> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/es/automatizacion/runbooks/runbook-permissions.md). # Permisos de runbook {% embed url="" %} ## Alcance Esto aborda cómo conceder/denegar acceso a ciertos runbooks en un Tenant de Azure. Si busca respuestas sobre qué permisos de la API de MS Graph se necesitan para ejecutar una determinada acción como runbook, eche un vistazo a nuestros [requisitos](/es/automatizacion/connecting-azure-automation/azure-ad-roles-and-permissions.md). ## Resumen "Runbook Permissions" define la visibilidad de los runbooks para ciertos usuarios. Algunos runbooks también pueden bloquearse/ocultarse globalmente. Como en los [Personalizaciones de Runbook](/es/automatizacion/runbooks/runbook-customization.md), definir estos permisos se realiza proporcionando una configuración con formato JSON como administrador de RealmJoin en el portal web de RealmJoin en . ### Acerca de esta guía Daremos una breve descripción de la sintaxis y luego construiremos un ejemplo completo paso a paso. Siéntase libre de ir directamente al ejemplo completo y comenzar desde [allí](#targetentitygroups). ## Sintaxis de configuración ### Nombres de los Runbooks Los runbooks se referencian por sus nombres tal como aparecen en la Azure Automation Account, por ejemplo `rjgit-group_general_remove-group`. Se pueden usar comodines ('\*') para coincidir con varios runbooks. Se pueden usar varios comodines en la misma cadena, por ejemplo `rjgit-*_security_*`. Esto coincidiría con todos los siguientes ejemplos: * `rjgit-org_security_list-inactive-users` * `rjgit-device_security_enable-or-disable-device` El prefijo `rjgit-` denota runbooks que se importan desde nuestro repositorio público de GitHub. Los runbooks específicos del cliente no tienen prefijo, por ejemplo `user_userinfo_custom-runbook` ### Entra ID Groups Los grupos de Entra ID se referenciarán mediante su Object ID, como `91688d11-9a34-42cd-8d1e-ce617d6c1234`. Actualmente, solo se pueden usar grupos de seguridad. ## Estructura JSON y ejemplo Construiremos un ejemplo completo de configuración paso a paso. Una configuración JSON consta de múltiples secciones, pero todas las secciones son opcionales y pueden omitirse. Se permite agregar comentarios usando el prefijo "//". ### EnabledRunbookPatterns Esta sección contiene una lista de runbooks cuyo uso está permitido. Si se omite esta sección, todos los runbooks están habilitados/permitidos de forma predeterminada. Si define esta sección, entonces solo los runbooks mencionados en esta sección podrán ser utilizados por cualquier rol / soporte y administrador. #### Ejemplo * Permitir solo ciertos runbooks individuales proporcionando su nombre completo `rjgit-group_general_remove-group` * Permitir todos los runbooks relacionados con dispositivos de nuestro repositorio compartido `rjgit-device_*` * Permitir todos los runbooks compartidos de usuario `rjgit-user_*` * Permitir todos los runbooks relacionados con usuarios específicos del cliente (locales) `user_*` Esto deja implícitamente fuera muchos runbooks basados en grupos y todos los basados en org. Téngalo en cuenta. ``` { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ] } ``` ### DisabledRunbookPatterns Una lista de runbooks que están deshabilitados/prohibidos globalmente. Si se omite esta sección o está vacía, todos los runbooks habilitados (indicados mediante [EnabledRunbookPatterns](#enabledrunbookpatterns)) pueden utilizarse. Las entradas de esta sección tienen prioridad sobre las entradas de [EnabledRunbookPatterns ](#enabledrunbookpatterns)- los runbooks se ocultarán/no podrán ser utilizados por nadie en este Tenant. #### Ejemplo Reutilizaremos la `EnabledRunbookPatterns` sección de antes. * Deshabilitar todos los runbooks compartidos (`rjgit-`) en la `seguridad` categoría. ``` { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ], "DisabledRunbookPatterns": [ "rjgit-*_security_*" ] } ``` ### Roles En esta sección puede asignar una lista de runbooks a un grupo de Entra ID. Esto permite definir múltiples roles de soporte/operador