Uso de grupos de Microsoft Entra para administrar asignaciones de roles

Con Microsoft Entra ID P1 o P2, puede crear grupos asignables a roles y asignar roles de Microsoft Entra a estos grupos. Esta característica simplifica la administración de roles, garantiza un acceso coherente y hace que los permisos de auditoría sean más sencillos. La asignación de roles a un grupo en lugar de personas permite agregar o quitar fácilmente usuarios de un rol y crea permisos coherentes para todos los miembros del grupo. También puede crear roles personalizados con permisos específicos y asignarlos a grupos.

Motivo para asignar roles a grupos

Considere el ejemplo en el que la empresa Contoso ha contratado a personas en distintas zonas geográficas para administrar y restablecer las contraseñas de los empleados de su organización de Microsoft Entra. En lugar de solicitar a un administrador de roles con privilegios o a un administrador global que asignen el rol de administrador del departamento de soporte técnico a cada persona individualmente, pueden crear un grupo Contoso_Helpdesk_Administrators y asignarle el rol. Cuando los usuarios se unen al grupo, se les asigna el rol de forma indirecta. Después, el flujo de trabajo de gobernanza existente puede encargarse del proceso de aprobación y la auditoría de la pertenencia al grupo para asegurarse de que solo los usuarios legítimos sean miembros del grupo, a fin de asignarles el rol de administrador del departamento de soporte técnico.

Funcionamiento de las asignaciones de roles a grupos

Para asignar un rol a un grupo, debe crear un grupo de seguridad o de Microsoft 365 con la propiedad isAssignableToRole establecida en true. En el centro de administración de Microsoft Entra, establezca la opción Los roles de Microsoft Entra se pueden asignar a un grupo en . En cualquier caso, puede asignar al grupo uno o varios roles de Microsoft Entra de la misma manera que asigna roles a los usuarios.

Screenshot of the Roles and administrators page

Restricciones para grupos a los que se pueden asignar roles

Los grupos a los que se pueden asignar roles tienen las restricciones siguientes:

  • Solo puede establecer la propiedad isAssignableToRole o la opción Los roles de Microsoft Entra se pueden asignar a un grupo para los nuevos grupos.
  • La propiedad isAssignableToRole es inmutable. Una vez que se crea un grupo con esta propiedad establecida, ya no se puede modificar.
  • No se puede convertir un grupo existente en un grupo al que se pueden asignar roles.
  • Se puede crear un máximo de 500 grupos a los que se pueden asignar roles en una sola organización de Microsoft Entra (inquilino).

Maneras de proteger grupos a los que se pueden asignar roles

Si se asigna un rol a un grupo, cualquier administrador de TI que pueda administrar la pertenencia a grupos también podría administrar indirectamente la pertenencia a ese rol. Por ejemplo, supongamos que se asigna a un grupo llamado Contoso_User_Administrators el rol de administrador de usuarios. Un administrador de Exchange que puede modificar la pertenencia a grupos podría agregarse a sí mismo al grupo Contoso_User_Administrators y, de esta forma, convertirse en administrador de usuarios. Como puede ver, un administrador podría elevar sus privilegios de una forma no prevista.

Solo se puede asignar un rol a los grupos que tengan la propiedad isAssignableToRole establecida en true en el momento de la creación. Esta propiedad es inmutable. Una vez que se crea un grupo con esta propiedad establecida, ya no se puede modificar. No se puede establecer la propiedad en un grupo existente.

Los grupos a los que se pueden asignar roles están diseñados para ayudar a evitar posibles infracciones mediante las restricciones siguientes:

  • Solo los administradores globales y los administradores que tengan un rol con privilegios pueden crear un grupo al que se pueden asignar roles.
  • El tipo de pertenencia para los grupos a los que se pueden asignar roles debe ser Asignado y no puede ser un grupo dinámico de Microsoft Entra. El rellenado automático de grupos dinámicos podría dar lugar a la adición de una cuenta no deseada al grupo y, por tanto, a la asignación del rol.
  • De manera predeterminada, solo los administradores globales y los administradores de roles con privilegios pueden administrar la pertenencia de un grupo al que se pueden asignar roles, pero es posible delegar la administración de grupos a los que se pueden asignar roles agregando propietarios del grupo.
  • Para Microsoft Graph, se requiere el permiso RoleManagement.ReadWrite.Directory para poder administrar la pertenencia de grupos a los que se pueden asignar roles. El permiso Group.ReadWrite.All no funcionará.
  • Para evitar la elevación de privilegios, solo un administrador de autenticación con privilegios o un administrador global pueden cambiar las credenciales, restablecer la MFA o modificar atributos confidenciales para los miembros y propietarios de un grupo al que se pueden asignar roles.
  • No se admite la anidación de grupos. No se puede agregar un grupo como miembro de un grupo al que se pueden asignar roles.

Uso de PIM para que un grupo sea apto para una asignación de roles

Si no quiere que los miembros del grupo tengan acceso permanente al rol, puede usar Microsoft Entra Privileged Identity Management (PIM) para que un grupo sea apto para una asignación de roles. Cada miembro del grupo es apto para activar la asignación de roles durante un tiempo fijo.

Nota:

En el caso de los grupos que se usan para elevar a roles de Microsoft Entra, recomendamos requerir un proceso de aprobación para las asignaciones de miembros elegibles. Las asignaciones que se pueden activar sin aprobación pueden plantearle un riesgo de seguridad por parte de administradores con menos privilegios. Por ejemplo, el administrador del departamento de soporte técnico tiene permiso para restablecer las contraseñas de un usuario que reúna las características para ello.

Escenarios no admitidos

No se admiten los escenarios siguientes:

  • Asignar roles de Microsoft Entra (integrados o personalizados) a grupos locales.

Problemas conocidos

A continuación, de indican los problemas conocidos con los grupos a los que se pueden asignar roles:

  • Solo clientes con licencia de Microsoft Entra ID P2: incluso después de eliminar el grupo, aún se muestra un miembro apto del rol en la interfaz de usuario de PIM. Funcionalmente, no hay ningún problema; es solo un problema de caché en el Centro de administración de Microsoft Entra.
  • Use el nuevo Centro de administración de Exchange para la asignación de roles mediante la pertenencia a grupos. El antiguo Centro de administración de Exchange no es compatible aún con esta característica. Si se requiere acceso al centro de administración Exchange, asigne el rol apto directamente al usuario (no a través de grupos a los que se pueden asignar roles). Los cmdlets de PowerShell de Exchange funcionan según lo previsto.
  • Si se asigna un rol Administrador a un grupo al que se pueden asignar roles en lugar de a usuarios individuales, los miembros del grupo no podrán acceder a reglas, organizaciones o carpetas públicas en el nuevo Centro de administración de Exchange. La solución alternativa consiste en asignar el rol directamente a los usuarios en lugar del grupo.
  • El portal de Azure Information Protection (el portal clásico) todavía no reconoce la pertenencia al rol mediante el grupo. Puede migrar a la plataforma de etiquetado de confidencialidad unificada y, después, usar el portal de cumplimiento de Microsoft Purview a fin de utilizar las asignaciones de grupos para administrar roles.

Requisitos de licencia

El uso de esta característica requiere una licencia Microsoft Entra ID P1. Privileged Identity Management para la activación de roles cuando es necesario requiere una licencia de Microsoft Entra ID Premium P2. Para obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de las ediciones Gratis y Prémium.

Pasos siguientes