Más información sobre los grupos y los derechos de acceso en Microsoft Entra ID

Artículo
09/28/2023

Microsoft Entra ID proporciona varias maneras para administrar el acceso a recursos, aplicaciones y tareas. Con los grupos de Microsoft Entra, puede conceder acceso y permisos a un grupo de usuarios en lugar de hacerlo para cada usuario individual. Uno de los principales principios de seguridad de Confianza cero consiste en limitar el acceso a los recursos de Microsoft Entra solo a aquellos usuarios que necesiten dicho acceso. En este artículo se proporciona información general sobre cómo se pueden usar juntos los grupos y los derechos de acceso para facilitar la administración de los usuarios de Microsoft Entra, a la vez que se aplican los procedimientos recomendados de seguridad.

Microsoft Entra ID permite usar grupos para administrar el acceso a aplicaciones, datos y recursos. Los recursos pueden:

Parte de la organización de Microsoft Entra, como permisos para administrar objetos a través de roles en Microsoft Entra ID
Externo a la organización, como para aplicaciones de software como servicio (SaaS)
Servicios de Azure
Sitios de SharePoint
Recursos locales

Algunos grupos no se pueden administrar en Azure Portal:

Los grupos sincronizados desde Active Directory local solo se pueden administrar en Active Directory local.
Las listas de distribución y los grupos de seguridad habilitados para correo, solo se administran en el centro de administración de Exchange o en el centro de administración de Microsoft 365. Debe iniciar sesión en el centro de administración de Exchange o en el centro de administración de Microsoft 365 para administrar estos grupos.

Antes de crear un grupo debe saber que:

Existen dos tipos de grupos y tres tipos de pertenencia a grupos. Revise las opciones a fin de encontrar la combinación adecuada para su escenario.

Tipos de grupo:

Seguridad: se usa para administrar el acceso de usuarios y equipos a los recursos compartidos.

Por ejemplo, puede crear un grupo de seguridad para que todos los miembros del grupo tengan el mismo conjunto de permisos de seguridad. Entre los miembros de un grupo de seguridad pueden incluirse usuarios, dispositivos, otros grupos y entidades de servicio, que definen la directiva de acceso y los permisos. Entre los propietarios de un grupo de seguridad pueden incluirse usuarios y entidades de servicio.

Microsoft 365: proporciona oportunidades de colaboración al conceder a los miembros del grupo acceso a un buzón compartido, calendarios, archivos, sitios de SharePoint y mucho más.

Esta opción también permite ofrecer acceso al grupo a personas de fuera de la organización. Entre los miembros de un grupo de Microsoft 365 solo pueden incluirse usuarios. Entre los propietarios de un grupo de Microsoft 365 pueden incluirse usuarios y entidades de servicio. Para obtener más información sobre los Grupos de Microsoft 365, vea Más información sobre los grupos de Microsoft 365.

Tipos de pertenencia:

Asignado: permite agregar usuarios específicos como miembros de un grupo y que tengan permisos exclusivos.
Usuario dinámico: permite usar reglas de pertenencia dinámicas para agregar y quitar miembros automáticamente. Si los atributos de un miembro cambian, el sistema examina las reglas del grupo dinámico del directorio para comprobar si el miembro cumple los requisitos de la regla (se agrega) o ya no cumple los requisitos de las reglas (se elimina).
Dispositivo dinámico: permite usar reglas de grupo dinámico para agregar y quitar dispositivos automáticamente. Si los atributos de un dispositivo cambian, el sistema examina las reglas del grupo dinámico del directorio para comprobar si el dispositivo cumple los requisitos de la regla (se agrega) o ya no cumple los requisitos de las reglas (se elimina).

Importante

Puede crear un grupo dinámico para dispositivos o usuarios, pero no para ambos. No se puede crear un grupo de dispositivos basado en los atributos de los propietarios de los dispositivos. Las reglas de pertenencia de dispositivo solo pueden hacer referencia a atribuciones de dispositivos. Para más información sobre cómo crear un grupo dinámico para usuarios y dispositivos, consulte Creación de un grupo dinámico y comprobación de su estado.

Antes de agregar derechos de acceso a un grupo debe saber que:

Después de crear un grupo de Microsoft Entra, debe concederle el acceso adecuado. Cada aplicación, recurso y servicio que necesite permisos de acceso se debe administrar por separado, ya que es posible que los permisos de uno no sean los mismos que los de otros. Conceda acceso mediante el principio de privilegios mínimos para ayudar a reducir el riesgo de ataque o una vulneración de seguridad.

Funcionamiento de la administración de acceso en Microsoft Entra ID

Microsoft Entra ID le ayuda a proporcionar acceso a los recursos de su organización, ya que proporciona derechos de acceso a un usuario individual o a todo un grupo de Microsoft Entra. El uso de grupos permite que el propietario del recurso o al propietario del directorio de Microsoft Entra asigne un conjunto de permisos de acceso a todos los miembros del grupo. El propietario del recurso o del directorio también puede conceder derechos de administrador, por ejemplo, a un administrador de departamento o a un administrador del departamento de soporte técnico, y prmitir que dicha persona agregue y quite miembros. Para obtener información sobre cómo administrar propietarios de grupos, consulte el artículo Administración de grupos.

Diagrama de administración de acceso de Microsoft Entra ID.

Formas de asignar derechos de acceso

Después de crear un grupo, debe decidir cómo asignar derechos de acceso. Explore las diferentes maneras de asignar derechos de acceso para determinar el mejor proceso para su escenario.

Asignación directa. El propietario del recurso asigna directamente el usuario al recurso.
Asignación de un grupo. El propietario del recurso asigna un grupo de Microsoft Entra al recurso, que automáticamente concede a todos sus miembros acceso al recurso. La pertenencia a un grupo la administran el propietario del grupo y el propietario del recurso, lo que permite a ambos propietarios agregar o quitar miembros del grupo. Para obtener más información sobre la administración de la pertenencia a grupos, consulte el artículo Administración de grupos.
Asignación basada en reglas. El propietario del recurso crea un grupo y usa una regla para definir qué usuarios están asignados a un recurso concreto. La regla se basa en atributos que se asignan a usuarios individuales. El propietario del recurso administra la regla, lo que determina los atributos y valores que son necesarios para permitir el acceso al recurso. Para más información, consulte Creación de un grupo dinámico y comprobación de su estado.
Asignación de una autoridad externa. El acceso procede de un origen externo, como un directorio local o una aplicación SaaS. En esta situación, el propietario del recurso asigna al grupo para proporcionar acceso al recurso y, después, el origen externo administra los miembros del grupo.

¿Pueden los usuarios unirse a grupos sin que se les asignen?

El propietario del grupo puede permitir a los usuarios buscar los grupos a los que se van a unir, en lugar de asignarlos. El propietario también puede configurar el grupo para que acepte todos los usuarios que se unan a o para que exija aprobación.

Cuando un usuario solicita unirse a un grupo, la solicitud se reenvía al propietario del mismo. Si es necesario, el propietario puede aprobar la solicitud y se notifica al usuario de la pertenencia al grupo. Si tiene varios propietarios y uno de ellos la rechaza, el usuario recibe una notificación, pero no se agrega al grupo. Para más información e instrucciones acerca de cómo permitir a los usuarios solicitar su unión a grupos, consulte Configuración de Microsoft Entra ID para que los usuarios puedan solicitar unirse a grupos.