Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Microsoft vuelve a evaluar la versión preliminar pública del Agente de revisión de acceso en función de los comentarios de los clientes recibidos durante la versión preliminar y no se moverá a la disponibilidad general. La versión preliminar pública se quitará el 27 de marzo de 2026. Agradecemos sinceramente a los clientes que se han asociado con nosotros durante la versión preliminar para explorar cómo se puede usar la inteligencia artificial agente para mejorar la calidad de la revisión de acceso. Hay más detalles disponibles en el centro de mensajes de Microsoft 365. Esperamos incorporar los comentarios de los clientes y los aprendizajes de inteligencia artificial de la versión preliminar en la experiencia principal de revisión de acceso.
Despide la investigación que consume mucho tiempo y la incertidumbre de las decisiones apresuradas. El Agente de revisión de acceso funciona para los revisores mediante la recopilación automática de información y la generación de recomendaciones. A continuación, guía a los revisores a través del proceso de revisión en Microsoft Teams con lenguaje natural, con resúmenes sencillos y decisiones propuestas, para que puedan tomar la llamada final con confianza y claridad.
Prerrequisitos
- Debe tener licencias de Microsoft Entra ID Governance o Microsoft Entra Suite.
- Debe Onboard a Security Copilot con al menos una unidad de cómputo de seguridad (SCU) aprovisionada.
- Completar una revisión de acceso que incluya 20 decisiones consume un promedio de 4,5 SCU. Esto incluye la recopilación de información y la generación de recomendaciones por parte del agente, así como la conversación en lenguaje natural del revisor en Microsoft Teams con el agente. El consumo de SCU puede variar en función de la longitud de la conversación entre el revisor y el agente.
- Los administradores deben tener al menos all los siguientes roles para configurar y administrar el agente en el centro de administración de Microsoft Entra:
- Administrador de gobernanza de identidades
- Administrador de flujos de trabajo del ciclo de vida
- colaborador de Security Copilot en Security Copilot
- Para que los revisores usen el Agente de revisión de acceso, deben tener acceso a Microsoft Teams y deben tener asignada una revisión de acceso activa. También deben tener al menos el rol Security Copilot Colaborador asignado.
- Revisar Privacidad y seguridad de los datos en Microsoft Security Copilot
Limitaciones
- Una vez iniciados los agentes, no se pueden detener ni pausar. Pueden tardar unos minutos en ejecutarse.
- Se recomienda ejecutar el agente desde el centro de administración de Microsoft Entra.
Escenarios admitidos
En las tablas siguientes se muestra la compatibilidad actual del Agente de revisión de acceso en función de los escenarios de revisión:
| Scenario | Compatible |
|---|---|
| Recursos | |
| Teams y grupos | ✅ |
| Asignación de paquetes de acceso | ✅ |
| Asignación de aplicaciones | ✅ |
| roles de recursos de Azure | ❌ |
| roles de Microsoft Entra | ❌ |
| Grupos administrados por Privileged Identity Management | ❌ |
| Tamaño | |
| Hasta 35 decisiones (por revisión, no revisor) | ✅ |
| >35 decisiones por revisión | ❌ |
| Fases | |
| Fase única | ✅ |
| Varias fases | ❌ |
| Revisores | |
| Específico | ✅ |
| Propietarios de grupos | ✅ |
| Managers | ✅ |
| Autoevaluaciones | ❌ |
| Idiomas | |
| Inglés | ✅ |
| Otros idiomas | ❌ |
Cómo funciona
El Agente de Revisión de Acceso examina proactivamente las revisiones de acceso activas en el arrendatario marcadas para su procesamiento por el agente. A continuación, el agente analiza las revisiones identificadas mediante la recopilación de información adicional y genera una recomendación (aprobar o denegar) y un resumen de justificación para cada decisión. Una vez que el agente analiza las recomendaciones y los resúmenes de justificación correspondientes, puede guiar a los revisores, en lenguaje natural, a través del proceso de revisión en Microsoft Teams. Los revisores están capacitados para completar sus revisiones a través de la experiencia de chat en lenguaje natural en Microsoft Teams. A medida que el agente los guía a través de la revisión, pueden revisar el razonamiento del agente detrás de las recomendaciones, formular preguntas en el contexto de la propia revisión y, por último, tomar su propia decisión informada.