en su Tenant. Si se omite esta sección, todo el soporte y los administradores de RealmJoin tienen acceso a todos los runbooks indicados en las secciones anteriores. {% hint style="warning" %} Si está habilitada, todos los usuarios que no pertenezcan a un rol no verán ningún runbook. {% endhint %} #### Ejemplo Continuando con lo que tenemos, creemos un rol de soporte de dispositivos `DeviceAdmin` y un rol de soporte de usuario `UserAdmin`. Aplicaremos esos roles a varios grupos de Entra ID y, para cada rol, daremos una lista de runbooks permitidos. Tenga en cuenta: esto restringirá el rol de soporte de usuario a solo un pequeño conjunto de runbooks. Añadamos comentarios ("//") junto al object ID del grupo que ayuden al lector proporcionando los nombres de los grupos de Entra ID. ```json { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ], "DisabledRunbookPatterns": [ "rjgit-*_security_*" ], "Roles": { "DeviceAdmin": { "Grupos": [ "9cbfc0af-c217-41e9-b790-3043788f1234", // 1.er grupo AAD de soporte de dispositivos "5555c0af-c217-41e9-b790-3043788f1234" // 2.º grupo AAD de soporte de dispositivos - otro equipo ], "AllowedRunbookPatterns": [ "rjgit-device_*" ] }, "UserAdmin": { "Grupos": [ "1234c0af-c217-41e9-b790-3043788f1234" // Grupo AAD de soporte de usuarios ], "AllowedRunbookPatterns": [ "rjgit-user_general_assign-or-unassign-license", "rjgit-user_mail_*", "user_*" ] } } } ``` Ahora el `UserAdmin` rol puede: * asignar licencias a todos los usuarios de su Tenant * modificar las direcciones de correo electrónico de todos los usuarios de su Tenant El `DeviceAdmin` el rol puede * borrar cualquier dispositivo de su Tenant ### TargetEntityGroups Quizá tenga algunos usuarios VIP cruciales. No debería ser posible que cualquier miembro de soporte borre el dispositivo de un VIP o modifique la dirección de correo electrónico de un VIP. Podemos usar "targeting" para restringir los roles en usuarios críticos a equipos dedicados. "Devices" se dirigirán por su usuario principal/asignado, pero no por el objeto de dispositivo en Entra ID. Esto permite ceñirse a un modelo de grupo puramente basado en usuarios. Suponemos que existen grupos de Entra ID que contienen usuarios VIP críticos. Usando esta sección, podemos delimitar con cuidado algunos roles y runbooks más críticos para estos grupos de Entra ID específicos (targets). Obviamente, si omite esta sección, todos los usuarios/grupos/dispositivos de su Tenant se tratan por igual. Si define TargetEntityGroups, no debería tener ningún impacto en ningún otro grupo no mencionado en la sección. #### Ejemplo completo Suponga el grupo `0000c0af-c217-41e9-b790-3043788f0000` es nuestro grupo de usuarios VIP. Introducimos un nuevo grupo de Entra ID `4444c0af-c217-41e9-b790-3043788f4444` que contiene personal de soporte que ha sido aprobado para administrar usuarios VIP. Este personal de soporte también debería tener todos los demás permisos básicos de soporte, así que los agregaremos a los roles existentes. "Restringir" un rol no otorgará nuevos roles a un asistente. ```json { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ], "DisabledRunbookPatterns": [ "rjgit-*_security_*" ], "Roles": { "DeviceAdmin": { "Grupos": [ "9cbfc0af-c217-41e9-b790-3043788f1234", // 1.er grupo AAD de soporte de dispositivos "5555c0af-c217-41e9-b790-3043788f1234", // 2.º grupo AAD de soporte de dispositivos - otro equipo "4444c0af-c217-41e9-b790-3043788f4444" // equipo de soporte VIP ], "AllowedRunbookPatterns": [ "rjgit-device_*" ] }, "UserAdmin": { "Grupos": [ "1234c0af-c217-41e9-b790-3043788f1234", // Grupo AAD de soporte de usuarios "4444c0af-c217-41e9-b790-3043788f4444" // equipo de soporte VIP ], "AllowedRunbookPatterns": [ "rjgit-user_general_assign-or-unassign-license", "rjgit-user_mail_*", "user_*" ] } }, "TargetEntityGroups": { "0000c0af-c217-41e9-b790-3043788f0000": { // usuarios VIP - ¡tratarlos con cuidado! "RestrictRoles": { "UserAdmin": [ "4444c0af-c217-41e9-b790-3043788f4444" // soporte VIP ], "DeviceAdmin": [ "4444c0af-c217-41e9-b790-3043788f4444" // soporte VIP ] } } } } ``` #### **Ejemplo: restringir al personal de soporte de EE. UU. para que gestione solo usuarios de EE. UU.