Implementación de Privileged Identity Management (PIM) con el portal de RealmJoin
Información general
Esta guía le guía paso a paso en la implementación de Microsoft Entra ID Privileged Identity Management (PIM) para Groups con acceso administrativo de RealmJoin Portal. PIM proporciona acceso administrativo justo a tiempo, reduciendo los riesgos de seguridad al exigir que los usuarios activen sus roles privilegiados cuando sea necesario.
Al implementar PIM con RealmJoin, los administradores deben activar explícitamente sus privilegios de administrador por un período de tiempo definido, creando un registro de auditoría y reduciendo la superficie de ataque del acceso administrativo persistente.
Requisitos previos
Licencia Microsoft Entra ID P2 para usuarios que requieren acceso PIM
Permisos de Global Administrator o Privileged Role Administrator
Acceso a la configuración de RealmJoin Portal
Comprensión de Microsoft Entra ID Groups y asignaciones de roles
Pasos de implementación
Paso 1: Crear grupos asignables a roles
Cree dos grupos de seguridad en Microsoft Entra ID. Aunque el atributo "asignable a roles" ya no es un requisito estricto, sigue siendo recomendable para un funcionamiento óptimo de PIM.
Grupo 1: Grupo de elegibilidad
Nombre:
sec - PIM-Eligibility - RealmJoin Portal - AdminsPropósito: Contiene usuarios elegibles para el acceso de administrador de RealmJoin
Tipo: Security Group
Asignable a roles: Recomendado (Sí)
Grupo 2: Grupo de administradores activos
Nombre:
sec - PIM-Enabled - RealmJoin Portal - AdminsPropósito: El grupo de destino que proporciona los permisos reales de administrador de RealmJoin
Tipo: Security Group
Asignable a roles: Recomendado (Sí)
Paso 2: Configurar PIM para Groups
Habilitar PIM para Groups
Vaya a Microsoft Entra ID > Privileged Identity Management
Seleccione Grupos desde el panel de navegación izquierdo
Elija Discover groups para identificar grupos elegibles para la administración de PIM
Seleccione los grupos que creó recientemente para ponerlos bajo control de PIM
Para obtener pasos de configuración detallados, consulte la documentación oficial de Microsoft:
Configurar la configuración del grupo
Establecer la duración de activación (recomendado: 1-8 horas)
Configurar los requisitos de aprobación si es necesario
Definir los requisitos de activación (MFA, justificación empresarial)
Establecer políticas de duración máxima de activación
Paso 3: Asignar elegibilidad
Configure la elegibilidad de los usuarios para el grupo habilitado para PIM:
En PIM, navegue a Grupos > Asignaciones
Seleccione el
sec - PIM-Enabled - RealmJoin Portal - AdminsgrupoElija Agregar asignaciones
Seleccione Elegible tipo de asignación
Elija usuarios o el grupo de elegibilidad (
sec - PIM-Eligibility - RealmJoin Portal - Admins)Establezca la duración y el horario de la asignación según sea necesario
Para obtener una guía completa sobre asignaciones, consulte: Asignar elegibilidad para un grupo en Privileged Identity Management
Lógica de configuración
Flujo de trabajo de administración de usuarios
Agregar usuarios al grupo de elegibilidad: Agregue cuentas de usuario a
sec - PIM-Eligibility - RealmJoin Portal - AdminsEste grupo sirve como fuente de usuarios que pueden solicitar acceso de administrador
Los usuarios de este grupo pueden activar la membresía en el grupo habilitado para PIM
Configurar RealmJoin Portal: Establecer
sec - PIM-Enabled - RealmJoin Portal - Adminscomo el grupo administrativo en la configuración de RealmJoin PortalSolo los miembros activos de este grupo tendrán permisos de administrador
Los usuarios deben activar su membresía a través de PIM para obtener acceso
Proceso de activación del acceso
Cuando los usuarios necesitan acceso de administrador de RealmJoin:
El usuario navega a My Access portal o interfaz de PIM
Solicita la activación de la membresía en
sec - PIM-Enabled - RealmJoin Portal - AdminsProporciona justificación empresarial (si se requiere)
Completa el desafío de MFA (si está configurado)
Recibe acceso de administrador con tiempo limitado a RealmJoin Portal
El acceso expira automáticamente después de la duración definida
Beneficios de seguridad
Acceso justo a tiempo: Los privilegios de administrador se conceden solo cuando se necesitan
Registro de auditoría: Todas las solicitudes de activación y aprobaciones se registran
Superficie de ataque reducida: Menos cuentas de administrador persistentes
Cumplimiento: Admite los requisitos normativos para la gestión de acceso privilegiado
Duración controlada: El acceso de administrador expira automáticamente
Flujos de trabajo de aprobación: Procesos de aprobación opcionales para roles sensibles
Mejores prácticas
Revisiones periódicas de acceso: Revise periódicamente las membresías de grupo y las asignaciones de PIM
Duración adecuada: Establezca períodos de activación basados en la duración típica de la tarea administrativa
Aplicación de MFA: Requiera siempre autenticación multifactor para la activación
Justificación empresarial: Exija a los usuarios que proporcionen razones para las solicitudes de acceso
Supervisión: Revise periódicamente los registros de auditoría de PIM en busca de patrones de activación inusuales
Documentación: Mantenga procedimientos claros para escenarios de acceso de emergencia
Solución de problemas
Problemas comunes
Los usuarios no pueden ver la opción de activación: Verifique la licencia de PIM y las asignaciones de grupo
La activación falla: Compruebe la configuración de MFA y la configuración del flujo de trabajo de aprobación
Acceso a RealmJoin denegado: Confirme que el grupo correcto está configurado en la configuración de RealmJoin Portal
Pasos de verificación
Pruebe el proceso de activación con un usuario piloto
Verifique que RealmJoin Portal reconozca el grupo habilitado para PIM
Confirme que el registro de auditoría funciona correctamente
Pruebe los procedimientos de acceso de emergencia
Recursos adicionales
Última actualización
¿Te fue útil?