La recomendación de los agentes (aprobar o denegar) para cada decisión se basa en un mecanismo de puntuación determinista impulsado por múltiples señales. Las señales utilizadas para la recomendación se emplean para proporcionar un resumen justificativo amigable para el usuario final, impulsado por un modelo de lenguaje grande (LLM). El modelo de lenguaje grande facilita la experiencia de chat en lenguaje natural posterior en Microsoft Teams con recomendaciones y resúmenes de justificación generados previamente como contexto disponible.
El agente tiene en cuenta las siguientes señales:
- Inactividad del usuario: si el usuario ha iniciado sesión
- Afiliación de usuario a grupo: si el usuario tiene una baja afiliación con otros usuarios que tienen este acceso
- Cuenta habilitada: si la cuenta del usuario está habilitada (propiedad accountEnabled)
- Estado de empleo: si el empleo del usuario finalizó (propiedad employeeLeaveDateTime)
- Ciclo de vida del flujo de trabajo: si el usuario ha tenido un flujo de trabajo de movimiento ejecutado para el usuario en los últimos 30 días
- Decisiones de las revisiones anteriores: para las revisiones periódicas, se consideran decisiones de iteraciones de revisión anteriores.
- Historial de solicitudes de acceso: para las revisiones de asignación de paquetes de acceso, se considera el historial de solicitudes y aprobaciones.
Nota:
El resumen de justificación incluye información de estas señales y está disponible para el revisor durante el proceso de revisión, aunque algunas de esta información no estén disponibles para los revisores fuera del proceso de revisión.
Como administrador, puede revisar las recomendaciones (aprobar o denegar) y los resúmenes de justificación. Para obtener más información, consulte Registros y métricas del Agente de revisión de acceso (versión preliminar). Tenga en cuenta que las recomendaciones del agente pueden diferir de las recomendaciones que se muestran en el portal Mi acceso y la experiencia de revisión de acceso en el centro de administración de Microsoft Entra.
Cómo empezar
Configuración del Agente de revisión de acceso
Con una cuenta que tenga al menos all los siguientes roles, inicie sesión en el centro de administración Microsoft Entra:
En la nueva página principal, seleccione Ir a los agentes en la tarjeta de notificación del agente.
- También puede seleccionar Agentes en el menú de navegación izquierdo.
- También puede seleccionar Agentes en el menú de navegación izquierdo.
Seleccione Ver detalles en el icono del Agente de revisión de acceso.
Seleccione Iniciar agente para comenzar la primera ejecución.
- Evite usar una cuenta con un rol activado a través de PIM.
- Aparece un mensaje que indica "El agente está iniciando su primera ejecución" en la esquina superior derecha.
- Esta primera ejecución puede tardar unos minutos en completarse.
Habilitación del agente de revisión de acceso para las revisiones de acceso existentes
Una vez iniciado el Agente de revisión de acceso, usted debe marcar las revisiones de acceso para que las procese el Agente de revisión de acceso. El Agente de revisión de acceso puede procesar revisiones de acceso nuevas y existentes. En las secciones siguientes se explica cómo marcar la revisión de acceso que va a procesar el Agente de revisión de acceso.
Habilitación del agente de revisión de acceso para las revisiones de acceso a grupos y aplicaciones existentes
Para actualizar una revisión de acceso existente que va a procesar el Agente de revisión de acceso, siga estos pasos:
Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de Gobernanza de Identidad.
Navegue hasta Gobernanza de identidades>Revisiones de acceso.
Seleccione la revisión de acceso que desea que admita el agente.
En la página de información general de revisión de acceso, seleccione Configuración en Administrar si es una revisión única o Configuración en Serie si es una revisión periódica.
En Configuración avanzada, active la casilla de la configuración que indica Agente de revisión de acceso (versión preliminar).
Haga clic en Guardar.
