Asignación de roles de Microsoft Entra a usuarios

Para conceder acceso a los usuarios en Microsoft Entra ID, se asignan roles de Microsoft Entra. Un rol es una colección de permisos. En este artículo, se describe cómo asignar roles de Microsoft Entra mediante el centro de administración de Microsoft Entra y PowerShell.

Requisitos previos

  • Administrador global o administrador de roles con privilegios Para saber quién es el administrador de roles con privilegios o el administrador global, consulte Enumeración de asignaciones de roles de Microsoft Entra
  • Licencia de Microsoft Entra ID P2 al usar Privileged Identity Management (PIM)
  • Módulo Microsoft Graph PowerShell al usar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Siga estos pasos para asignar roles de Microsoft Entra mediante el centro de administración de Microsoft Entra. Su experiencia será distinta en función de si tiene Privileged Identity Management (PIM) de Microsoft Entra habilitado.

Asignar un rol

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Roles y administradores.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Búsqueda del rol que necesita. Puede usar el cuadro de búsqueda o Agregar filtros para filtrar los roles.

  4. Seleccione el nombre del rol para abrir el rol. No agregue una marca de verificación junto al rol.

    Screenshot that shows selecting a role.

  5. Seleccione Agregar asignaciones y, a continuación, seleccione los usuarios que desea asignar a este rol.

    Si ve algo diferente de la siguiente imagen, es posible que tenga PIM habilitado. Consulte la sección siguiente.

    Screenshot of Add assignments pane for selected role.

    Nota:

    Si asigna un rol integrado de Microsoft Entra a un usuario invitado, el usuario invitado tendrá los mismos permisos que un usuario miembro. Para más información sobre los usuarios miembros e invitados y sus permisos, consulte ¿Cuales son los permisos de usuario predeterminados en Microsoft Entra ID?

  6. Seleccione Agregar para asignar el rol.

Asignación de un rol mediante PIM

Si tiene Privileged Identity Management (PIM) de Microsoft Entra habilitado, tiene funcionalidades de asignación de roles adicionales. Por ejemplo, puede hacer que un usuario sea apto para un rol o establecer la duración. Cuando PIM está habilitada, hay dos maneras de asignar roles mediante el centro de administración de Microsoft Entra. Puede usar la página Roles y administradores o la experiencia de PIM. En cualquier caso, se usa el mismo servicio PIM.

Siga estos pasos para asignar roles mediante la página Roles y administradores. Si quiere asignar roles mediante Privileged Identity Management, consulte Asignación de roles de Microsoft Entra en Privileged Identity Management.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Roles y administradores.

    Screenshot of Roles and administrators page in Microsoft Entra ID when PIM enabled.

  3. Búsqueda del rol que necesita. Puede usar el cuadro de búsqueda o Agregar filtros para filtrar los roles.

  4. Seleccione el nombre del rol para abrirlo y ver sus asignaciones de roles válidas, activas y expiradas. No agregue una marca de verificación junto al rol.

    Screenshot that shows selecting a role.

  5. Seleccione Agregar asignaciones.

  6. Elija No se ha seleccionado ningún miembro y, a continuación, seleccione los usuarios que desea asignar a este rol.

    Screenshot of Add assignments page and Select a member pane with PIM enabled.

  7. Seleccione Siguiente.

  8. En la pestaña Configuración, seleccione si el estado de esta asignación de roles debe ser Apto o Activo.

    Una asignación de roles apta significa que el usuario debe realizar una o varias acciones para usar el rol. Una asignación de roles activa significa que el usuario no tiene que realizar ninguna acción para usar el rol. Para obtener más información sobre lo que significa esta configuración, consulte Terminología de PIM.

    Screenshot of Add assignments page and Setting tab with PIM enabled.

  9. Use las opciones restantes para establecer la duración de la asignación.

  10. Seleccione Asignar para asignar el rol.

PowerShell

Siga estos pasos para asignar roles de Microsoft Entra mediante PowerShell.

Configuración

  1. Abre una ventana de PowerShell y usa Import-Module para importar el módulo Microsoft Graph PowerShell. Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. En una ventana de PowerShell, use Connect-MgGraph para iniciar sesión en el inquilino.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Use Get-MgUser para obtener el usuario al que desea asignar un rol.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Asignar un rol

  1. Use Get-MgRoleManagementDirectoryRoleDefinition para obtener el rol que quiera asignar.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Use New-MgRoleManagementDirectoryRoleAssignment para asignar el rol.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Asignación de un rol como apto mediante PIM

Si PIM está habilitado, tiene funcionalidades adicionales, como hacer que un usuario sea apto para una asignación de roles o definir las horas de inicio y finalización de una asignación de roles. Estas funcionalidades usan un conjunto diferente de comandos de PowerShell. Para obtener más información sobre el uso de PowerShell y PIM, consulte PowerShell para roles de Microsoft Entra en Privileged Identity Management.

  1. Use Get-MgRoleManagementDirectoryRoleDefinition para obtener el rol que quiera asignar.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Use el siguiente comando para crear una tabla hash para almacenar todos los atributos necesarios para asignar el rol al usuario. El id. de entidad de seguridad será el id. de usuario al que desea asignar el rol. En este ejemplo, la asignación solo será válida durante 10 horas.

    $params = @{
      "PrincipalId" = "053a6a7e-4a75-48bc-8324-d70f50ec0d91"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
       }
    
  3. Use New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest para asignar el rol como apto. Una vez que se haya asignado el rol, se reflejará en el centro de administración de Microsoft Entra, en la sección Gobernanza de identidad>Privileged Identity Management>Roles de Microsoft Entra>Asignaciones>Asignaciones aptas.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

Microsoft Graph API

Siga estas instrucciones para asignar un rol mediante la Graph API.

Asignar un rol

En este ejemplo, se asigna el rol Administrador de facturación (identificador de definición de rol b0f54661-2d74-4c50-afa3-1ec803f12efe) a una entidad de seguridad con objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d en el ámbito del inquilino. Para ver la lista de los ID de plantillas de rol inmutables de todos los roles integrados, consulte Roles integrados de Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Asignación de un rol mediante PIM

Asignación de una asignación de roles elegibles con límite de tiempo

En este ejemplo, se asigna a una entidad de seguridad con objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d una asignación de roles elegibles con límite de tiempo para el rol Administrador de facturación (id. de definición de rol b0f54661-2d74-4c50-afa3-1ec803f12efe) durante 180 días.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Asignación de una asignación de roles elegibles permanentes

En el ejemplo siguiente, se asigna a una entidad de seguridad una asignación de roles elegible permanente para el rol Administrador de facturación.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Activación de una asignación de roles

Para activar la asignación de roles, use la API deCreate roleAssignmentScheduleRequests.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Para obtener más información sobre cómo administrar los roles de Microsoft Entra a través de la API de PIM en Microsoft Graph, consulte Información general sobre la administración de roles a través de la API de Privileged Identity Management (PIM).

Pasos siguientes