** En este escenario, tenemos personal de soporte con base en EE. UU. que solo debería gestionar usuarios ubicados en EE. UU. Para imponer esta restricción: * Cree una regla de permisos que explícitamente **deniega** a los asistentes de EE. UU. la capacidad de ejecutar runbooks sobre **todos los usuarios**. * Añada una regla de excepción que específicamente **permita** la ejecución de runbooks solo para **usuarios de EE. UU.**. Esto garantiza que los asistentes de EE. UU. tengan permisos limitados estrictamente a su público objetivo previsto (usuarios de EE. UU.) y evita interacciones accidentales con usuarios fuera de este ámbito. **Implementación** 1. Un grupo de Entra de ejecutores de runbooks debe estar asignado en el portal de RealmJoin 1. Configuración > Permisos > Permisos de ejecutor de runbooks 2. El grupo de Entra de los asistentes de EE. UU. debe ser miembro del grupo de ejecutores de runbooks para permitir la operación general de runbooks en el portal de RealmJoin. 2. Añadir un nuevo rol en Configuración > Permisos de Runbook 1. En la sección Roles añada el rol USSupporters con su grupo de Entra (object ID del grupo) 2. Añada AllowedRunbookPatterns para USSupporters 3. Modifique los TargetEntityGroups 1. El grupo All-Users debe restringir el rol USSupporters con un valor vacío (aquí no se añade ningún object ID de grupo de Entra). ¡Esta es una denegación implícita! 2. El grupo US Users debe restringir el rol USSupporters al object ID del grupo de Entra de los asistentes de EE. UU.

Restringir al personal de soporte de EE. UU. para que gestione solo usuarios de EE. UU.

A continuación, el ejemplo completo para este escenario: ```json { // Permiso del portal: // Rol de ejecutor de runbooks: US Supporters // Membresías de grupo: // 3e1e7540-7f0c-483c-b9bf-500342e2467c: All-Users // c603278c-cc36-4661-bb7a-eecb7ab079f9: US Supporters // 0f76d01e-cc6b-4553-bf1d-e4ccedd9c824: US Users "EnabledRunbookPatterns": [ // habilitación general de runbooks de correo y seguridad "rjgit-*_mail_*", "rjgit-*security*" ], "DisabledRunbookPatterns": [ "*password*" ], "Roles": { "USSupporters": { "Grupos": [ "c603278c-cc36-4661-bb7a-eecb7ab079f9" // US Supporters ], "AllowedRunbookPatterns": [ // runbooks permitidos para este rol - US Supporters "rjgit-user_*", "rjgit-device_*", "rjgit-group_*" ] } }, "TargetEntityGroups": { "3e1e7540-7f0c-483c-b9bf-500342e2467c": { // All-Users "RestrictRoles": { "USSupporters": [ // en general, no permita runbooks para ningún asistente de EE. UU. ] } }, "0f76d01e-cc6b-4553-bf1d-e4ccedd9c824": { // US Users "RestrictRoles": { "USSupporters": [ "c603278c-cc36-4661-bb7a-eecb7ab079f9" // US Supporters ] } } } } ``` ### SchedulingEnabledRunbookPatterns Esta sección contiene una lista de runbooks que se marcarán como "programables". RealmJoin Port permitirá asignar / gestionar horarios para estos runbooks. Véase [Programación de runbooks](/es/automatizacion/runbooks/scheduling.md). El siguiente ejemplo describe el comportamiento predeterminado si no se definen SchedulingEnabledRunbookPatterns: ```json { "SchedulingEnabledRunbookPatterns": [ "*_scheduled" ] } ``` ### SchedulingDisabledRunbookPatterns Esta sección contiene una lista de runbooks que serán incluidas en la lista negra para que no se marquen como "programables". RealmJoin Port no permitirá asignar / gestionar horarios para estos runbooks. Véase [Programación de runbooks](/es/automatizacion/runbooks/scheduling.md). Un runbook presente tanto en SchedulingEnabledRunbookPatterns como en SchedulingDisabledRunbookPatterns **devolvería** será programable. De forma predeterminada, ningún runbook está incluido en la lista negra. El siguiente ejemplo solo demuestra la sintaxis: ```json { "SchedulingDisabledRunbookPatterns": [ "rjgit-user_*" ] } ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/es/automatizacion/runbooks/runbook-permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.