Administración de organizaciones conectadas en la administración de derechos

La administración de derechos le permite colaborar con personas ajenas a la organización. Si colabora con frecuencia con muchos usuarios de organizaciones externas específicas, puede agregar los orígenes de identidad de esa organización como organizaciones conectadas. Tener una organización conectada simplifica la forma en que más personas de esas organizaciones pueden solicitar acceso. En este artículo se describe cómo agregar una organización conectada para que pueda permitir que los usuarios ajenos a la organización soliciten recursos en el directorio.

¿Qué es una organización conectada?

Una organización conectada es otra organización con la que tiene una relación. Para que los usuarios de esa organización puedan acceder a los recursos, como los sitios o las aplicaciones de SharePoint Online, necesitará una representación de los usuarios de esa organización en ese directorio. Debido a que en la mayoría de los casos los usuarios de esa organización aún no están en su directorio de Microsoft Entra, puede usar la administración de derechos para incorporarlos a su directorio de Microsoft Entra según sea necesario.

Si desea proporcionar una ruta para que cualquiera pueda solicitar acceso, y no está seguro de qué organizaciones podrían ser esos nuevos usuarios, entonces puede configurar una política de asignación de paquetes de acceso para los usuarios que no están en su directorio. En esa directiva, seleccione la opción Todos los usuarios (Todas las organizaciones conectadas + cualquier nuevo usuario externo). Si el solicitante es aprobado y no pertenece a una organización conectada en su directorio, se creará automáticamente una organización conectada para él.

Si solo desea permitir que los usuarios de organizaciones designadas soliciten acceso, primero cree esas organizaciones conectadas. En segundo lugar, configure una política de asignación de paquetes de acceso para los usuarios que no estén en su directorio, seleccione la opción de Organizaciones conectadas específicas y seleccione las organizaciones que ha creado.

Hay cuatro formas en que la administración de derechos le permite especificar los usuarios que forman una organización conectada. Podrían ser:

• usuarios en otro directorio de Microsoft Entra (desde cualquier nube de Microsoft),
• usuarios de otro directorio que no es de Microsoft que se ha configurado para la federación del proveedor de identidades SAML/WS-Fed (IdP),
• usuarios de otro directorio que no sea de Microsoft, cuyas direcciones de correo electrónico tienen el mismo nombre de dominio en común y específico a esa organización, o
• usuarios con una cuenta Microsoft, como del dominio live.com, si tiene una necesidad empresarial de colaboración con usuarios que no tienen ninguna organización común.

Por ejemplo, supongamos que trabaja en Woodgrove Bank y desea colaborar con dos organizaciones externas. Quiere conceder a los usuarios de ambas organizaciones externas acceso a los mismos recursos, pero estas dos organizaciones tienen configuraciones diferentes:

• Contoso aún no usa el identificador de Microsoft Entra. Los usuarios de Contoso tienen una dirección de correo electrónico que termina con contoso.com.
• Graphic Design Institute utiliza Microsoft Entra ID y al menos algunos de sus usuarios tienen un nombre principal de usuario que termina en graphicdesigninstitute.com.

En este caso, puede configurar un paquete de acceso, con una directiva y dos organizaciones conectadas.