Habilitación del Agente de revisión de acceso para las revisiones de asignación de paquetes de acceso existentes
Para actualizar una revisión de acceso existente que va a procesar el Agente de revisión de acceso, siga estos pasos:
Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de Gobernanza de Identidad.
Navegue a Gobernanza de identidades>Administración de derechos>Paquete de acceso.
Seleccione el paquete de acceso que desea que admita el agente.
En la página de información general del paquete de acceso, seleccione Directivas y, a continuación, seleccione la directiva que desea actualizar y seleccione Editar.
En la página editar directiva, seleccione Ciclo de vida.
En la pestaña Ciclo de vida, seleccione Configuración de revisión de acceso avanzado y active la casilla Habilitar en la configuración que indica Agente de revisión de acceso (versión preliminar).
Haga clic en Guardar.
Asegúrese de que los revisores pueden usar el Agente de revisión de acceso
Los revisores acceden al Agente de revisión de acceso a través de un Microsoft Teams App. Si la configuración de aplicaciones de Microsoft Teams para toda la organización permite que las aplicaciones de Microsoft no requieren ninguna acción. Si su organización ha deshabilitado las aplicaciones de Microsoft en la configuración de aplicaciones a nivel de organización, el administrador de Microsoft Teams de la organización debe aprobar explícitamente la aplicación.
También debe asegurarse de que todos los revisores tengan al menos el rol Security Copilot Contributor para que puedan usar el agente para completar sus revisiones. Esto es necesario porque la conversación en lenguaje natural en Microsoft Teams está abriendo una sesión de Microsoft Security Copilot en segundo plano. Los revisores participantes acceden a la experiencia agente a través de Microsoft Teams, pero con la asignación de roles, tendrán derecho a acceder al portal de Seguridad Copilot o la experiencia de Seguridad Copilot en otros portales administrativos de Microsoft Security. Si los revisores acceden a Security Copilot fuera de Microsoft Teams, su acceso a los datos con Security Copilot sigue estando sujeto a permisos de usuario default.
Uso del Agente de revisión de acceso como revisor
Con el Agente de revisión de acceso iniciado, los revisores asignaron permisos adecuados y con la aplicación disponible para ellos, los revisores ya están listos para completar sus revisiones con la ayuda del agente. Se puede acceder al Agente de revisión de acceso directamente en Microsoft Teams (vínculo direct). Las notificaciones de correo electrónico de revisión de acceso enviadas a los revisores también incluirán un vínculo directo a Microsoft Teams.
Abra la aplicación Microsoft Teams que inició sesión como el usuario asignado como revisor.
Seleccione el vínculo Agente de revisión de acceso para abrir el agente.
En la página Aplicaciones, busque Agente de revisión de acceso y seleccione Agregar.
Una vez agregado el agente, seleccione Abrir.
Cuando esté abierto, puede seleccionar el mensaje disponible para iniciar el chat con el agente
Configuración
Una vez habilitado el agente, puede ajustar algunas opciones de configuración. Para acceder a la configuración, haga lo siguiente en el centro de administración de Microsoft Entra:
- Desde Agentes>Configuración del agente de revisión de acceso>.
Trigger
El agente está configurado para ejecutarse cada 24 horas en función de cuándo está configurado inicialmente. Puede ejecutarlo en un momento específico al desactivar la opción Desencadenador y luego volver a activarla cuando desee que se ejecute.
Nota:
Si los revisores responden inmediatamente a sus notificaciones de correo electrónico de revisión de acceso, es posible que el agente aún no haya procesado la revisión. Solo después de que el agente se ejecute es capaz de ayudar con las revisiones de acceso en Microsoft Teams. Si responde antes de que el agente procese la revisión, el agente responde con el siguiente mensaje al revisor en Microsoft Teams: " No veo ninguna revisión pendiente con la que puedo ayudarle en este momento. Dado que mis funcionalidades todavía se están expandiendo, le recomiendo que compruebe mi portal de acceso para ver si tiene otras revisiones pendientes.
