Administración de grupos y la pertenencia a grupos de Azure Active Directory

Los grupos de Azure Active Directory (Azure AD) se usan para administrar usuarios que necesitan el mismo acceso y permisos a los recursos, como aplicaciones y servicios potencialmente restringidos. En lugar de agregar permisos especiales a usuarios individuales, puede crear un grupo que aplique los permisos especiales a cada miembro de ese grupo.

En este artículo se tratan los escenarios de grupos básicos en los que se agrega un único grupo a un único recurso y los usuarios se agregan como miembros de ese grupo. En el caso de los escenarios más complejos, como la creación de reglas y las pertenencias dinámicas, consulte la documentación de administración de usuarios de Azure Active Directory.

Antes de agregar grupos y miembros, obtenga información sobre los grupos y los tipos de pertenencia para ayudarle a decidir qué opciones usar cuando cree un grupo.

Creación de un grupo básico y adición de miembros

Mediante el portal de Azure Active Directory (Azure AD), puede crear un grupo básico y agregar los miembros a la vez. Los roles de Azure AD que pueden administrar grupos incluyen Administrador de grupos, Administrador de usuarios, Administrador de roles con privilegios o Administrador global. Revisión de los roles de Azure AD adecuados para administrar grupos

Para crear un grupo básico y agregar miembros:

1. Inicie sesión en Azure Portal.

2. Vaya a Azure Active Directory>Grupos>Nuevo grupo.

   

3. Seleccione un Tipo de grupo. Para obtener más información sobre los tipos de grupo, consulte el artículo Información sobre los grupos y los tipos de pertenencia.

   • Si selecciona el tipo de grupo de Microsoft 365, se habilitará la opción Dirección de correo electrónico del grupo.

4. Introduzca un Nombre de grupo. Elija un nombre que sea fácil de recordar y que tenga sentido para el grupo. Se realizará una comprobación para determinar si el nombre ya está en uso. Si el nombre del grupo ya está en uso, se le pedirá que lo modifique.

5. Dirección de correo electrónico del grupo: solo está disponible para los tipos de grupo de Microsoft 365. Escriba manualmente una dirección de correo electrónico o use la que se creó a partir del nombre de grupo que proporcionó.

6. Descripción de grupo. Agregue una descripción opcional al grupo.

7. Cambie los roles de Azure AD que se pueden asignar a la configuración del grupo a "Sí" a fin de usar este grupo para asignar roles de Azure AD a los miembros.

   • Esta opción solo está disponible con licencias Premium P1 o P2.
   • Debe tener el rol de Administrador de roles con privilegios o Administrador global.
   • Al habilitar esta opción, se selecciona automáticamente Asignado como tipo de pertenencia.
   • La capacidad de agregar roles mientras se crea el grupo se agrega al proceso.
   • Obtenga más información sobre los grupos a los que se pueden asignar roles.

8. Seleccione un tipo de pertenencia. Para obtener más información sobre los tipos de grupos, consulte el artículo Información sobre los grupos y los tipos de pertenencia.

9. De manera opcional, agregue Propietarios o Miembros. Los miembros y propietarios se pueden agregar después de crear el grupo.

   1. Seleccione el vínculo de Propietarios o Miembros para rellenar una lista de todos los usuarios del directorio.
   2. Elija usuarios de la lista y, a continuación, en la parte inferior de la ventana, seleccione el botón Seleccionar.

   

10. Seleccione Crear. Se ha creado el grupo y está listo para que administre otras configuraciones.

Desactivación del correo electrónico de bienvenida al grupo

Cuando los usuarios se agregan a un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida a todos, independientemente del tipo de pertenencia. Cuando cambian los atributos de un usuario o dispositivo, se procesan todas las reglas de grupo dinámico de la organización para comprobar si hay posibles cambios de pertenencia. Los usuarios que se agregan también reciben la notificación de bienvenida. Este comportamiento se puede desactivar en Exchange PowerShell.

Agregar o quitar miembros y propietarios

Los miembros y propietarios se pueden agregar y quitar de los grupos de Azure AD existentes. El proceso es el mismo para los miembros y propietarios. Necesitará el rol Administrador de grupos o Administrador de usuarios para agregar y quitar miembros y propietarios.

¿Necesita agregar varios miembros a la vez? Obtenga información sobre la opción Agregar miembros en bloque.

Agregar miembros o propietarios de un grupo:

1. Inicie sesión en Azure Portal.

2. Vaya a Azure Active Directory>Grupos.

3. Selccione el grupo que necesita administrar.

4. Seleccione Miembros o Propietarios.

   

5. Seleccione + Agregar (miembros o propietarios).

6. Desplácese por la lista o bien introduzca un nombre en el cuadro de búsqueda. Puede elegir varios nombres a la vez. Cuando esté listo, seleccione el botón Seleccionar.

   La página Información general del grupo se actualiza para mostrar el número de miembros que ahora se agregan al grupo.

Quitar miembros o propietarios de un grupo:

1. Vaya a Azure Active Directory>Grupos.

2. Selccione el grupo que necesita administrar.

3. Seleccione Miembros o Propietarios.

4. Active la casilla que está junto a un nombre de la lista y seleccione el botón Quitar.

   

Edición de la configuración del grupo

Mediante Azure AD, puede editar el nombre del grupo, la descripción o el tipo de pertenencia. Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la configuración de un grupo.