1. Asegúrese de que tiene activada la autenticación mediante código de un solo uso (OTP) de correo electrónico, para que los usuarios de aquellos dominios que aún no forman parte de los directorios de Microsoft Entra se autentiquen mediante el código de un solo uso de correo electrónico cuando soliciten acceso o accedan posteriormente a sus recursos. Además, es posible que tenga que configurar las opciones de colaboración externa de Microsoft Entra B2B para permitir el acceso de los usuarios externos.
2. Cree una organización conectada para Contoso. Al especificar el dominio contoso.com, la administración de derechos reconocerá que no hay ningún inquilino de Microsoft Entra existente asociado a ese dominio y que los usuarios de esa organización conectada se reconocerán si se autentican con un código de acceso de un solo uso por correo electrónico con un dominio de dirección de correo electrónico de contoso.com.
3. Cree otra organización conectada para Graphic Design Institute. Al especificar el dominio graphicdesigninstitute.com, la administración de derechos reconocerá que hay un inquilino asociado a ese dominio.
4. En un catálogo que permite a los usuarios externos solicitar, cree un paquete de acceso.
5. En ese paquete de acceso, cree una directiva de asignación de paquetes de acceso para los usuarios que aún no están en el directorio. En esa directiva, seleccione la opción Organizaciones conectadas específicas y especifique las dos organizaciones conectadas. Esto permitirá a los usuarios de cada organización, con un origen de identidad que coincida con una de las organizaciones conectadas, para solicitar el paquete de acceso.
6. Cuando los usuarios externos con un nombre principal de usuario que tenga un dominio de contoso.com solicitar el paquete de acceso, se autenticarán mediante el correo electrónico. Este dominio de correo electrónico coincidirá con la organización conectada a Contoso y el usuario podrá solicitar el paquete. Después de solicitarlo, cómo funciona el acceso para los usuarios externos describe cómo se invita al usuario B2B y se asigna el acceso al usuario externo.
7. Además, los usuarios externos que usan una cuenta organizativa del inquilino del Instituto de diseño gráfico coincidirían con la organización conectada al Instituto de diseño gráfico y se les permitiría solicitar el paquete de acceso. Además, dado que Graphic Design Institute usa Microsoft Entra, cualquier usuario con un nombre principal que coincida con otro dominio comprobado que se agregue al inquilino de Graphic Design Institute, comographicdesigninstitute.example, también podría solicitar paquetes de acceso mediante la misma directiva.

La forma en que se autentican los usuarios del directorio o dominio de Microsoft Entra depende del tipo de autenticación. Los tipos de autenticación para las organizaciones conectadas son:

• Microsoft Entra ID, en la misma nube
• Microsoft Entra ID, en otra nube
• Federación del proveedor de identidades (IdP) SAML/WS-Fed
• Código de acceso de un solo uso (dominio)
• Cuenta Microsoft

Para ver una demostración de cómo agregar una organización conectada, vea el vídeo siguiente:

Visualización de la lista de organizaciones conectadas

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Requisitos previos de rol:Administrador global o Administrador de Identity Governance

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

2. Vaya a Administración de derechos> de gobernanza de identidades>Organizaciones conectadas.

3. En el cuadro de búsqueda, puede buscar una organización conectada por el nombre de la organización conectada. Sin embargo, no puede buscar un nombre de dominio.

Adición de una organización conectada

Para agregar un directorio o dominio externo de Microsoft Entra como organización conectada, siga las instrucciones de esta sección.

Requisitos previos de rol:Administrador global o Administrador de Identity Governance

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

2. Vaya a Administración de derechos> de gobernanza de identidades>Organizaciones conectadas.

3. En la página Organizacionesconectadas, seleccione Agregar organización conectada.

   

4. Seleccione la pestaña Aspectos básicos y, a continuación, escriba un nombre para mostrar y una descripción para la organización.

   

5. El estado se establecerá automáticamente en Configurada al crear una nueva organización conectada. Para más información sobre la propiedad estatal de una organización vinculada, véase Propiedad estatal de organizaciones vinculadas

6. Seleccione la pestaña Directorio y dominio y, a continuación, Agregar directorio y dominio.

   Se abre el panel Seleccionar directorios y dominios.

7. En el cuadro de búsqueda, escriba un nombre de dominio para buscar el directorio o el dominio de Microsoft Entra. También puede agregar dominios que no están asociados a ningún directorio de Microsoft Entra. Asegúrese de escribir el nombre de dominio completo.

