# Permisos ### Descripción general Esta página describe los permisos y el modelo de acceso para este agente.\ El agente utiliza **acceso de solo lectura** a asignaciones de roles de Microsoft Entra ID, configuraciones de Privileged Identity Management (PIM) y registros de acceso privilegiado a través de **Security Copilot Plugins**.\ Está diseñado para identificar privilegios administrativos permanentes, evaluar la preparación para la implementación de Zero Standing Privilege (ZSP) y recomendar pasos para migrar a acceso Just-In-Time (JIT), sin realizar cambios de configuración. *** ### Cómo funciona El agente se conecta de forma segura a Microsoft Entra a través de Security Copilot Plugins para recopilar información sobre configuraciones de PIM, asignaciones de roles privilegiados y service principals relacionados.\ Evalúa su entorno para resaltar el acceso administrativo innecesario o persistente, detectar privilege creep y proponer rutas de migración estructuradas hacia el acceso JIT. Todas las interacciones siguen estos principios: * **Acceso de solo lectura:** El agente no modifica ni elimina ninguna asignación de roles ni configuración. * **Privilegio mínimo:** Solo se requieren los roles necesarios para leer los datos de acceso privilegiado y PIM. * **Transparencia:** Todo el acceso a los datos es auditable dentro de Microsoft Entra y se alinea con los estándares de gobernanza y cumplimiento de Microsoft. *** ### Roles de Microsoft Entra ID requeridos Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente: | Rol | Descripción | | --------------------------------- | ------------------------------------------------------------------------------------------------- | | **Privileged Role Administrator** | Proporciona visibilidad de las configuraciones y activaciones de roles de PIM. | | **Lector de seguridad** | Concede acceso a información de seguridad, registros de acceso privilegiado y datos de auditoría. | | **Lector de informes** | Permite la visibilidad del análisis de informes y tendencias del uso de roles. | | **Lector global** | Permite visibilidad en todo el tenant para una evaluación integral de roles. | #### Roles opcionales para el análisis de recursos de Azure | Rol | Descripción | | ------------------------------------------ | ----------------------------------------------------------------------------- | | **Lector (nivel de suscripción de Azure)** | Permite el análisis de privilegios permanentes en asignaciones de Azure RBAC. | {% hint style="info" %} Estos roles siguen el principio de mínimo privilegio. Asigne el rol de Azure **Lector** solo si planea incluir el análisis de Azure RBAC. {% endhint %} *** ### Transparencia en el acceso a los datos La siguiente tabla describe a qué datos puede acceder el agente y cuál es su propósito. | Tipo de datos | Nivel de acceso | Propósito | | --------------------------------------------------- | --------------- | --------------------------------------------------------------------------------------- | | **Asignaciones de roles privilegiados** | Solo lectura | Para identificar privilegios permanentes y acceso administrativo sobreasignado. | | **Configuraciones y activaciones de PIM** | Solo lectura | Para evaluar la preparación para JIT y Zero Standing Privilege. | | **Service principals y registros de aplicaciones** | Solo lectura | Para detectar automatización y cuentas de servicio que requieren permisos permanentes. | | **Registros de auditoría y de acceso privilegiado** | Solo lectura | Para rastrear activaciones históricas, identificar anomalías y validar el cumplimiento. | **Manejo de datos:** * El agente **no** modifica, elimina ni exporta datos fuera del límite del tenant. * Todo el acceso ocurre a través de **Security Copilot Plugins** mediante permisos delegados o a nivel de aplicación. * Toda la actividad se registra en **registros de auditoría de Microsoft Entra** para trazabilidad y validación del cumplimiento. *** ### Configuración del agente Al ejecutar el agente, puede configurar parámetros para personalizar el análisis y las recomendaciones de migración. | Configuración | Ejemplo | Descripción | | -------------------- | ------------------------------------- | ------------------------------------------------------------------------------------------ | | **TimeRange** | `30`, `90`, o `2025-01-01/2025-03-31` | Define la ventana de análisis para los datos de PIM y de acceso privilegiado. | | **IncludeAzureRBAC** | `true` | Incluye datos de control de acceso basado en roles (RBAC) de Azure en el análisis. | | **OutputFormat** | `resumen` o `detallado` | Especifica el nivel de detalle del informe generado. | | **MigrationMode** | `simulación` o `plan` | Determina si el agente realiza una evaluación de preparación o genera planes de migración. | #### Consultas de ejemplo * `"Encontrar todos los privilegios administrativos permanentes"` * `"Crear un plan para implementar zero standing privilege"` * `"Identificar privilege creep en mi entorno"` * `"Generar scripts para eliminar el acceso administrativo innecesario"` * `"Evaluar la preparación de zero trust para la gestión de privilegios"` *** ### Consideraciones de migración Antes de implementar recomendaciones de Zero Standing Privilege o de acceso JIT, revise y planifique cuidadosamente: | Área | Recomendación | | ----------------------------------- | ------------------------------------------------------------------------------------------------------------------------ | | **Cuentas de acceso de emergencia** | Verifique que las cuentas break-glass sigan funcionando y estén exentas de los flujos de trabajo JIT. | | **Pruebas piloto** | Pruebe los flujos de trabajo de activación JIT con un pequeño grupo de usuarios antes de una implementación amplia. | | **Aprobadores de PIM** | Asegúrese de que las configuraciones de aprobadores estén establecidas para los roles críticos. | | **Cuentas de automatización** | Valide que los service principals mantengan los permisos permanentes adecuados si son necesarios para la automatización. | | **Comunicación del cambio** | Informe a los administradores y equipos afectados antes de implementar restricciones de roles. | | **Validación del flujo de trabajo** | Confirme que las solicitudes de activación, la aplicación de MFA y los procesos de aprobación funcionen como se espera. | El agente proporciona recomendaciones estructuradas, incluidas: * **Clasificación de prioridades de migración:** Identifica primero las oportunidades de rápida implementación y después las migraciones complejas. * **Detección de cuentas de servicio:** Marca cuentas no interactivas que no son adecuadas para el acceso JIT. * **Validación de acceso de emergencia:** Identifica y preserva las cuentas break-glass. * **Gestión de cuentas de automatización:** Resalta los service principals que requieren privilegios permanentes. *** ### Consideraciones de seguridad y cumplimiento * Toda la comunicación a través de Security Copilot Plugins está cifrada mediante HTTPS y autenticada a través de los servicios de identidad de Microsoft. * El agente se adhiere a los principios de Microsoft de **confianza cero** y **privilegio mínimo** . * El acceso puede revisarse o revocarse en cualquier momento a través de **asignaciones de roles de Entra ID** o **administración del consentimiento de aplicaciones**. *** ### Próximos pasos * Confirme que la cuenta de administrador tiene asignados los roles requeridos. * Ejecute el agente para identificar privilegios permanentes y generar su informe de preparación para ZSP. * Revise en Security Copilot las recomendaciones de migración del agente antes de implementar cambios de JIT o PIM. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/es/agents/privileged-admin-watchdog/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.