Administrar cuentas de administrador en Azure Active Directory B2C

En Azure Active Directory B2C (Azure AD B2C), un inquilino representa el directorio de cuentas de consumidor, trabajo e invitados. Con el rol Administrador, las cuentas de trabajo e invitados pueden administrar el inquilino.

En este artículo aprenderá a:

• Adición de un administrador (cuenta profesional)
• Invitación de un administrador (cuenta de invitado)
• Agregar asignación de roles a una cuenta de usuario
• Eliminar una asignación de roles de una cuenta de usuario
• Eliminación de una cuenta de administrador
• Protección de cuentas administrativas

Prerrequisitos

• Si aún no ha creado su propio inquilino de Azure AD B2C, cree una ahora. Puede usar un inquilino de Azure AD B2C existente.
• Conocer las cuentas de usuario en Azure AD B2C.
• Conocer el uso de roles para controlar el acceso a los recursos.

Adición de un administrador (cuenta profesional)

Para crear una cuenta administrativa, siga estos pasos:

1. Inicie sesión en Azure Portal con permisos de administrador de roles con privilegios o de administrador global.

2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Azure AD B2C desde el menú Directorios y suscripciones.

3. En Servicios de Azure, seleccione Azure AD B2C. O bien, use el cuadro de búsqueda para buscar y seleccionar Azure AD B2C.

4. En Administrar, seleccione Usuarios.

5. Seleccione Nuevo usuario.

6. Seleccione Crear usuario (puede crear muchos usuarios a la vez si selecciona Quiero crear usuarios de forma masiva).

7. En la página Usuario, escriba información para este usuario:

   • Nombre de usuario. Requerido. Nombre de usuario del nuevo usuario. Por ejemplo, mary@contoso.com. La parte de dominio del nombre de usuario debe usar el nombre de dominio predeterminado inicial, <nombre_de_inquilino>.onmicrosoft.com o el dominio personalizado como contoso.com.
   • Nombre. Requerido. Nombre y apellidos del nuevo usuario. Por ejemplo, Mary Parker.
   • Grupos. Opcional. Puede agregar el usuario a uno o más grupos existentes. También puede agregar el usuario a grupos en un momento posterior.
   • Rol de directorio: Si necesita permisos administrativos de Microsoft Entra para el usuario, puede agregarlo a un rol de Microsoft Entra. Puede asignar al usuario el rol de Administrador de empresa o uno o más de los roles de administrador limitado en Microsoft Entra ID. Para más información sobre la asignación de roles, vea Uso de roles para controlar el acceso a los recursos.
   • Información del trabajo. Puede agregar más información sobre el usuario aquí o hacerlo más adelante.

8. Copie la contraseña generada automáticamente proporcionada en el cuadro de texto Contraseña. Deberá proporcionar esta contraseña al usuario para iniciar sesión por primera vez.

9. Seleccione Crear.

El usuario se crea y se agrega al inquilino de Azure AD B2C. Es preferible tener al menos una cuenta profesional nativa del inquilino de Azure AD B2C asignado al rol de administrador global. Esta cuenta se puede considerar una cuenta de emergencia o cuentas de acceso de emergencia.

Invitación de un administrador (cuenta de invitado)

También puede invitar a un nuevo usuario invitado para administrar el inquilino. La cuenta de invitado es la opción preferida cuando la organización también tiene Microsoft Entra ID, porque el ciclo de vida de esta identidad se puede administrar externamente.

Para invitar a un usuario, siga estos pasos:

1. Inicie sesión en Azure Portal con permisos de administrador de roles con privilegios o de administrador global.

2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Azure AD B2C desde el menú Directorios y suscripciones.

3. En Servicios de Azure, seleccione Azure AD B2C. O bien, use el cuadro de búsqueda para buscar y seleccionar Azure AD B2C.

4. En Administrar, seleccione Usuarios.

5. Seleccione New guest account (Nueva cuenta de invitado).

6. En la página Usuario, escriba información para este usuario:

   • Nombre. Requerido. Nombre y apellidos del nuevo usuario. Por ejemplo, Mary Parker.
   • Dirección de correo electrónico. Requerido. La dirección de correo electrónico del usuario al que quiere invitar, que debe ser una cuenta de Microsoft. Por ejemplo, mary@contoso.com.
   • Mensaje personal: agregue un mensaje personal que se incluirá en el correo electrónico de invitación.
   • Grupos. Opcional. Puede agregar el usuario a uno o más grupos existentes. También puede agregar el usuario a grupos en un momento posterior.
   • Rol de directorio: Si necesita permisos administrativos de Microsoft Entra para el usuario, puede agregarlo a un rol de Microsoft Entra. Puede asignar al usuario el rol de Administrador de empresa o uno o más de los roles de administrador limitado en Microsoft Entra ID. Para más información sobre la asignación de roles, vea Uso de roles para controlar el acceso a los recursos.
   • Información del trabajo. Puede agregar más información sobre el usuario aquí o hacerlo más adelante.

