Gobernanza de usuarios invitados de Microsoft Teams

Este escenario de ejemplo ayuda a los usuarios a colaborar con otras organizaciones al proporcionar controles de identidad y gobernanza para usuarios externos cuando se usa la colaboración B2B de Microsoft Entra.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

1. Directorio de recursos: este es el directorio de Microsoft Entra que contiene recursos, que son grupos y equipos de Microsoft 365. En este ejemplo, el recurso es un equipo de proyecto que se agrega al paquete de acceso, para que los usuarios externos a la organización puedan solicitar acceso al mismo.

2. Directorio externo (organización conectada): este es el directorio de Microsoft Entra externo que contiene usuarios externos de la organización conectada. Estos usuarios pueden ser autorizados por una directiva para solicitar acceso al equipo del proyecto.

3. Catálogo 1: un catálogo es un contenedor para los recursos y paquetes de acceso relacionados. El Catálogo 1 contiene el equipo del proyecto y su paquete de acceso.

   Los catálogos se emplean en la delegación, de modo que las personas que no son administradores pueden crear paquetes de acceso. Los propietarios de catálogos pueden agregar recursos de su propiedad a un catálogo.

4. Recursos: estos son los recursos que aparecen en los paquetes de acceso. Pueden incluir grupos de seguridad, aplicaciones y sitios de SharePoint Online. En este ejemplo, es el equipo del proyecto.

5. Acceso 1: un paquete de acceso es una colección de recursos con tipos de acceso para cada uno. Los paquetes de acceso se usan para regular el acceso de los usuarios internos y externos. En este ejemplo, el equipo del proyecto es el recurso con una única directiva que permite a los usuarios externos solicitar acceso. Los usuarios internos de este ejemplo no necesitan usar la administración de derechos de Microsoft Entra. Se agregan al equipo del proyecto mediante Microsoft Teams.

6. Rol de recurso de grupo 1: los roles de recurso son permisos que están asociados a un recurso y los definen. Un grupo tiene dos roles: miembro y propietario. Los sitios de SharePoint suelen tener tres roles, pero pueden tener roles personalizados adicionales. Las aplicaciones pueden tener roles personalizados.

7. Directiva de acceso externo: esta es la directiva que define las reglas para la asignación a un paquete de acceso. En este ejemplo se usa una directiva para asegurarse de que los usuarios de organizaciones conectadas pueden solicitar acceso al equipo del proyecto. Después de realizar una solicitud, se requiere la aprobación de los aprobadores, tal como se define en la directiva. La directiva también especifica los límites de tiempo y la configuración de renovación.

8. Aprobador: un aprobador aprueba la solicitud de acceso. Puede ser un usuario interno o externo.

9. Solicitante: es el usuario externo que solicita acceso a través del portal Mi acceso. El portal solo muestra los paquetes de acceso que el solicitante puede solicitar.

Solicitud de acceso a un recurso para usuarios externos al flujo de la organización

Este es un flujo de trabajo de alto nivel que muestra cómo se concede acceso a usuarios externos al grupo o equipo de Microsoft 365. Incluye la eliminación de una cuenta de invitado cuando ya no se requiere acceso o se alcanza un límite de tiempo.

Componentes

• Microsoft Entra ID ofrece servicios de administración de identidades y acceso basados en la nube que permiten a los usuarios iniciar sesión y acceder a los recursos. Tiene las siguientes características y funcionalidades:
  • La administración de derechos de Microsoft Entra es una característica de gobernanza de identidades que permite a las organizaciones administrar los ciclos de vida de identidad y acceso a escala, automatizando los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y la expiración.
  • La colaboración B2B (empresa a empresa) de Microsoft Entra la usa la administración de derechos de Microsoft Entra para compartir el acceso, de modo que los usuarios internos puedan colaborar con usuarios externos.
  • Las revisiones de acceso de Microsoft Entra permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.
  • El acceso de usuario de Microsoft Teams permite a los usuarios externos acceder a equipos, canales, recursos, chats y aplicaciones, mientras usted mantiene el control sobre los recursos corporativos.
  • El acceso condicional de Microsoft Entra reúne las señales para tomar decisiones y aplicar las directivas de la organización. El acceso condicional en esta solución se usó para hacer cumplir los contratos de condiciones de uso y autenticación multifactor, y para establecer los tiempos de espera de la sesión para las cuentas de invitados.

Alternativas

Una solución alternativa para la administración de derechos de Microsoft Entra es permitir que los usuarios internos inviten a usuarios externos a un equipo. Un usuario invitado podría crear una cuenta de invitado en el directorio de recursos.

Esta alternativa no proporciona los controles de identidad y gobernanza que el cliente necesita. Las deficiencias en comparación con la administración de derechos de AD son:

• Los usuarios externos no pueden solicitar acceso; debe haber una invitación. El usuario externo debe saber cómo solicitar una invitación, un proceso que puede variar según el equipo y cambiar con el tiempo.
• No hay justificaciones comerciales, notificaciones de correo electrónico, procesos de revisión o procesos de aprobación, lo que es un problema de auditoría.
• El acceso a recursos específicos no se puede administrar, quitar ni actualizar fácilmente. Dado que es probable que los recursos del proyecto cambien, se trata de un problema de eficiencia.
• Si se invita a un usuario externo, pero la organización del usuario no tiene permiso, se le deniega el acceso al usuario, lo que provoca confusión.
• Las cuentas de invitado no se quitan automáticamente y no hay ningún conjunto de expiración. Un proceso manual para gestionar la expiración es propenso a errores y menos eficiente que un proceso automático que requiere que se establezcan límites en la creación de la cuenta. Se trata de un problema de seguridad y un problema de eficiencia.

