34-42cd-8d1e-ce617d6c1234`. Actualmente, solo se pueden usar grupos de seguridad.

## Estructura JSON y ejemplo

Construiremos un ejemplo completo de configuración paso a paso.

Una configuración JSON consiste en varias secciones, pero todas son opcionales y pueden omitirse.

Se permite añadir comentarios usando el prefijo "//".

### EnabledRunbookPatterns

Esta sección contiene una lista de runbooks permitidos para su uso. Si se omite esta sección, todos los runbooks están habilitados/permitidos de forma predeterminada.

Si define esta sección, entonces solo los runbooks mencionados en esta sección podrán ser usados por cualquier rol / soporte y administrador.

#### Ejemplo

* Permitir solo ciertos runbooks individuales dando su nombre completo

  `rjgit-group_general_remove-group`
* Permitir todos los runbooks relacionados con dispositivos de nuestro repositorio compartido

  `rjgit-device_*`
* Permitir todos los runbooks compartidos de usuarios

  `rjgit-user_*`
* Permitir todos los runbooks específicos del cliente (locales) relacionados con usuarios

  `user_*`

Esto deja fuera implícitamente muchos runbooks basados en grupos y todos los basados en organizaciones. Tenga cuidado.

```
{
  "EnabledRunbookPatterns": [
    "rjgit-group_general_remove-group",
    "rjgit-device_*",
    "rjgit-user_*",
    "user_*"
  ]
}
```

### DisabledRunbookPatterns

Una lista de runbooks deshabilitados / prohibidos globalmente. Si esta sección se omite o está vacía, todos los runbooks habilitados (dados mediante [EnabledRunbookPatterns](#enabledrunbookpatterns)) se pueden usar.

Las entradas de esta sección tienen prioridad sobre las entradas en [EnabledRunbookPatterns ](#enabledrunbookpatterns)- los runbooks estarán ocultos/no podrán ser usados por nadie en este tenant.

#### Ejemplo

Reutilizaremos la `EnabledRunbookPatterns` sección de antes.

* Deshabilitar todos los runbooks compartidos (`rjgit-`) en la categoría de `security` .

```
{
  "EnabledRunbookPatterns": [
    "rjgit-group_general_remove-group",
    "rjgit-device_*",
    "rjgit-user_*",
    "user_*"
  ],
  "DisabledRunbookPatterns": [
    "rjgit-*_security_*"
  ]
}
```

### Roles

En esta sección puede asignar una lista de runbooks a un grupo de Entra ID. Esto permite definir múltiples roles de soporte/operador en su tenant.

Si se omite esta sección, todo el soporte de RealmJoin y los administradores tienen acceso a todos los runbooks dados en las secciones anteriores.

{% hint style="warning" %}
Si está habilitado, todos los usuarios que no pertenezcan a un rol no verán ningún runbook.
{% endhint %}

#### Ejemplo

Continuando con lo que tenemos, vamos a crear un rol de soporte de dispositivos `DeviceAdmin` y un rol de soporte de usuarios `UserAdmin`.

Aplicaremos esos roles a múltiples grupos de Entra ID y para cada rol daremos una lista de runbooks permitidos. Tenga en cuenta: esto restringirá el rol de soporte de usuarios a solo un pequeño conjunto de runbooks.

Añadamos comentarios ("//") junto al Object ID del grupo que ayuden al lector dando los nombres de los grupos de Entra ID.

```json
{
  "EnabledRunbookPatterns": [
    "rjgit-group_general_remove-group",
    "rjgit-device_*",
    "rjgit-user_*",
    "user_*"
  ],
  "DisabledRunbookPatterns": [
    "rjgit-*_security_*"
  ],
  "Roles": {
    "DeviceAdmin": {
      "Groups": [
        "9cbfc0af-c217-41e9-b790-3043788f1234", // 1st Device Support AAD Group
        "5555c0af-c217-41e9-b790-3043788f1234"  // 2nd Device Support AAD Group - other team
      ],
      "AllowedRunbookPatterns": [
        "rjgit-device_*"
      ]
    },
    "UserAdmin": {
      "Groups": [
        "1234c0af-c217-41e9-b790-3043788f1234" // User Support AAD Group
      ],
      "AllowedRunbookPatterns": [
        "rjgit-user_general_assign-or-unassign-license",
        "rjgit-user_mail_*",
        "user_*"
      ]
    }
  }
}
```

