Asignación de roles de Azure AD a usuarios

Para conceder acceso a los usuarios en Azure Active Directory (Azure AD), asigne roles de Azure AD. Un rol es una colección de permisos. En este artículo se describe cómo asignar roles de Azure AD mediante Azure Portal y PowerShell.

Requisitos previos

  • Administrador global o administrador de roles con privilegios Para saber quién es el administrador de roles con privilegios o el administrador global, consulte Enumeración de asignaciones de roles de Azure AD
  • Privileged Identity Management requiere una licencia de Azure AD Premium P2
  • Módulo de AzureADPreview al usar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Azure portal

Siga estos pasos para asignar roles de Azure AD mediante Azure Portal. Su experiencia será diferente en función de si tiene Azure AD Privileged Identity Management (PIM) habilitado.

Asignar un rol

  1. Inicie sesión en Azure Portal o en el centro de administración de Azure AD.

  2. Seleccione Azure Active Directory>Roles y administradores para ver la lista de roles disponibles.

    Página Roles y administradores de Azure Active Directory.

  3. Seleccione un rol para ver sus asignaciones.

    Para ayudarle a encontrar el rol que necesita, use Agregar filtros para filtrar los roles.

  4. Seleccione Agregar asignaciones y, a continuación, seleccione los usuarios que desea asignar a este rol.

    Si ve algo diferente de la siguiente imagen, es posible que tenga PIM habilitado. Consulte la sección siguiente.

    Panel Agregar asignaciones para el rol seleccionado.

  5. Seleccione Agregar para asignar el rol.

Asignación de un rol mediante PIM

Si tiene Azure AD Privileged Identity Management (PIM) habilitado, tiene funcionalidades de asignación de roles adicionales. Por ejemplo, puede hacer que un usuario sea apto para un rol o establecer la duración. Cuando PIM está habilitado, hay dos maneras de asignar roles mediante Azure Portal. Puede usar la página Roles y administradores o la experiencia de PIM. En cualquier caso, se usa el mismo servicio PIM.

Siga estos pasos para asignar roles mediante la página Roles y administradores. Si desea asignar roles mediante la página Privileged Identity Management, consulte Asignación de roles de Azure AD en Privileged Identity Management.

  1. Inicie sesión en Azure Portal o en el centro de administración de Azure AD.

  2. Seleccione Azure Active Directory>Roles y administradores para ver la lista de roles disponibles.

    Página Roles y administradores en Azure Active Directory cuando PIM está habilitado.

  3. Seleccione un rol para ver sus asignaciones de roles aptas, activas y expiradas.

    Para ayudarle a encontrar el rol que necesita, use Agregar filtros para filtrar los roles.

  4. Seleccione Agregar asignaciones.

  5. Elija No se ha seleccionado ningún miembro y, a continuación, seleccione los usuarios que desea asignar a este rol.

    Página Agregar asignaciones y panel Seleccionar un miembro con PIM habilitado.

  6. Seleccione Siguiente.

  7. En la pestaña Configuración, seleccione si el estado de esta asignación de roles debe ser Apto o Activo.

    Una asignación de roles apta significa que el usuario debe realizar una o varias acciones para usar el rol. Una asignación de roles activa significa que el usuario no tiene que realizar ninguna acción para usar el rol. Para obtener más información sobre lo que significa esta configuración, consulte Terminología de PIM.

    Página Agregar asignaciones y pestaña Configuración con PIM habilitado.

  8. Use las opciones restantes para establecer la duración de la asignación.

  9. Seleccione Asignar para asignar el rol.

PowerShell

Siga estos pasos para asignar roles Azure AD mediante PowerShell.

Instalación

  1. Abra una ventana de PowerShell y use Import-Module para importar el módulo AzureADPreview. Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

    Import-Module -Name AzureADPreview -Force
    
  2. En una ventana de PowerShell, use Connect-AzureAD para iniciar sesión en el inquilino.

    Connect-AzureAD
    
  3. Use Get-AzureADUser para obtener el usuario al que desea asignar un rol.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Asignar un rol

  1. Use Get-AzureADMSRoleDefinition para obtener el rol que quiere asignar.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Use New-AzureADMSRoleAssignment para asignar el rol.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

Asignación de un rol como apto mediante PIM

Si PIM está habilitado, tiene funcionalidades adicionales, como hacer que un usuario sea apto para una asignación de roles o definir las horas de inicio y finalización de una asignación de roles. Estas funcionalidades usan un conjunto diferente de comandos de PowerShell. Para obtener más información sobre el uso de PowerShell y PIM, vea PowerShell para roles de Azure AD en Privileged Identity Management.

  1. Use Get-AzureADMSRoleDefinition para obtener el rol que quiere asignar.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Use Get-AzureADMSPrivilegedResource para obtener el recurso con privilegios. En este caso, es su inquilino.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Use New-Object para crear un objeto AzureADMSPrivilegedSchedule para definir las horas de inicio y finalización de la asignación de roles.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Use Open-AzureADMSPrivilegedRoleAssignmentRequest para asignar el rol como apto.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

Microsoft Graph API

Siga estas instrucciones para asignar un rol mediante la Graph API.

Asignar un rol

En este ejemplo, se asigna el rol Administrador de facturación (identificador de definición de rol b0f54661-2d74-4c50-afa3-1ec803f12efe) a una entidad de seguridad con objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d en el ámbito del inquilino. Para ver la lista de los ID de plantilla de rol inmutables de todos los roles integrados, consulte Roles integrados de Azure AD.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Asignación de un rol mediante PIM

Asignación de una asignación de roles elegibles con límite de tiempo

En este ejemplo, se asigna a una entidad de seguridad con objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d una asignación de roles elegibles con límite de tiempo para el rol Administrador de facturación (id. de definición de rol b0f54661-2d74-4c50-afa3-1ec803f12efe) durante 180 días.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Asignación de una asignación de roles elegibles permanentes

En el ejemplo siguiente, se asigna a una entidad de seguridad una asignación de roles elegible permanente para el rol Administrador de facturación.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Activación de una asignación de roles

Para activar la asignación de roles, use la API deCreate roleAssignmentScheduleRequests.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Para más información sobre cómo administrar roles de Azure AD a través de la API de PIM en Microsoft Graph, consulte Información general sobre la administración de roles a través de la API de Privileged Identity Management (PIM).

Pasos siguientes