8. Confirme que el nombre de la organización y el tipo de autenticación son correctos. El inicio de sesión del usuario, antes de poder acceder al portal MyAccess, depende del tipo de autenticación de su organización. Si el tipo de autenticación de una organización conectada es Microsoft Entra ID, todos los usuarios con una cuenta en el directorio de esa organización, con cualquier dominio comprobado de ese directorio de Microsoft Entra, iniciarán sesión en su directorio y, a continuación, podrán solicitar acceso a paquetes de acceso que permitan esa organización conectada. Si el tipo de autenticación es código de acceso de un solo uso, esto permite a los usuarios con direcciones de correo electrónico de solo ese dominio visitar el portal de MyAccess. Después de autenticarse con el código de acceso, el usuario puede realizar una solicitud.

   

   Nota:

   El acceso desde algunos dominios podría estar bloqueado por la lista de permitidos o denegados de Microsoft Entra para empresas (B2B). Además, los usuarios que tienen una dirección de correo electrónico que tiene el mismo dominio que una organización conectada configurada para la autenticación de Microsoft Entra, pero que no se autentican en ese directorio de Microsoft Entra, no se reconocerán como parte de esa organización conectada. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).

9. Seleccione Agregar para agregar el directorio o dominio de Microsoft Entra. Puede agregar varios directorios y dominios de Microsoft Entra.

10. Después de agregar los directorios o dominios de Microsoft Entra, elija Seleccionar.

    La organización aparece en la lista.

    

11. Seleccione la pestaña Patrocinadores y, a continuación, agregue patrocinadores opcionales para esta organización conectada.

    Los patrocinadores son usuarios internos o externos ya existentes en el directorio que son el punto de contacto para la relación con esta organización conectada. Los patrocinadores internos son usuarios miembros de su directorio. Los patrocinadores externos son usuarios invitados de la organización conectada a los que se ha invitado previamente y que ya están en el directorio. Los patrocinadores se pueden usar como aprobadores cuando los usuarios de esta organización conectada soliciten acceso a este paquete de acceso. Para obtener información sobre cómo traer a un usuario invitado a su directorio, consulte Incorporación de usuarios de colaboración B2B de Microsoft Entra.

    Al seleccionar Agregar o quitar, se abre un panel en el que puede elegir patrocinadores internos o externos. El panel muestra una lista sin filtrar de usuarios y grupos en el directorio.

    

12. Seleccione la pestaña Revisar y crear, revise la configuración de la organización y, luego, elija Crear.

    

Actualización de una organización conectada

Si la organización conectada cambia a otro dominio, el nombre de la organización cambia o quiere cambiar los patrocinadores, puede seguir las instrucciones de esta sección para actualizar la organización conectada.

Requisitos previos de rol:Administrador global o Administrador de Identity Governance

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

2. Vaya a Administración de derechos> de gobernanza de identidades>Organizaciones conectadas.

3. En la página Organizaciones conectadas , seleccione la organización conectada que desea actualizar.

4. En el panel de información general de la organización conectada, seleccione Editar para cambiar el nombre, la descripción o el estado de la organización.

5. En el panel Directorio y dominio, seleccione Actualizar directorio y dominio para cambiar a otro directorio o dominio.

6. En el panel Patrocinadores, seleccione Agregar patrocinadores internos o Agregar patrocinadores externos para agregar un usuario como patrocinador. Para quitar un patrocinador, selecciónelo y, en el panel derecho, seleccione Eliminar.

Eliminar una organización conectada

Si ya no tiene relación con un directorio o dominio Microsoft Entra externo, o no desea seguir teniendo una organización conectada propuesta, puede eliminar la organización conectada.

Requisitos previos de rol:Administrador global o Administrador de Identity Governance

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

2. Vaya a Administración de derechos> de gobernanza de identidades>Organizaciones conectadas.

3. En la página Organizaciones conectadas, seleccione la organización conectada que desea actualizar.

4. En el panel de información general de la organización conectada, seleccione Eliminar para eliminarla.

   

Administración de una organización conectada mediante programación

También puede crear, enumerar, actualizar y eliminar organizaciones conectadas mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para administrar objetos connectedOrganization y establecer patrocinadores para ellos.