Ahora el `UserAdmin` rol puede:

* asignar licencias a todos los usuarios en su tenant
* modificar las direcciones de correo electrónico de todos los usuarios en su tenant

El `DeviceAdmin` rol puede

* borrar cualquier dispositivo en su tenant

### TargetEntityGroups

Quizás tenga algunos usuarios VIP cruciales. No debería ser posible que cualquier miembro del personal de soporte borre el dispositivo de un VIP o modifique la dirección de correo electrónico de un VIP. Podemos usar el "targeting" para restringir roles sobre usuarios críticos a equipos dedicados.

Los "Devices" serán apuntados por su usuario principal/asignado pero no por el objeto del dispositivo en Entra ID. Esto permite ceñirse a un modelo de grupos puramente basado en usuarios.

Asumimos que existen grupos de Entra ID que contienen usuarios VIP críticos. Usando esta sección, podemos delimitar cuidadosamente algunos roles y runbooks más críticos para estos grupos específicos de Entra ID (targets).

Obviamente, si omite esta sección, todos los usuarios/grupos/dispositivos en su tenant se tratan por igual.

Si define TargetEntityGroups no debería tener ningún impacto en ningún otro grupo no mencionado en la sección.

#### Ejemplo completo

Suponga que el grupo `0000c0af-c217-41e9-b790-3043788f0000` es nuestro grupo de usuarios VIP.

Introducimos un nuevo grupo de Entra ID `4444c0af-c217-41e9-b790-3043788f4444` que contiene personal de soporte que ha sido aprobado para administrar usuarios VIP. Este personal de soporte también debería tener todos los demás permisos básicos de soporte, así que los añadiremos a los roles existentes.

"Restringir" un rol no otorgará nuevos roles a un miembro del soporte.

```json
{
  "EnabledRunbookPatterns": [
    "rjgit-group_general_remove-group",
    "rjgit-device_*",
    "rjgit-user_*",
    "user_*"
  ],
  "DisabledRunbookPatterns": [
    "rjgit-*_security_*"
  ],
  "Roles": {
    "DeviceAdmin": {
      "Groups": [
        "9cbfc0af-c217-41e9-b790-3043788f1234", // 1st Device Support AAD Group
        "5555c0af-c217-41e9-b790-3043788f1234", // 2nd Device Support AAD Group - other team
        "4444c0af-c217-41e9-b790-3043788f4444"  // VIP Support Crew
      ],
      "AllowedRunbookPatterns": [
        "rjgit-device_*"
      ]
    },
    "UserAdmin": {
      "Groups": [
        "1234c0af-c217-41e9-b790-3043788f1234", // User Support AAD Group
        "4444c0af-c217-41e9-b790-3043788f4444"  // VIP Support Crew
      ],
      "AllowedRunbookPatterns": [
        "rjgit-user_general_assign-or-unassign-license",
        "rjgit-user_mail_*",
        "user_*"
      ]
    }
  },
  "TargetEntityGroups": {
    "0000c0af-c217-41e9-b790-3043788f0000": {  // VIP Users - Treat with care!
      "RestrictRoles": {
        "UserAdmin": [
          "4444c0af-c217-41e9-b790-3043788f4444" // VIP Support
        ],
        "DeviceAdmin": [
          "4444c0af-c217-41e9-b790-3043788f4444" // VIP Support
        ]
      }
    }
  }
}
```

#### **Ejemplo: restringir al personal de soporte de EE. UU. para gestionar solo usuarios de EE. UU.**

En este escenario, tenemos personal de soporte ubicado en EE. UU. que solo debería gestionar usuarios ubicados en EE. UU. Para aplicar esta restricción:

* Cree una regla de permisos que explícitamente **deniegue** a los usuarios de soporte de EE. UU. la capacidad de ejecutar Runbooks en **todos los usuarios**.
* Añada una regla de excepción que específicamente **permita** la ejecución de Runbooks solo para **usuarios de EE. UU.**.

