Administrar grupos de Microsoft Entra y la pertenencia a grupos

Los grupos de Microsoft Entra se usan para administrar usuarios que necesitan todos el mismo acceso y permisos a recursos, como aplicaciones y servicios potencialmente restringidos. En lugar de agregar permisos especiales a usuarios individuales, puede crear un grupo que aplique los permisos especiales a cada miembro de ese grupo.

En este artículo se tratan los escenarios de grupos básicos en los que se agrega un único grupo a un único recurso y los usuarios se agregan como miembros de ese grupo. Para escenarios más complejos, como membresías dinámicas y creación de reglas, consulte la Documentación sobre administración de usuarios de Microsoft Entra.

Antes de agregar grupos y miembros, obtenga información sobre los grupos y los tipos de pertenencia para ayudarle a decidir qué opciones usar cuando cree un grupo.

Creación de un grupo básico y adición de miembros

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Puede crear un grupo básico y agregar los miembros al mismo tiempo mediante el centro de administración de Microsoft Entra. Los roles de Microsoft Entra que pueden administrar grupos incluyen Administrador de grupos, Administrador de usuarios, Administrador de roles con privilegios o Administrador global. Revisión de los roles apropiados de Microsoft Entra para la administración de grupos

Para crear un grupo básico y agregar miembros:

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya aIdentidad>Grupos>Todos los grupos.

  3. Seleccione Nuevo grupo.

    Captura de pantalla de la página

  4. Seleccione un Tipo de grupo. Para obtener más información sobre los tipos de grupo, consulte el artículo Información sobre los grupos y los tipos de pertenencia.

    • Si selecciona el tipo de grupo de Microsoft 365, se habilitará la opción Dirección de correo electrónico del grupo.
  5. Introduzca un Nombre de grupo. Elija un nombre que sea fácil de recordar y que tenga sentido para el grupo. Se realizará una comprobación para determinar si el nombre ya está en uso. Si el nombre del grupo ya está en uso, se le pedirá que lo modifique.

    • El nombre del grupo no puede comenzar con un espacio. Al iniciar el nombre con un espacio, se impide que el grupo aparezca como una opción para pasos como agregar asignaciones de roles a los miembros del grupo.
  6. Dirección de correo electrónico del grupo: solo está disponible para los tipos de grupo de Microsoft 365. Escriba manualmente una dirección de correo electrónico o use la que se creó a partir del nombre de grupo que proporcionó.

  7. Descripción de grupo. Agregue una descripción opcional al grupo.

  8. Cambie el Ajuste de los roles de Microsoft Entra pueden ser asignados al grupo a sí para usar este grupo para asignar roles de Microsoft Entra a los miembros.

    • Esta opción solo está disponible con licencias Premium P1 o P2.
    • Debe tener el rol de Administrador de roles con privilegios o Administrador global.
    • Al habilitar esta opción, se selecciona automáticamente Asignado como tipo de pertenencia.
    • La capacidad de agregar roles mientras se crea el grupo se agrega al proceso.
    • Obtenga más información acerca de grupos a los que se pueden asignar roles.
  9. Seleccione un tipo de pertenencia. Para obtener más información sobre los tipos de grupos, consulte el artículo Información sobre los grupos y los tipos de pertenencia.

  10. De manera opcional, agregue Propietarios o Miembros. Los miembros y propietarios se pueden agregar después de crear el grupo.

    1. Seleccione el vínculo de Propietarios o Miembros para rellenar una lista de todos los usuarios del directorio.
    2. Elija usuarios de la lista y, a continuación, en la parte inferior de la ventana, seleccione el botón Seleccionar.

    Captura de pantalla de la selección de miembros para el grupo durante el proceso de creación de dicho grupo.

  11. Seleccione Crear. Se ha creado el grupo y está listo para que administre otras configuraciones.

Desactivación del correo electrónico de bienvenida al grupo

Cuando los usuarios se agregan a un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida a todos, independientemente del tipo de pertenencia. Cuando cambian los atributos de un usuario o dispositivo, se procesan todas las reglas de grupo dinámico de la organización para comprobar si hay posibles cambios de pertenencia. Los usuarios que se agregan también reciben la notificación de bienvenida. Este comportamiento se puede desactivar en Exchange PowerShell.

Agregar o quitar miembros y propietarios

Los miembros y propietarios se pueden agregar y quitar de los grupos existentes. El proceso es el mismo para los miembros y propietarios. Necesitará el rol Administrador de grupos o Administrador de usuarios para agregar y quitar miembros y propietarios.

¿Necesita agregar varios miembros a la vez? Obtenga información sobre la opción Agregar miembros en bloque.

Agregar miembros o propietarios de un grupo

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya aIdentidad>Grupos>Todos los grupos.

  3. Selccione el grupo que necesita administrar.

  4. Seleccione Miembros o Propietarios.

    Captura de pantalla de la página Información general del grupo con las opciones de menú Miembros y Propietarios resaltadas.

  5. Seleccione + Agregar (miembros o propietarios).

  6. Desplácese por la lista o bien introduzca un nombre en el cuadro de búsqueda. Puede elegir varios nombres a la vez. Cuando esté listo, seleccione el botón Seleccionar.

    La página Información general del grupo se actualiza para mostrar el número de miembros que ahora se agregan al grupo.

Quitar miembros o propietarios de un grupo

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya aIdentidad>Grupos>Todos los grupos.

