Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Translate
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(220.8, 86%, 31%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EJC%3C/text%3E%3C/svg%3E)
necesito asignarle permisos de administración a un usuario común, para que administre la pertenencia o no de otros usuarios a un grupo exclusivo de seguridad existente en Entra ID.
¿cómo puedo lograr aquello sin que este usuario común, no acceda al resto de los grupos en Entra ID?
Buenas tardes Juan si bien entiendo el objetivo es Hacer que el usuario común sea propietario del grupo de seguridad, permitiéndole gestionar la pertenencia sin acceder a otros grupos.
Entiendo que la mejor manaera seria;
Hacer al usuario propietario del grupo
😊 If my answer helped you resolve your issue, please consider marking it as the correct answer. This helps others in the community find solutions more easily. Thanks!
Gracias José por tu respuesta.
Efectivamente eso fue lo primero que hice, pero el resultado es que no tengo vista del grupo (desde la url de Entra ID, el usuario común no tiene permiso para visualizar el grupo). Además la documentación Ms indica que la forma es agregando al usuario común en el rol admin de grupos, privilegio que no desean se haga extensivo a ese tipo de usuarios.
Aclarar que el grupo por administrar es de tipo seguridad, que como administrador en el Tenant es posible ver en la sección "Identidad -> Grupos -> Todos los grupos" de Entra ID.
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(41.6, 77%, 14%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ER%3C/text%3E%3C/svg%3E)
@Juan Chamorr Admin, Ve al Portal de Azure -> Grupos -> Configuración (General) y verifica si la configuración es como la siguiente:
Por favor, considera votar a favor del comentario si la información proporcionada es útil. Esto puede ayudar a otros miembros de la comunidad a resolver problemas similares.
Estoy traduciendo esto del inglés, así que disculpa cualquier error gramatical.
Hola Rukmini.
la configuración es diferente en nuestro Tenant:
¿que implicancias tiene modificar esto, segun tu imagen?
Te comparto un resumen para que entiendas las implicaciones de cada opciones;
Configuración General
😊 If my answer helped you resolve your issue, please consider marking it as the correct answer. This helps others in the community find solutions more easily. Thanks!
Bien, entiendo y agradezco tu respuesta.
Ahora, para el caso en que al agregar un propietario de un grupo de seguridad, este no puede llegar a la ruta de los grupos en Entra ID para administrarlo (ver sus miembros agregar o quitarlos) ¿es directamente debido a esa opción que está en "no"?
Para esto que mencionas yo en mi entorno lo realizo de la siguiente manera;
Las ultima dos le permite a un usuario crear security groups y otras cosas, por eso lo limito con el NO.
Y con las 2 primeras de arriba administra la pertencia dentro del grupo y que solo el pueda administrarla.
Si, eso pensé al agregar este usuario común en el grupo que desea administrar y me encontré con 2 problemas:
Hola Juan Chamorr Admin,
Entiendo que desea agregar un usuario común como propietario del grupo de identificadores de Microsoft Entra para que el usuario común pueda acceder a ese grupo en particular y no a todos los demás grupos en el Portal de Azure.
Lo probé en mi entorno y la configuración del grupo debe verse como se muestra a continuación:
Creé un usuario de prueba sin roles asignados:
Se agregó el usuario de prueba como propietario del grupo de seguridad:
Se ha iniciado sesión en Azure Portal con el usuario de prueba y el usuario de prueba puede ver y acceder correctamente al grupo:
Y para el grupo donde en el usuario de prueba no se agrega el propietario del grupo, el usuario de prueba no puede acceder al grupo:
¡Espero que esto ayude!
Por favor, considere votar a favor del comentario si la información proporcionada es útil. Esto puede ayudar a otros miembros de la comunidad a resolver problemas similares.
Hágamelo saber si tiene más preguntas, ¡no dude en comunicarse!
Estoy traduciendo esto del inglés, así que lo siento por cualquier error gramatical.
Gracias Rukmini por esa muestra paso a paso.
Vamos a ver si desde la administración Global nos autorizan a realizar esos cambios.
Rukmini.
no pude acceder al portal de Azure con el usuario común. Lo intenté usando la misma url de administración: entra.microsoft.com/#home
me arroja el mensaje:
"No tiene permiso para acceder a este recurso.
Ha iniciado sesión correctamente, pero no tiene permiso para acceder a este recurso."
como accediste tu?
saludos espero te sirva esta información que construi con la inteligencia artificial Copilot:
Para asignar permisos de administración a un usuario en Microsoft Entra ID sin que tenga acceso a otros grupos, puedes usar Control de acceso basado en roles (RBAC) y asignar un rol personalizado. Aquí están los pasos clave:
Crea un grupo de seguridad y habilita la opción "Los roles de Microsoft Entra se pueden asignar a un grupo".
Esto permitirá que el grupo tenga permisos específicos sin afectar otros grupos.
En Microsoft Entra ID, ve a Roles y permisos.
Crea un rol personalizado con permisos limitados, como:
Administrar miembros del grupo específico.
No acceder a otros grupos ni configuraciones globales.
Asigna el rol al usuario dentro del grupo de seguridad.
Usa Grupos de pertenencia dinámica para que el usuario solo administre el grupo específico.
Asegúrate de que el usuario no tenga permisos de administración global.
Prueba la configuración con el usuario asignado.
Revisa los registros de auditoría para asegurarte de que los permisos funcionan correctamente.
Si necesitas más detalles, puedes consultar la documentación oficial sobre asignación de roles a grupos y permisos personalizados. ¡Espero que esto te ayude a configurar el acceso correctamente! 🚀Para asignar permisos de administración a un usuario en Microsoft Entra ID sin que tenga acceso a otros grupos, puedes usar Control de acceso basado en roles (RBAC) y asignar un rol personalizado. Aquí están los pasos clave:
Ve a Microsoft Entra ID en el portal de Azure.
Crea un grupo de seguridad y habilita la opción "Los roles de Microsoft Entra se pueden asignar a un grupo".
Esto permitirá que el grupo tenga permisos específicos sin afectar otros grupos.
En Microsoft Entra ID, ve a Roles y permisos.
Crea un rol personalizado con permisos limitados, como:
Administrar miembros del grupo específico.
No acceder a otros grupos ni configuraciones globales.
Asigna el rol al usuario dentro del grupo de seguridad.
Usa Grupos de pertenencia dinámica para que el usuario solo administre el grupo específico.
Asegúrate de que el usuario no tenga permisos de administración global.
Prueba la configuración con el usuario asignado.
Revisa los registros de auditoría para asegurarte de que los permisos funcionan correctamente.
Si necesitas más detalles, puedes consultar la documentación oficial sobre asignación de roles a grupos y permisos personalizados. ¡Espero que esto te ayude a configurar el acceso correctamente! 🚀
Gracias Juan Manuel
se ve interesante probar esa configuración.
Como respondí más arriba, estamos a la espera de la autorización de la parta Administración global de nuestro Tenant para ver si hacemos las modificaciones pertinentes.
Creo que ya se porque razón, no puede un usuario comun ingresar al portal de Entra ID:
Restringir el acceso al Centro de administración de Microsoft Entra = Si
Eso es correcto a veces con esa restricion no podra ingresar, nos alegra que hayas solucionado!