Esto garantiza que los usuarios de soporte de EE. UU. tengan permisos estrictamente limitados a su público objetivo previsto (usuarios de EE. UU.) y evita interacciones accidentales con usuarios fuera de este alcance.

**Implementación**

1. Se debe asignar un grupo de Entra de Runbook Runners en Realm Join Portal
   1. Settings > Permissions > Runbook Runner Permissions
   2. El grupo de Entra de US Supporters debe ser miembro del grupo Runbook Runners para permitir la operación general de Runbook en el portal de RealmJoin.
2. Añadir un nuevo rol en Settings > Runbook Permissions
   1. En la sección Roles añada el rol USSupporters con su grupo de Entra (Object ID del grupo)
   2. Añada AllowedRunbookPatterns para los USSupporters
3. Modifique los TargetEntityGroups
   1. El grupo All-Users debe Restrict el rol USSupporters con un valor vacío (aquí no se añade ningún Object ID de grupo de Entra). ¡Esto es una denegación implícita!
   2. El grupo US Users debe Restrict el rol USSupporters al Object ID del grupo de Entra de US Supporters

<figure><img src="/files/fb99016a18cd960e182cad151187e762aa2fa993" alt=""><figcaption><p>Restringir al personal de soporte de EE. UU. para que gestione solo usuarios de EE. UU.</p></figcaption></figure>

A continuación, el ejemplo completo para este escenario:

```json
{
  // Portal Permission:
  // Runbook Runner Role: US Supporters

  // Group Memberships:
  // 3e1e7540-7f0c-483c-b9bf-500342e2467c: All-Users
  // c603278c-cc36-4661-bb7a-eecb7ab079f9: US Supporters
  // 0f76d01e-cc6b-4553-bf1d-e4ccedd9c824: US Users

  "EnabledRunbookPatterns": [ // Habilitación general de runbooks de correo y seguridad
    "rjgit-*_mail_*",
    "rjgit-*security*"
  ],
  "DisabledRunbookPatterns": [
    "*password*"
  ],

  "Roles": {
    "USSupporters": {
      "Groups": [
        "c603278c-cc36-4661-bb7a-eecb7ab079f9" // US Supporters
      ],
      "AllowedRunbookPatterns": [ // runbooks permitidos para este rol - US Supporters
        "rjgit-user_*",
        "rjgit-device_*",
        "rjgit-group_*"
      ]
    }
  },
  
  "TargetEntityGroups": {
    "3e1e7540-7f0c-483c-b9bf-500342e2467c": { // All-Users
      "RestrictRoles": {
        "USSupporters": [
          // en general, no permitir runbooks para ningún US Supporters
        ]
      }
    },
    "0f76d01e-cc6b-4553-bf1d-e4ccedd9c824": { // US Users
      "RestrictRoles": {
        "USSupporters": [
          "c603278c-cc36-4661-bb7a-eecb7ab079f9" // US Supporters
        ]
      }
    }
  }
}
```

### SchedulingEnabledRunbookPatterns

Esta sección contiene una lista de runbooks que se marcarán como "programables". RealmJoin Port permitirá asignar / gestionar horarios para estos runbooks. Véase [Programación de runbooks](/es/automatizacion/runbooks/scheduling.md).

El siguiente ejemplo describe el comportamiento predeterminado si SchedulingEnabledRunbookPatterns no está definido:

```json
{
  "SchedulingEnabledRunbookPatterns": [
    "*_scheduled"
  ]
}
```

### SchedulingDisabledRunbookPatterns

Esta sección contiene una lista de runbooks que se incluirán en la lista negra para que no se marquen como "programables". RealmJoin Port no permitirá asignar / gestionar horarios para estos runbooks. Véase [Programación de runbooks](/es/automatizacion/runbooks/scheduling.md).

Un runbook presente tanto en SchedulingEnabledRunbookPatterns como en SchedulingDisabledRunbookPatterns **devolverá** será programable.

De forma predeterminada, ningún runbook está en la lista negra. El siguiente ejemplo solo demuestra la sintaxis:

```json
{
  "SchedulingDisabledRunbookPatterns": [
    "rjgit-user_*"
  ]
}
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/es/automatizacion/runbooks/runbook-permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.