  3. Selccione el grupo que necesita administrar.

  4. Seleccione Miembros o Propietarios.

  5. Seleccione el cuadro situado junto a un nombre de la lista y seleccione el botónQuitar .

    Captura de pantalla de los miembros del grupo con un nombre seleccionado y el botón Eliminar resaltado.

Edición de la configuración del grupo

Puede editar el nombre del grupo, la descripción o el tipo de pertenencia. Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la configuración de un grupo.

Para editar la configuración de un grupo:

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya aIdentidad>Grupos>Todos los grupos.

  3. Desplácese por la lista o introduzca un nombre de grupo en el cuadro de búsqueda. Selccione el grupo que necesita administrar.

  4. Seleccione Propiedades en el menú lateral.

    Captura de pantalla de la página Información general del grupo con la opción de menú Propiedades resaltada.

  5. Actualice la información de configuración general según sea necesario, incluidos:

    • Nombre de grupo. Edite el nombre de grupo existente.

    • Descripción de grupo. Edite la descripción de grupo existente.

    • Tipo de grupo. No se puede cambiar el tipo de grupo después de que se ha creado. Para cambiar el tipo de grupo, debe eliminar el grupo y crear uno nuevo.

    • Tipo de pertenencia. Cambie el tipo de pertenencia de un grupo. Si ha habilitado la opción Roles de Microsoft Entra pueden ser asignados al grupo, no podrá cambiar el tipo de membresía. Para obtener más información sobre los tipos de pertenencia disponibles, consulte el artículo Información sobre grupos y tipos de pertenencia.

    • Id. de objeto. No se puede cambiar el identificador de objeto, pero puede copiarlo para usarlo en los comandos de PowerShell para el grupo. Para obtener más información sobre el uso de los cmdlets de PowerShell, consulte cmdlets de Microsoft Entra para configurar ajustes de grupo.

Incorporación o eliminación de un grupo desde otro grupo

Para el tipo de grupo, puede agregar un grupo de seguridad existente a otro grupo (lo que también se conoce como grupos anidados). En función de los tipos de pertenencia a grupos, puede agregar un grupo como miembro de otro grupo, al igual que un usuario, que aplica valores como permisos de acceso y roles a los grupos anidados. Pero para los grupos anidados, Microsoft Entra ID no aplica la pertenencia asignada a recursos y aplicaciones compartidos.

Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la pertenencia al grupo. Para más información sobre los grupos de seguridad, vea Qué saber antes de crear un grupo.

Actualmente, no se admite:

  • Agregar grupos a un grupo sincronizado con Active Directory local.
  • Adición de grupos de seguridad a grupos de Microsoft 365.
  • Adición de grupos de Microsoft 365 a grupos de seguridad u otros grupos de Microsoft 365.
  • Asignación de pertenencia a recursos compartidos y aplicaciones para grupos de seguridad anidados.
  • Aplicación de licencias a grupos anidados.
  • Agregar grupos de distribución en escenarios de anidamiento.
  • agregar grupos de seguridad como miembros de otros grupos de seguridad que estén habilitados para recibir correo.
  • Agregar grupos como miembros de un grupo asignable a roles.

Incorporación de un grupo a otro grupo

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya aIdentidad>Grupos>Todos los grupos.

  3. En la página Todos los grupos, busque y seleccione el grupo que quiera que se convierta en miembro de otro grupo.

    Nota:

    Solo puede agregar su grupo como miembro a otro grupo a la vez. Los caracteres comodín no se admiten en el cuadro de búsqueda Seleccionar grupo.

  4. En la página Información general del grupo, seleccione Pertenencias a grupos en el menú lateral.

  5. Seleccione + Agregar miembros.

  6. Busque el grupo del que quiere que su grupo sea miembro y elija Seleccionar.

    En este ejercicio, vamos a agregar "Directiva de MDM: Oeste" al grupo "Directiva MDM: Todas las organizaciones". El grupo "MDM: directiva: Oeste" tendrá el mismo acceso que el grupo "Directiva MDM: Todas las organizaciones".

    Captura de pantalla de hacer que un grupo sea el miembro de otro grupo con pertenencia a grupos en el menú lateral y la opción

Ahora puede revisar la página "MDM policy - West - Group memberships" para consultar la relación entre el grupo y el miembro.

Para obtener una vista detallada de la relación entre el grupo y el miembro, seleccione el nombre del grupo primario (Directiva de MDM - Todas las organizaciones) y observe los detalles de la página "Directiva de MDM - Oeste".

Eliminación de un grupo de otro grupo

Puede quitar un grupo de seguridad existente de otro grupo de seguridad; pero al quitar el grupo también se quitan los accesos heredados de sus miembros.

  1. En la página Todos los grupos, busque y seleccione el grupo que necesita quitar como miembro de otro grupo.

  2. En la página Información general del grupo, seleccione Pertenencias a grupos.

  3. Seleccione el grupo primario en la página Pertenencias a grupos.

  4. Seleccione Quitar.

    En este ejercicio, ahora vamos a quitar "Directiva de MDM - Oeste" del grupo "Directiva MDM - Todas las organizaciones".

    Captura de pantalla de la página

Eliminar un grupo

Puede eliminar un grupo para infinidad de motivos, pero normalmente será porque:

  • Elección de la opción de Tipo de grupo incorrecta.
  • Ha creado un grupo duplicado por error.
  • Ya no necesita el grupo.
  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya aIdentidad>Grupos>Todos los grupos.

  3. Busque y seleccione el grupo que quiera eliminar.

  4. Seleccione Eliminar.

Pasos siguientes