Permisos

Descripción general

Esta página describe el modelo de permisos y acceso para este agente. El agente utiliza acceso de solo lectura a las asignaciones de roles de Microsoft Entra ID, configuraciones de Privileged Identity Management (PIM) y registros de acceso privilegiado a través de Complementos de Security Copilot. Está diseñado para identificar privilegios administrativos permanentes, evaluar la preparación para la implementación de Zero Standing Privilege (ZSP) y recomendar pasos para la transición a acceso Just-In-Time (JIT), sin realizar cambios en la configuración.

Cómo funciona

El agente se conecta de forma segura a Microsoft Entra mediante los complementos de Security Copilot para recopilar información sobre las configuraciones de PIM, las asignaciones de roles privilegiados y los principales de servicio relacionados. Evalúa su entorno para resaltar accesos administrativos innecesarios o persistentes, detectar el aumento de privilegios y proponer rutas de migración estructuradas hacia el acceso JIT.

Todas las interacciones siguen estos principios:

• Acceso de solo lectura: El agente no modifica ni elimina ninguna asignación de rol ni configuración.

• Privilegio mínimo: Solo se requieren los roles necesarios para leer los datos de acceso privilegiado y PIM.

• Transparencia: Todo el acceso a los datos es auditable dentro de Microsoft Entra y se alinea con los estándares de gobierno y cumplimiento de Microsoft.

Roles requeridos en Entra ID

Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:

Roles opcionales para el análisis de recursos de Azure

Transparencia en el acceso a datos

La tabla siguiente describe qué datos puede acceder el agente y su propósito.

Manejo de datos:

• El agente no modifica, elimina ni exporta datos fuera del límite del inquilino.

• Todo el acceso se realiza a través de Complementos de Security Copilot usando permisos delegados o a nivel de aplicación.

• Toda la actividad se registra en registros de auditoría de Microsoft Entra para trazabilidad y validación de cumplimiento.

Configuración del agente

Al ejecutar el agente, puede configurar parámetros para personalizar el análisis y las recomendaciones de migración.

Consultas de ejemplo

• "Encontrar todos los privilegios administrativos permanentes"

• "Crear un plan para implementar zero standing privilege"

• "Identificar el aumento de privilegios en mi entorno"

• "Generar scripts para eliminar accesos administrativos innecesarios"

• "Evaluar la preparación para zero trust en la gestión de privilegios"

Consideraciones de migración

Antes de implementar las recomendaciones de Zero Standing Privilege o acceso JIT, revise y planifique cuidadosamente:

El agente proporciona recomendaciones estructuradas, que incluyen:

• Clasificaciones de prioridad de migración: Identifica primero las victorias rápidas, y migraciones complejas más tarde.

• Detección de cuentas de servicio: Marca cuentas no interactivas no aptas para acceso JIT.

• Validación de acceso de emergencia: Identifica y preserva las cuentas break-glass.

• Manejo de cuentas de automatización: Destaca los principales de servicio que requieren privilegios permanentes.

Consideraciones de seguridad y cumplimiento

• Toda la comunicación a través de los Complementos de Security Copilot está cifrada usando HTTPS y autenticada mediante los servicios de identidad de Microsoft.

• El agente se adhiere a los principios de confianza cero y privilegio mínimo de Microsoft.

• El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles de Entra ID o gestión de consentimiento de aplicaciones.

Próximos pasos

• Confirme que la cuenta de administrador tenga los roles requeridos asignados.

• Ejecute el agente para identificar privilegios permanentes y generar su informe de preparación ZSP.

• Revise las recomendaciones de migración del agente en Security Copilot antes de implementar cambios en JIT o PIM.