Para editar la configuración de un grupo:

1. Inicie sesión en Azure Portal.

2. Vaya a Azure Active Directory>Grupos. Aparecerá la página Grupos - Todos los grupos con todos los grupos activos.

3. Desplácese por la lista o introduzca un nombre de grupo en el cuadro de búsqueda. Selccione el grupo que necesita administrar.

4. Seleccione Propiedades en el menú lateral.

   

5. Actualice la información de configuración general según sea necesario, incluidos:

   • Nombre de grupo. Edite el nombre de grupo existente.

   • Descripción de grupo. Edite la descripción de grupo existente.

   • Tipo de grupo. No se puede cambiar el tipo de grupo después de que se ha creado. Para cambiar el tipo de grupo, debe eliminar el grupo y crear uno nuevo.

   • Tipo de pertenencia. Cambie el tipo de pertenencia de un grupo. Si ha habilitado la opción Los roles de Azure AD se pueden asignar al grupo, no puede cambiar el tipo de pertenencia. Para obtener más información sobre los tipos de pertenencia disponibles, consulte el artículo Información sobre grupos y tipos de pertenencia.

   • Id. de objeto. No se puede cambiar el identificador de objeto, pero puede copiarlo para usarlo en los comandos de PowerShell para el grupo. Para más información acerca del uso de cmdlets de PowerShell, consulte Cmdlets de Azure Active Directory para configurar las opciones de grupo.

Incorporación o eliminación de un grupo desde otro grupo

Puede agregar un grupo de seguridad existente a otro grupo de seguridad existente (lo que también se conoce como grupos anidados). En función de los tipos de grupo, puede agregar un grupo como miembro de otro grupo, al igual que un usuario, que aplica configuraciones como roles y accede a los grupos anidados. Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la pertenencia al grupo.

Actualmente, no se admite:

• Agregar grupos a un grupo sincronizado con Active Directory local.
• Agregar grupos de seguridad a grupos de Microsoft 365.
• Agregar grupos de Microsoft 365 a grupos de seguridad u otros grupos de Microsoft 365.
• Asignar aplicaciones a grupos anidados.
• Aplicar licencias a grupos anidados.
• Agregar grupos de distribución en escenarios de anidamiento.
• agregar grupos de seguridad como miembros de otros grupos de seguridad que estén habilitados para recibir correo.
• Agregar grupos como miembros de un grupo asignable a roles.

Incorporación de un grupo a otro grupo

1. Inicie sesión en Azure Portal.

2. Vaya a Azure Active Directory>Grupos.

3. En la página Grupos - Todos los grupos, busque y seleccione el grupo que quiera que se convierta en miembro de otro grupo.

   Nota

   Solo puede agregar su grupo como miembro a otro grupo a la vez. Los caracteres comodín no se admiten en el cuadro de búsqueda Seleccionar grupo.

4. En la página Información general del grupo, seleccione Pertenencias a grupos en el menú lateral.

5. Seleccione + Agregar miembros.

6. Busque el grupo del que quiere que su grupo sea miembro y elija Seleccionar.

   En este ejercicio, vamos a agregar "Directiva de MDM: Oeste" al grupo "Directiva MDM: Todas las organizaciones". El grupo "MDM: directiva: Oeste" tendrá el mismo acceso que el grupo "Directiva MDM: Todas las organizaciones".

   

Ahora puede revisar la página "MDM policy - West - Group memberships" para consultar la relación entre el grupo y el miembro.

Para obtener una vista detallada de la relación entre el grupo y el miembro, seleccione el nombre del grupo primario (Directiva de MDM - Todas las organizaciones) y observe los detalles de la página "Directiva de MDM - Oeste".

Eliminación de un grupo de otro grupo

Puede quitar un grupo de seguridad existente de otro grupo de seguridad; pero al quitar el grupo también se quitan los accesos heredados de sus miembros.

1. En la página Grupos - Todos los grupos, busque y seleccione el grupo que necesita quitar como miembro de otro grupo.

2. En la página Información general del grupo, seleccione Pertenencias a grupos.

3. Seleccione el grupo primario en la página Pertenencias a grupos.

4. Seleccione Quitar.

   En este ejercicio, ahora vamos a quitar "Directiva de MDM - Oeste" del grupo "Directiva MDM - Todas las organizaciones".

   

Eliminar un grupo

Puede eliminar un grupo de Azure AD por infinidad de motivos, pero normalmente será porque:

• Elija la opción Tipo de grupo incorrecta.

• Ha creado un grupo duplicado por error.

• Ya no necesita el grupo.

Para eliminar un grupo necesitará el rol Administrador de grupos o Administrador de usuarios.

1. Inicie sesión en Azure Portal.

2. Vaya a Azure Active Directory>Grupos.

3. Busque y seleccione el grupo que quiera eliminar.

4. Seleccione Eliminar.

   Se elimina el grupo del inquilino de Azure Active Directory.

Pasos siguientes

• Obtenga más información sobre los grupos y la asignación de derechos de acceso a grupos

• Administrar grupos mediante los comandos de PowerShell

• Administrar reglas dinámicas de los usuarios de un grupo

• Escenarios, limitaciones y problemas conocidos del uso de grupos para administrar las licencias en Azure Active Directory

• Asociar o agregar una suscripción de Azure a Azure Active Directory