Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
Ctrlk
Go to glueckkanja Website

Permisos

Descripción general

Esta página describe los permisos y el modelo de acceso para este agente. El agente utiliza acceso de solo lectura a asignaciones de roles de Microsoft Entra ID, configuraciones de Privileged Identity Management (PIM) y registros de acceso privilegiado a través de Security Copilot Plugins. Está diseñado para identificar privilegios administrativos permanentes, evaluar la preparación para la implementación de Zero Standing Privilege (ZSP) y recomendar pasos para migrar a acceso Just-In-Time (JIT), sin realizar cambios de configuración.

Cómo funciona

El agente se conecta de forma segura a Microsoft Entra a través de Security Copilot Plugins para recopilar información sobre configuraciones de PIM, asignaciones de roles privilegiados y service principals relacionados. Evalúa su entorno para resaltar el acceso administrativo innecesario o persistente, detectar privilege creep y proponer rutas de migración estructuradas hacia el acceso JIT.

Todas las interacciones siguen estos principios:

  • Acceso de solo lectura: El agente no modifica ni elimina ninguna asignación de roles ni configuración.

  • Privilegio mínimo: Solo se requieren los roles necesarios para leer los datos de acceso privilegiado y PIM.

  • Transparencia: Todo el acceso a los datos es auditable dentro de Microsoft Entra y se alinea con los estándares de gobernanza y cumplimiento de Microsoft.

Roles de Microsoft Entra ID requeridos

Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:

Rol
Descripción

Privileged Role Administrator

Proporciona visibilidad de las configuraciones y activaciones de roles de PIM.

Lector de seguridad

Concede acceso a información de seguridad, registros de acceso privilegiado y datos de auditoría.

Lector de informes

Permite la visibilidad del análisis de informes y tendencias del uso de roles.

Lector global

Permite visibilidad en todo el tenant para una evaluación integral de roles.

Roles opcionales para el análisis de recursos de Azure

Rol
Descripción

Lector (nivel de suscripción de Azure)

Permite el análisis de privilegios permanentes en asignaciones de Azure RBAC.

Estos roles siguen el principio de mínimo privilegio. Asigne el rol de Azure Lector solo si planea incluir el análisis de Azure RBAC.

Transparencia en el acceso a los datos

La siguiente tabla describe a qué datos puede acceder el agente y cuál es su propósito.

Tipo de datos
Nivel de acceso
Propósito

Asignaciones de roles privilegiados

Solo lectura

Para identificar privilegios permanentes y acceso administrativo sobreasignado.

Configuraciones y activaciones de PIM

Solo lectura

Para evaluar la preparación para JIT y Zero Standing Privilege.

Service principals y registros de aplicaciones

Solo lectura

Para detectar automatización y cuentas de servicio que requieren permisos permanentes.

Registros de auditoría y de acceso privilegiado

Solo lectura

Para rastrear activaciones históricas, identificar anomalías y validar el cumplimiento.

Manejo de datos:

  • El agente no modifica, elimina ni exporta datos fuera del límite del tenant.

  • Todo el acceso ocurre a través de Security Copilot Plugins mediante permisos delegados o a nivel de aplicación.

  • Toda la actividad se registra en registros de auditoría de Microsoft Entra para trazabilidad y validación del cumplimiento.

Configuración del agente

Al ejecutar el agente, puede configurar parámetros para personalizar el análisis y las recomendaciones de migración.

Configuración
Ejemplo
Descripción

TimeRange

30, 90, o 2025-01-01/2025-03-31

Define la ventana de análisis para los datos de PIM y de acceso privilegiado.

IncludeAzureRBAC

true

Incluye datos de control de acceso basado en roles (RBAC) de Azure en el análisis.

OutputFormat

resumen o detallado

Especifica el nivel de detalle del informe generado.

MigrationMode

simulación o plan

Determina si el agente realiza una evaluación de preparación o genera planes de migración.

Consultas de ejemplo

  • "Encontrar todos los privilegios administrativos permanentes"

  • "Crear un plan para implementar zero standing privilege"

  • "Identificar privilege creep en mi entorno"

  • "Generar scripts para eliminar el acceso administrativo innecesario"

  • "Evaluar la preparación de zero trust para la gestión de privilegios"

Consideraciones de migración

Antes de implementar recomendaciones de Zero Standing Privilege o de acceso JIT, revise y planifique cuidadosamente:

Área
Recomendación

Cuentas de acceso de emergencia

Verifique que las cuentas break-glass sigan funcionando y estén exentas de los flujos de trabajo JIT.

Pruebas piloto

Pruebe los flujos de trabajo de activación JIT con un pequeño grupo de usuarios antes de una implementación amplia.

Aprobadores de PIM

Asegúrese de que las configuraciones de aprobadores estén establecidas para los roles críticos.

Cuentas de automatización

Valide que los service principals mantengan los permisos permanentes adecuados si son necesarios para la automatización.

Comunicación del cambio

Informe a los administradores y equipos afectados antes de implementar restricciones de roles.

Validación del flujo de trabajo

Confirme que las solicitudes de activación, la aplicación de MFA y los procesos de aprobación funcionen como se espera.

El agente proporciona recomendaciones estructuradas, incluidas:

  • Clasificación de prioridades de migración: Identifica primero las oportunidades de rápida implementación y después las migraciones complejas.

  • Detección de cuentas de servicio: Marca cuentas no interactivas que no son adecuadas para el acceso JIT.

  • Validación de acceso de emergencia: Identifica y preserva las cuentas break-glass.

  • Gestión de cuentas de automatización: Resalta los service principals que requieren privilegios permanentes.

Consideraciones de seguridad y cumplimiento

  • Toda la comunicación a través de Security Copilot Plugins está cifrada mediante HTTPS y autenticada a través de los servicios de identidad de Microsoft.

  • El agente se adhiere a los principios de Microsoft de confianza cero y privilegio mínimo .

  • El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles de Entra ID o administración del consentimiento de aplicaciones.

Próximos pasos

  • Confirme que la cuenta de administrador tiene asignados los roles requeridos.

  • Ejecute el agente para identificar privilegios permanentes y generar su informe de preparación para ZSP.

  • Revise en Security Copilot las recomendaciones de migración del agente antes de implementar cambios de JIT o PIM.

AnteriorDescripción generalSiguienteRegistro de cambios

Última actualización

¿Te fue útil?