7. Seleccione Crear.

Se envía un correo electrónico de invitación al usuario. El usuario debe aceptar la invitación para poder iniciar sesión.

Reenvío del correo electrónico de invitación

Si el invitado no recibió el correo electrónico de invitación o la invitación expiró, puede reenviarla. Como alternativa al correo electrónico de invitación, puede proporcionar al invitado un vínculo directo para aceptar la invitación. Para reenviar la invitación y obtener el vínculo directo:

1. Inicie sesión en Azure Portal.

2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Azure AD B2C desde el menú Directorios y suscripciones.

3. En Servicios de Azure, seleccione Azure AD B2C. O bien, use el cuadro de búsqueda para buscar y seleccionar Azure AD B2C.

4. En Administrar, seleccione Usuarios.

5. Busque y seleccione el usuario al que desea reenviar la invitación.

6. En la página Usuario | Perfil, en Identidad, seleccione (Administrar) .

7. En ¿Quiere volver a enviar la invitación? , seleccione Sí. Cuando aparezca el mensaje ¿Seguro que quiere volver a enviar una invitación? , seleccione Sí.

8. Azure AD B2C envía la invitación. También puede copiar la dirección URL de invitación y proporcionarla directamente al invitado.

   

Adición de una asignación de roles

Puede asignar un rol al crear un usuario o al invitar a un usuario externo. Puede agregar un rol, cambiarlo o quitarlo para un usuario:

1. Inicie sesión en Azure Portal con permisos de administrador de roles con privilegios o de administrador global.
2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Azure AD B2C desde el menú Directorios y suscripciones.
3. En Servicios de Azure, seleccione Azure AD B2C. O bien, use el cuadro de búsqueda para buscar y seleccionar Azure AD B2C.
4. En Administrar, seleccione Usuarios.
5. Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
6. Seleccione Agregar asignaciones, seleccione el rol que asignará (por ejemplo, Administrador de aplicaciones) y, a continuación, elija Agregar.

Eliminación de una asignación de rol

Si necesita quitar una asignación de roles de un usuario, siga estos pasos:

1. Seleccione Azure AD B2C, seleccione Usuarios y, después, busque y seleccione el usuario.
2. Seleccione Roles asignados. Seleccione el rol que desea quitar, por ejemplo, Administrador de aplicaciones y, después, seleccione Quitar asignación.

Revisión de las asignaciones de roles de la cuenta de administrador

Como parte de un proceso de auditoría, normalmente se revisa qué usuarios están asignados a roles específicos en el directorio de Azure AD B2C. Siga estos pasos para auditar qué usuarios tienen asignados roles con privilegios actualmente.

1. Inicie sesión en Azure Portal con permisos de administrador de roles con privilegios o de administrador global.
2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Azure AD B2C desde el menú Directorios y suscripciones.
3. En Servicios de Azure, seleccione Azure AD B2C. O bien, use el cuadro de búsqueda para buscar y seleccionar Azure AD B2C.
4. En Administrar, seleccione Roles y administradores.
5. Seleccione un rol, como Administrador global. En la página Rol | Asignaciones, se muestran los usuarios que tienen dicho rol.

Eliminación de una cuenta de administrador

Para eliminar un usuario existente, debe tener una asignación de roles de Administrador global. Los administradores globales pueden eliminar cualquier usuario, incluidos otros administradores. Los administradores de usuarios pueden eliminar cualquier usuario que no sea administrador.

1. En el directorio de Azure AD B2C, seleccione Usuarios y, a continuación, seleccione el usuario que desea eliminar.
2. Seleccione Eliminar y, después, Sí para confirmar la eliminación.

El usuario se elimina y ya no aparece en la página Users - All users (Usuarios: Todos los usuarios). El usuario se puede ver en la página Usuarios eliminados durante los próximos 30 días y puede restaurarse durante ese tiempo. Para obtener más información sobre cómo restaurar un usuario, consulte Restaurar o eliminar un usuario eliminado recientemente mediante Microsoft Entra ID.

Protección de cuentas administrativas

Se recomienda proteger todas las cuentas de administrador con autenticación multifactor (MFA) para mayor seguridad. MFA es un proceso de verificación de identidad durante el inicio de sesión que solicita al usuario una forma más de identificación, como un código de verificación en su dispositivo móvil o una solicitud en su aplicación Microsoft Authenticator.

Si no usa Acceso condicional, puede habilitar los valores predeterminados de seguridad de Microsoft Entra para forzar que todas las cuentas administrativas usen MFA.

Pasos siguientes

• Administración de cuentas de acceso de emergencia en Azure Active Directory B2C