# Permisos ### Descripción general Esta página describe los permisos y el modelo de acceso para este agente.\ El agente utiliza **acceso de solo lectura** a los datos de Privileged Identity Management (PIM), los registros de auditoría y la información de actividad de identidad a través de **Security Copilot Plugins**.\ Está diseñado para analizar las activaciones de PIM, el comportamiento de acceso privilegiado y las métricas de cumplimiento sin realizar cambios de configuración. *** ### Cómo funciona El agente se conecta de forma segura a tu entorno de Microsoft Entra a través de Security Copilot Plugins para recuperar datos de activación de PIM, registros de auditoría e información de inicio de sesión.\ Evalúa los patrones de uso de roles, el cumplimiento de las políticas de activación y la detección de anomalías en la actividad privilegiada.\ Opcionalmente, el agente puede generar Azure Workbooks para la supervisión y visualización continuas de PIM. Todas las interacciones siguen estos principios: * **Acceso de solo lectura:** El agente no modifica ni asigna roles, no cambia la configuración de PIM ni altera los datos de auditoría. * **Privilegio mínimo:** Solo se usan los permisos necesarios para leer los datos de PIM y de auditoría. * **Transparencia:** Todo el acceso a los datos es auditable en Microsoft Entra y sigue los estándares de cumplimiento de Microsoft. *** ### Roles de Microsoft Entra ID requeridos Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente: | Rol | Descripción | | --------------------------------- | ---------------------------------------------------------------------------------------------- | | **Privileged Role Administrator** | Proporciona visibilidad sobre las asignaciones de roles de PIM y el historial de activación. | | **Lector de seguridad** | Concede acceso a información de seguridad y datos de riesgo de identidad. | | **Lector de informes** | Permite el acceso a informes de uso y auditoría. | | **Lector global** | Habilita el acceso de solo lectura en todo el inquilino de Entra ID para un análisis completo. | {% hint style="info" %} Estos roles representan la configuración recomendada con privilegios mínimos. Ajústala según las políticas de seguridad y cumplimiento de tu organización. {% endhint %} *** ### Transparencia en el acceso a los datos La siguiente tabla describe a qué datos puede acceder el agente y con qué propósito. | Tipo de datos | Nivel de acceso | Propósito | | ---------------------------------------------------------- | --------------- | --------------------------------------------------------------------------------------------------------------- | | **activaciones y asignaciones de roles de PIM** | Solo lectura | Para evaluar la frecuencia de activación, el uso de roles y el cumplimiento del principio de privilegio mínimo. | | **Registros de auditoría** | Solo lectura | Para rastrear eventos de activación, verificación MFA y flujos de trabajo de aprobación. | | **registros de inicio de sesión y de riesgo de identidad** | Solo lectura | Para identificar comportamientos anómalos de acceso privilegiado. | | **definiciones de roles y directivas** | Solo lectura | Para evaluar la alineación de la configuración con los estándares internos de gobernanza. | **Manejo de datos:** * El agente **no** modifica, elimina ni exporta datos fuera del límite del tenant. * Todo el acceso ocurre a través de **Security Copilot Plugins** mediante permisos delegados o a nivel de aplicación. * Los eventos de acceso se registran en **registros de auditoría de Microsoft Entra** para su visibilidad y trazabilidad. *** ### Configuración del agente Al ejecutar el agente, puedes configurar opciones opcionales para refinar el análisis y la salida de informes. | Configuración | Ejemplo | Descripción | | -------------------- | ------------------------------ | --------------------------------------------------------------------- | | **TimeRange** | `30` o `2025-01-01/2025-01-31` | Define el período para analizar los eventos de activación de PIM. | | **GenerateWorkbook** | `true` | Genera un archivo Azure Workbook para la supervisión continua de PIM. | | **OutputFormat** | `resumen` o `detallado` | Especifica el nivel de detalle del informe y las métricas incluidas. | #### Consultas de ejemplo * `"Analiza las activaciones de PIM de los últimos 30 días"` * `"Muéstrame el acceso de Global Administrator de esta semana"` * `"Genera un informe de cumplimiento de PIM para el último trimestre"` * `"Detecta anomalías en el acceso privilegiado con Azure Workbook"` *** ### Generación de Azure Workbook Cuando `GenerateWorkbook: true` está especificado, el agente produce un **archivo de configuración de Azure Workbook** que puede implementarse para la supervisión continua de PIM. El workbook incluye paneles para: * Tendencias de activación de PIM en tiempo real * Intentos de activación fallidos * Métricas de uso y frecuencia de roles * Seguimiento del cumplimiento del motivo de activación * Alertas de anomalías y visualización de riesgos Implementa el workbook en Azure Portal en:\ **Monitor → Workbooks → Importar → Cargar archivo de configuración** *** ### Requisitos de datos Para garantizar resultados precisos y significativos, verifica que: * **PIM se usa activamente** con activaciones de roles que ocurren regularmente. * **Los motivos de activación** son obligatorios en la directiva de PIM para el análisis de cumplimiento. * Al menos **7–30 días de datos de activación** estén disponibles. * **MFA está aplicada** para las activaciones de PIM. * **El registro de auditoría** está habilitado en Microsoft Entra. * **Los registros de auditoría de Entra ID** se guardan en una instancia de Microsoft Sentinel * Dicho **Microsoft Sentinel** la instancia debe estar integrada con **Microsoft Defender XDR** (anteriormente **Microsoft Security Center**) para operaciones de seguridad unificadas y analítica avanzada. *** ### Consideraciones de seguridad y cumplimiento * Toda la comunicación a través de Security Copilot Plugins está cifrada mediante HTTPS y autenticada a través de los servicios de identidad de Microsoft. * El agente se adhiere a los principios de Microsoft de **confianza cero** y **privilegio mínimo** . * El acceso puede revisarse o revocarse en cualquier momento a través de **asignaciones de roles de Entra ID** o **administración del consentimiento de aplicaciones**. *** ### Próximos pasos * Confirme que la cuenta de administrador tiene asignados todos los roles requeridos. * Ejecuta el agente para analizar la actividad de activación de PIM y el estado de cumplimiento. * Implementa el Azure Workbook opcional para la supervisión continua del acceso privilegiado. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/es/agents/pim-insights/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.