Administración de organizaciones conectadas mediante Microsoft PowerShell

También puede administrar organizaciones conectadas en PowerShell con los cmdlets de Microsoft Graph PowerShell para el módulo Identity Governance versión 1.16.0 o posterior.

El script siguiente muestra el uso del perfil v1.0 de Graph para recuperar todas las organizaciones conectadas. Cada organización conectada devuelta contiene una lista identitySources de los directorios y dominios de esa organización conectada.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Propiedades de estado de las organizaciones conectadas

Existen dos estados diferentes para las organizaciones conectadas en la gestión de derechos, configurado y propuesto:

• Una organización conectada configurada es una organización conectada totalmente funcional que permite a los usuarios de esa organización acceder a los paquetes de acceso. Cuando un administrador crea una nueva organización conectada en el centro de administración de Microsoft Entra, tendrá el estado Configurada de forma predeterminada, ya que el administrador ha creado y desea usar esta organización conectada. Además, cuando se crea una organización conectada mediante programación con la API, el estado predeterminado debe ser Configurada a menos que se establezca en otro estado explícitamente.

  Las organizaciones conectadas configuradas se mostrarán en los selectores de organizaciones conectadas y estarán en el ámbito de las directivas que tengan como destino "todas las organizaciones conectadas configuradas".

• Una organización conectada propuesta es una organización conectada que se ha creado automáticamente, pero que un administrador no ha creado ni aprobado la organización. Cuando un usuario se suscribe a un paquete de acceso fuera de una organización conectada configurada, todas las organizaciones conectadas creadas automáticamente estarán en estado Propuesta, ya que ningún administrador del inquilino ha configurado esa asociación.

  Las organizaciones conectadas propuestas no están en el ámbito de la configuración "todas la organizaciones conectadas configuradas" de ninguna directiva, pero se pueden utilizar en directivas solo para directivas que tienen como destino organizaciones específicas.

Solo los usuarios de las organizaciones conectadas configuradas pueden solicitar paquetes de acceso que estén disponibles para los usuarios de todas las organizaciones configuradas. Los usuarios de las organizaciones conectadas propuestas tienen una experiencia como si no hubiera ninguna organización conectada para ese dominio; solo pueden ver y solicitar paquetes de acceso en el ámbito de su organización específica o en el ámbito de cualquier usuario. Si tiene políticas en su inquilino que permiten "todas las organizaciones conectadas configuradas", asegúrese de no convertir las organizaciones conectadas propuestas para los proveedores de identidad social en configuradas.

Nota:

Como parte de la implementación de esta nueva característica, todas las organizaciones conectadas creadas antes del 09/09/20 se consideran configuradas. Si tiene un paquete de acceso que permitía registrarse a los usuarios de cualquier organización, debe revisar la lista de las organizaciones conectadas que se crearon antes de esa fecha para asegurarse de que ninguna está clasificada de forma incorrecta como Configurada. En concreto, los proveedores de identidades sociales no deben indicarse como configurados si hay directivas de asignación que no requieren aprobación para los usuarios de todas las organizaciones conectadas configuradas. Un administrador puede actualizar la propiedad Estado según corresponda. Para obtener instrucciones, consulte Actualización de una organización conectada.

Nota:

En algunos casos, un usuario podría solicitar un paquete de acceso mediante su cuenta personal desde un proveedor de identidades sociales, donde la dirección de correo electrónico de esa cuenta tiene el mismo dominio que una organización conectada existente correspondiente a un inquilino de Microsoft Entra. Si se aprueba ese usuario, daría lugar a una nueva organización conectada propuesta que represente ese dominio. En este caso, asegúrese de que el usuario use su cuenta de organización en lugar de volver a solicitar el acceso, y el portal identificará a este usuario como procedente del inquilino de Microsoft Entra de la organización conectada que se haya configurado.

Pasos siguientes

• Administración del acceso para usuarios externos
• Administración del acceso para los usuarios que no están en el directorio