Eliminación del agente
Si ya no desea usar el Agente de revisión de acceso, seleccione Quitar agente en la parte superior de la ventana del agente. La actividad y las métricas del agente existentes se quitan, pero el agente conserva las recomendaciones y las justificaciones de las revisiones ya procesadas en Microsoft Teams y siguen siendo capaces de ayudar a los revisores con estas revisiones. Para completar la eliminación, también debe desmarcar las revisiones de acceso que fueron marcadas previamente para ser procesadas por el agente.
Deshabilitar el agente de revisión de acceso para las revisiones de acceso a grupos y aplicaciones existentes
Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de Gobernanza de Identidad.
Vaya a Gobernanza de ID>Revisiones de acceso.
Seleccione la revisión de acceso que tiene habilitada la compatibilidad con el agente.
En la página de información general de revisión de acceso, seleccione Configuración en Administrar si es una revisión única o Configuración en Serie si es una revisión periódica.
En Configuración avanzada, desactive la casilla de la configuración que indica Agente de revisión de acceso (versión preliminar).
Haga clic en Guardar.
Deshabilitar el Agente de revisión de acceso para las revisiones de asignación de paquetes de acceso existentes
Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de Gobernanza de Identidad.
Navegue a Gobernanza de identidades>Administración de derechos>Paquete de acceso.
Seleccione el paquete de acceso que desea que admita el agente.
En la página de información general del paquete de acceso, seleccione Directivas y, a continuación, seleccione la directiva que desea actualizar y seleccione Editar.
En la página editar directiva, seleccione Ciclo de vida.
En la pestaña Ciclo de vida, active la casilla Deshabilitar de la configuración que indica Agente de revisión de acceso (versión preliminar).
Haga clic en Guardar.
Revocar el acceso de Copilot de Seguridad
Es posible que quiera revocar el acceso de Security Copilot Contributor a los revisores si ningún otro escenario requiere que accedan a Security Copilot.
Identidad y permisos
Se crea una identidad de agente única cuando el agente está activado. Para obtener más información, consulte: administración de identidades de agente.
El agente usa esta identidad para examinar el inquilino en busca de revisiones de acceso activas, recopilar información adicional y guardar sus recomendaciones y justificaciones para el revisor. Para obtener más información, vea: Cómo funciona.
Permissions
- Obtener detalles de las revisiones de acceso
- Lea los detalles y el historial de flujo de trabajo del ciclo de vida de los usuarios, grupos, aplicaciones y paquetes de acceso.
- Guardar recomendaciones y justificaciones de revisión de acceso
Las decisiones finales, enviadas a través de la conversación Microsoft Teams, usan la identidad del revisor.
La página de configuración del agente muestra la identidad asignada actualmente al agente: 
Si el agente se configuró anteriormente mediante la identidad de un administrador, debe migrarlo a una identidad de agente dedicada. Para completar esta migración, seleccione la opción "Crear identidad del agente" ubicada en el banner azul de la página de información general del agente o la página de configuración del agente.
Proporcionar comentarios
Use el botón Enviar comentarios de Microsoft en la parte superior de la ventana del agente para proporcionar comentarios a Microsoft sobre el agente.
FAQs
¿Por qué el agente de Microsoft Teams responde con "Parece que el Agente de revisión de acceso aún no se ha habilitado para su organización o ha encontrado problemas inesperados"? Póngase en contacto con su departamento de TI para obtener ayuda. Mientras tanto, puedes completar tus revisiones pendientes en el Portal de Mi Acceso.
Si el agente responde con este mensaje, es probable que la configuración del agente, como iniciar el agente, asignar a los revisores el acceso a Copilot de Seguridad y habilitar el agente para las revisiones existentes, no se haya completado.
¿Por qué el agente de Microsoft Teams responde con "Las cosas están un poco ocupadas ahora mismo y no puedo procesar su solicitud en este momento"? ¿Podrías intentarlo de nuevo un poco? Si tiene prisa, mi portal de acceso siempre está disponible.'?
El agente responde con este mensaje si el inquilino ha agotado la capacidad asignada y ha excedido la capacidad adicional de Seguridad Copilot.