Implementación de Privileged Identity Management (PIM) con el portal RealmJoin
pestaña Resumen
Esta guía le muestra cómo implementar Microsoft Entra ID Privileged Identity Management (PIM) para Grupos con acceso administrativo al portal RealmJoin. PIM proporciona acceso administrativo justo a tiempo, reduciendo los riesgos de seguridad al requerir que los usuarios activen sus roles privilegiados cuando sea necesario.
Al implementar PIM con RealmJoin, los administradores deben activar explícitamente sus privilegios administrativos por un período de tiempo definido, creando una pista de auditoría y reduciendo la superficie de ataque de accesos administrativos persistentes.
Requisitos previos
Licencias Microsoft Entra ID P2 para los usuarios que requieran acceso a PIM
Permisos de Administrador global o Administrador de roles con privilegios
Acceso a la configuración del portal RealmJoin
Conocimiento de los Grupos de Microsoft Entra ID y asignaciones de roles
Pasos de implementación
Paso 1: Crear grupos asignables a roles
Cree dos grupos de seguridad en Microsoft Entra ID. Aunque el atributo “assignable a roles” ya no es un requisito estricto, sigue siendo recomendable para una funcionalidad óptima de PIM.
Grupo 1: Grupo de elegibilidad
Nombre:
sec - PIM-Eligibility - RealmJoin Portal - AdminsPropósito: Contiene usuarios elegibles para el acceso administrativo a RealmJoin
Tipo: Grupo de seguridad
Asignable a roles: Recomendado (Sí)
Grupo 2: Grupo de administradores activo
Nombre:
sec - PIM-Enabled - RealmJoin Portal - AdminsPropósito: El grupo objetivo que proporciona los permisos administrativos reales de RealmJoin
Tipo: Grupo de seguridad
Asignable a roles: Recomendado (Sí)
Paso 2: Configurar PIM para Grupos
Habilitar PIM para Grupos
Navegar a Microsoft Entra ID > Privileged Identity Management
Selecciona Grupos desde el panel de navegación izquierdo
Elija Descubrir grupos para identificar grupos elegibles para la administración por PIM
Seleccione sus grupos recién creados para ponerlos bajo el control de PIM
Para pasos detallados de configuración, consulte la documentación oficial de Microsoft:
Configurar la configuración de grupos
Establecer la duración de la activación (recomendado: 1-8 horas)
Configurar requisitos de aprobación si es necesario
Definir requisitos de activación (MFA, justificación de negocio)
Establecer políticas de duración máxima de activación
Paso 3: Asignar elegibilidad
Configurar la elegibilidad de usuarios para el grupo habilitado para PIM:
En PIM, navegue a Grupos > Asignaciones
Seleccione el
sec - PIM-Enabled - RealmJoin Portal - AdminsgrupoElija Agregar asignaciones
Selecciona Elegible tipo de asignación
Elija usuarios o el grupo de elegibilidad (
sec - PIM-Eligibility - RealmJoin Portal - Admins)Establezca la duración y el calendario de la asignación según se requiera
Para una guía completa sobre asignaciones, consulte: Asignar elegibilidad para un grupo en Privileged Identity Management
Lógica de configuración
Flujo de trabajo de gestión de usuarios
Agregar usuarios al grupo de elegibilidad: Agregue cuentas de usuario a
sec - PIM-Eligibility - RealmJoin Portal - AdminsEste grupo sirve como la fuente de usuarios que pueden solicitar acceso administrativo
Los usuarios en este grupo pueden activar la membresía en el grupo habilitado para PIM
Configurar el portal RealmJoin: Establezca
sec - PIM-Enabled - RealmJoin Portal - Adminscomo el grupo administrativo en la configuración del portal RealmJoinSolo los miembros activos de este grupo tendrán permisos de administrador
Los usuarios deben activar su membresía a través de PIM para obtener acceso
Proceso de activación de acceso
Cuando los usuarios necesiten acceso administrativo a RealmJoin:
El usuario navega a Mi acceso portal o interfaz de PIM
Solicita la activación de la membresía en
sec - PIM-Enabled - RealmJoin Portal - AdminsProporciona justificación comercial (si se requiere)
Completa el desafío MFA (si está configurado)
Recibe acceso administrativo con tiempo limitado al portal RealmJoin
El acceso expira automáticamente después de la duración definida
Beneficios de seguridad
Acceso justo a tiempo: Los privilegios de administrador se conceden solo cuando se necesitan
Pista de auditoría: Todas las solicitudes de activación y aprobaciones quedan registradas
Reducción de la superficie de ataque: Menos cuentas administrativas persistentes
Cumplimiento: Soporta requisitos regulatorios para la gestión de acceso privilegiado
Duración controlada: El acceso administrativo expira automáticamente
Flujos de aprobación: Procesos de aprobación opcionales para roles sensibles
Mejores prácticas
Revisiones periódicas de acceso: Revise periódicamente las membresías de grupos y las asignaciones de PIM
Duración apropiada: Establezca periodos de activación basados en la duración típica de las tareas administrativas
Aplicación de MFA: Requerir siempre autenticación multifactor para la activación
Justificación comercial: Exigir a los usuarios que proporcionen razones para las solicitudes de acceso
Monitoreo: Revisar regularmente los registros de auditoría de PIM en busca de patrones de activación inusuales
Documentación: Mantener procedimientos claros para escenarios de acceso de emergencia
Solución de problemas
Problemas comunes
Los usuarios no pueden ver la opción de activación: Verifique las licencias de PIM y las asignaciones de grupos
La activación falla: Revise la configuración de MFA y del flujo de trabajo de aprobación
Acceso a RealmJoin denegado: Confirme que el grupo correcto esté configurado en la configuración del portal RealmJoin
Pasos de verificación
Pruebe el proceso de activación con un usuario piloto
Verifique que el portal RealmJoin reconozca el grupo habilitado para PIM
Confirme que el registro de auditoría funcione correctamente
Pruebe los procedimientos de acceso de emergencia
Recursos adicionales
Última actualización
¿Te fue útil?