Permisos
Descripción general
Esta página describe los permisos y el modelo de acceso para este agente. El agente utiliza acceso de solo lectura a los datos de Privileged Identity Management (PIM), los registros de auditoría y la información de actividad de identidad a través de Security Copilot Plugins. Está diseñado para analizar las activaciones de PIM, el comportamiento de acceso privilegiado y las métricas de cumplimiento sin realizar cambios de configuración.
Cómo funciona
El agente se conecta de forma segura a tu entorno de Microsoft Entra a través de Security Copilot Plugins para recuperar datos de activación de PIM, registros de auditoría e información de inicio de sesión. Evalúa los patrones de uso de roles, el cumplimiento de las políticas de activación y la detección de anomalías en la actividad privilegiada. Opcionalmente, el agente puede generar Azure Workbooks para la supervisión y visualización continuas de PIM.
Todas las interacciones siguen estos principios:
Acceso de solo lectura: El agente no modifica ni asigna roles, no cambia la configuración de PIM ni altera los datos de auditoría.
Privilegio mínimo: Solo se usan los permisos necesarios para leer los datos de PIM y de auditoría.
Transparencia: Todo el acceso a los datos es auditable en Microsoft Entra y sigue los estándares de cumplimiento de Microsoft.
Roles de Microsoft Entra ID requeridos
Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:
Privileged Role Administrator
Proporciona visibilidad sobre las asignaciones de roles de PIM y el historial de activación.
Lector de seguridad
Concede acceso a información de seguridad y datos de riesgo de identidad.
Lector de informes
Permite el acceso a informes de uso y auditoría.
Lector global
Habilita el acceso de solo lectura en todo el inquilino de Entra ID para un análisis completo.
Estos roles representan la configuración recomendada con privilegios mínimos. Ajústala según las políticas de seguridad y cumplimiento de tu organización.
Transparencia en el acceso a los datos
La siguiente tabla describe a qué datos puede acceder el agente y con qué propósito.
activaciones y asignaciones de roles de PIM
Solo lectura
Para evaluar la frecuencia de activación, el uso de roles y el cumplimiento del principio de privilegio mínimo.
Registros de auditoría
Solo lectura
Para rastrear eventos de activación, verificación MFA y flujos de trabajo de aprobación.
registros de inicio de sesión y de riesgo de identidad
Solo lectura
Para identificar comportamientos anómalos de acceso privilegiado.
definiciones de roles y directivas
Solo lectura
Para evaluar la alineación de la configuración con los estándares internos de gobernanza.
Manejo de datos:
El agente no modifica, elimina ni exporta datos fuera del límite del tenant.
Todo el acceso ocurre a través de Security Copilot Plugins mediante permisos delegados o a nivel de aplicación.
Los eventos de acceso se registran en registros de auditoría de Microsoft Entra para su visibilidad y trazabilidad.
Configuración del agente
Al ejecutar el agente, puedes configurar opciones opcionales para refinar el análisis y la salida de informes.
TimeRange
30 o 2025-01-01/2025-01-31
Define el período para analizar los eventos de activación de PIM.
GenerateWorkbook
true
Genera un archivo Azure Workbook para la supervisión continua de PIM.
OutputFormat
resumen o detallado
Especifica el nivel de detalle del informe y las métricas incluidas.
Consultas de ejemplo
"Analiza las activaciones de PIM de los últimos 30 días""Muéstrame el acceso de Global Administrator de esta semana""Genera un informe de cumplimiento de PIM para el último trimestre""Detecta anomalías en el acceso privilegiado con Azure Workbook"
Generación de Azure Workbook
Cuando GenerateWorkbook: true está especificado, el agente produce un archivo de configuración de Azure Workbook que puede implementarse para la supervisión continua de PIM.
El workbook incluye paneles para:
Tendencias de activación de PIM en tiempo real
Intentos de activación fallidos
Métricas de uso y frecuencia de roles
Seguimiento del cumplimiento del motivo de activación
Alertas de anomalías y visualización de riesgos
Implementa el workbook en Azure Portal en: Monitor → Workbooks → Importar → Cargar archivo de configuración
Requisitos de datos
Para garantizar resultados precisos y significativos, verifica que:
PIM se usa activamente con activaciones de roles que ocurren regularmente.
Los motivos de activación son obligatorios en la directiva de PIM para el análisis de cumplimiento.
Al menos 7–30 días de datos de activación estén disponibles.
MFA está aplicada para las activaciones de PIM.
El registro de auditoría está habilitado en Microsoft Entra.
Los registros de auditoría de Entra ID se guardan en una instancia de Microsoft Sentinel
Dicho Microsoft Sentinel la instancia debe estar integrada con Microsoft Defender XDR (anteriormente Microsoft Security Center) para operaciones de seguridad unificadas y analítica avanzada.
Consideraciones de seguridad y cumplimiento
Toda la comunicación a través de Security Copilot Plugins está cifrada mediante HTTPS y autenticada a través de los servicios de identidad de Microsoft.
El agente se adhiere a los principios de Microsoft de confianza cero y privilegio mínimo .
El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles de Entra ID o administración del consentimiento de aplicaciones.
Próximos pasos
Confirme que la cuenta de administrador tiene asignados todos los roles requeridos.
Ejecuta el agente para analizar la actividad de activación de PIM y el estado de cumplimiento.
Implementa el Azure Workbook opcional para la supervisión continua del acceso privilegiado.
Última actualización
¿Te fue útil?