# Implementación de Privileged Identity Management (PIM) con el portal RealmJoin

### Información general

Esta guía le guía paso a paso en la implementación de Microsoft Entra ID Privileged Identity Management (PIM) para Groups con acceso administrativo de RealmJoin Portal. PIM proporciona acceso administrativo justo a tiempo, reduciendo los riesgos de seguridad al exigir que los usuarios activen sus roles privilegiados cuando sea necesario.

Al implementar PIM con RealmJoin, los administradores deben activar explícitamente sus privilegios de administrador por un período de tiempo definido, creando un registro de auditoría y reduciendo la superficie de ataque del acceso administrativo persistente.

### Requisitos previos

* Licencia Microsoft Entra ID P2 para usuarios que requieren acceso PIM
* Permisos de Global Administrator o Privileged Role Administrator
* Acceso a la configuración de RealmJoin Portal
* Comprensión de Microsoft Entra ID Groups y asignaciones de roles

### Pasos de implementación

#### Paso 1: Crear grupos asignables a roles

Cree dos grupos de seguridad en Microsoft Entra ID. Aunque el atributo "asignable a roles" ya no es un requisito estricto, sigue siendo recomendable para un funcionamiento óptimo de PIM.

**Grupo 1: Grupo de elegibilidad**

* **Nombre**: `sec - PIM-Eligibility - RealmJoin Portal - Admins`
* **Propósito**: Contiene usuarios elegibles para el acceso de administrador de RealmJoin
* **Tipo**: Security Group
* **Asignable a roles**: Recomendado (Sí)

**Grupo 2: Grupo de administradores activos**

* **Nombre**: `sec - PIM-Enabled - RealmJoin Portal - Admins`
* **Propósito**: El grupo de destino que proporciona los permisos reales de administrador de RealmJoin
* **Tipo**: Security Group
* **Asignable a roles**: Recomendado (Sí)

#### Paso 2: Configurar PIM para Groups

**Habilitar PIM para Groups**

1. Vaya a **Microsoft Entra ID** > **Privileged Identity Management**
2. Seleccione **Grupos** desde el panel de navegación izquierdo
3. Elija **Discover groups** para identificar grupos elegibles para la administración de PIM
4. Seleccione los grupos que creó recientemente para ponerlos bajo control de PIM

Para obtener pasos de configuración detallados, consulte la documentación oficial de Microsoft:

* [Resumen de Privileged Identity Management (PIM) para Groups](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/concept-pim-for-groups)
* [Incorporar grupos a Privileged Identity Management](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-discover-groups)

**Configurar la configuración del grupo**

1. Establecer la duración de activación (recomendado: 1-8 horas)
2. Configurar los requisitos de aprobación si es necesario
3. Definir los requisitos de activación (MFA, justificación empresarial)
4. Establecer políticas de duración máxima de activación

#### Paso 3: Asignar elegibilidad

Configure la elegibilidad de los usuarios para el grupo habilitado para PIM:

1. En PIM, navegue a **Grupos** > **Asignaciones**
2. Seleccione el `sec - PIM-Enabled - RealmJoin Portal - Admins` grupo
3. Elija **Agregar asignaciones**
4. Seleccione **Elegible** tipo de asignación
5. Elija usuarios o el grupo de elegibilidad (`sec - PIM-Eligibility - RealmJoin Portal - Admins`)
6. Establezca la duración y el horario de la asignación según sea necesario

Para obtener una guía completa sobre asignaciones, consulte: [Asignar elegibilidad para un grupo en Privileged Identity Management](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-assign-member-owner)

### Lógica de configuración

#### Flujo de trabajo de administración de usuarios

1. **Agregar usuarios al grupo de elegibilidad**: Agregue cuentas de usuario a `sec - PIM-Eligibility - RealmJoin Portal - Admins`
   * Este grupo sirve como fuente de usuarios que pueden solicitar acceso de administrador
   * Los usuarios de este grupo pueden activar la membresía en el grupo habilitado para PIM
2. **Configurar RealmJoin Portal**: Establecer `sec - PIM-Enabled - RealmJoin Portal - Admins` como el grupo administrativo en la configuración de RealmJoin Portal
   * Solo los miembros activos de este grupo tendrán permisos de administrador
   * Los usuarios deben activar su membresía a través de PIM para obtener acceso

#### Proceso de activación del acceso

Cuando los usuarios necesitan acceso de administrador de RealmJoin:

1. El usuario navega a **My Access** portal o interfaz de PIM
2. Solicita la activación de la membresía en `sec - PIM-Enabled - RealmJoin Portal - Admins`
3. Proporciona justificación empresarial (si se requiere)
4. Completa el desafío de MFA (si está configurado)
5. Recibe acceso de administrador con tiempo limitado a RealmJoin Portal
6. El acceso expira automáticamente después de la duración definida

### Beneficios de seguridad

* **Acceso justo a tiempo**: Los privilegios de administrador se conceden solo cuando se necesitan
* **Registro de auditoría**: Todas las solicitudes de activación y aprobaciones se registran
* **Superficie de ataque reducida**: Menos cuentas de administrador persistentes
* **Cumplimiento**: Admite los requisitos normativos para la gestión de acceso privilegiado
* **Duración controlada**: El acceso de administrador expira automáticamente
* **Flujos de trabajo de aprobación**: Procesos de aprobación opcionales para roles sensibles

### Mejores prácticas

* **Revisiones periódicas de acceso**: Revise periódicamente las membresías de grupo y las asignaciones de PIM
* **Duración adecuada**: Establezca períodos de activación basados en la duración típica de la tarea administrativa
* **Aplicación de MFA**: Requiera siempre autenticación multifactor para la activación
* **Justificación empresarial**: Exija a los usuarios que proporcionen razones para las solicitudes de acceso
* **Supervisión**: Revise periódicamente los registros de auditoría de PIM en busca de patrones de activación inusuales
* **Documentación**: Mantenga procedimientos claros para escenarios de acceso de emergencia

### Solución de problemas

#### Problemas comunes

* **Los usuarios no pueden ver la opción de activación**: Verifique la licencia de PIM y las asignaciones de grupo
* **La activación falla**: Compruebe la configuración de MFA y la configuración del flujo de trabajo de aprobación
* **Acceso a RealmJoin denegado**: Confirme que el grupo correcto está configurado en la configuración de RealmJoin Portal

#### Pasos de verificación

1. Pruebe el proceso de activación con un usuario piloto
2. Verifique que RealmJoin Portal reconozca el grupo habilitado para PIM
3. Confirme que el registro de auditoría funciona correctamente
4. Pruebe los procedimientos de acceso de emergencia

### Recursos adicionales

* [Documentación de Microsoft Entra ID Governance](https://learn.microsoft.com/en-us/entra/id-governance/)
* [PIM Best Practices](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/pim-deployment-plan)
* [Documentación de RealmJoin Portal](https://docs.realmjoin.com/)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/es/configuracion-de-realmjoin/permission/implementing-privileged-identity-management-pim-with-realmjoin-portal.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.