Es poco probable que la creación de una solución personalizada para gestionar estos problemas sea rentable o competitiva con respecto a la administración de derechos de AD.

Detalles del escenario

Este escenario de ejemplo se creó durante la pandemia de la COVID-19, cuando un cliente tenía una necesidad inmediata de colaborar con otras organizaciones. Esto significaba proporcionar controles de identidad y gobernanza para usuarios externos.

Microsoft Teams era la herramienta principal del cliente para las comunicaciones de la empresa. Los usuarios colaboraban mediante el chat, las reuniones y las llamadas de Teams. Los canales de Teams les proporcionaban acceso a archivos y conversaciones.

Las reuniones de Teams eran una forma eficaz de reunirse con usuarios externos. Sin embargo, los usuarios externos no podían acceder a los equipos y canales, por lo que la colaboración con ellos era torpe y la productividad se veía obstaculizada. El cliente necesitaba algo mejor.

Teams proporciona dos opciones para comunicarse y colaborar con usuarios externos:

• Acceso externo: un tipo de federación que permite a los usuarios internos buscar a usuarios externos, llamarlos y chatear con ellos. Los usuarios de acceso externo no se pueden agregar a los equipos a menos que sean invitados mediante el acceso de invitado.
• Acceso de invitado: permite a los usuarios internos invitar a usuarios externos a unirse a un equipo. Los usuarios invitados obtienen una cuenta de invitado en Microsoft Entra ID. El acceso de invitado permite que los usuarios externos sean invitados a los equipos y proporciona acceso a documentos en canales y a recursos, chats y aplicaciones. El cliente mantiene el control sobre los datos corporativos según sus necesidades.

El acceso de invitado cumplió los requisitos de colaboración del cliente, pero dio lugar a problemas de seguridad y gobernanza:

• Los invitados solo deben tener acceso a equipos específicos según sea necesario y solo durante el tiempo necesario. Cuando se completa un proyecto, se debe quitar la cuenta de invitado.
• Debe haber un proceso de aprobación para crear cuentas de invitado que satisfaga los requisitos de auditoría. Los usuarios internos deben revisar las solicitudes y aprobarlas según corresponda.
• Debe ser posible compilar y automatizar la solución rápidamente. No se puede crear ninguna cuenta de invitado hasta que haya controles de seguridad y gobernanza adecuados.

La administración de derechos de Microsoft Entra era la herramienta principal para satisfacer los requisitos de seguridad y gobernanza:

• Ayuda a administrar de forma eficaz el acceso a grupos Microsoft 365, incluidos equipos, aplicaciones y sitios de SharePoint Online, tanto para usuarios internos como externos.
• Proporciona la capacidad de automatizar flujos de trabajo de solicitudes de acceso, asignaciones de acceso, revisiones y expiración.

El acceso de invitado y los derechos de Microsoft Entra cumplen los requisitos de colaboración del cliente. Los usuarios externos pueden unirse a los equipos seleccionados y se administra el acceso. Además, la administración de derechos de Microsoft Entra ofrece funcionalidad para su posible uso futuro, como administrar el acceso a recursos distintos de los equipos.

Posibles casos de uso

Esta solución se aplica a cualquier situación que requiera administrar el acceso (para los usuarios internos y externos que lo necesiten) para grupos, aplicaciones y sitios de SharePoint Online. La administración de derechos de Microsoft Entra tiene estas características y ventajas:

• Hay una incorporación y administración simplificadas para el acceso de los empleados a recursos como:
  • Grupos de seguridad de Microsoft Entra.
  • Grupos de Microsoft 365
  • Equipos de Microsoft 365.
  • Aplicaciones, incluidas las aplicaciones SaaS.
  • Aplicaciones personalizadas que implementan medidas de seguridad adecuadas.
  • Sitios de SharePoint Online.
• Hay procedimientos simplificados para que los usuarios externos obtengan acceso a los recursos que necesitan.
• Puede designar qué organizaciones conectadas pueden proporcionar usuarios externos que pueden solicitar acceso.
• Un usuario que solicita acceso, y se aprueba, es invitado automáticamente al directorio del equipo y se le asigna acceso a los recursos.
• Se puede establecer un límite de tiempo en el acceso de un usuario a los recursos, con eliminación automática cuando se alcanza el límite.
• Cuando expira el acceso de un usuario externo que no tiene otras asignaciones de paquetes de acceso, la cuenta del usuario se puede eliminar automáticamente.
• Puede asegurarse de que los usuarios no tengan más acceso del que necesitan.
• Hay un proceso de aprobación para las solicitudes de acceso que incluye la aprobación de los usuarios designados, como los administradores.
• Puede controlar el acceso a otros recursos que dependen de los grupos de seguridad de Microsoft Entra o de grupos de Microsoft 365. Un ejemplo es la concesión de licencias a los usuarios mediante licencias basadas en grupos.
• Puede delegar en usuarios que no sean administradores la capacidad de crear paquetes de acceso que contengan recursos que los usuarios puedan solicitar.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Un paso importante de la implementación es la configuración de inquilinos para permitir usuarios externos.

1. Habilitar un catálogo para usuarios externos: asegúrese de que el catálogo tiene la opción Habilitado para los usuarios externos establecida en Sí. De forma predeterminada, cuando se crea un catálogo en la administración de derechos de Microsoft Entra, se habilita para permitir que los usuarios externos soliciten acceso a los paquetes del catálogo.
2. Configuración de colaboración externa de Microsoft Entra B2B: la configuración de colaboración externa de Azure B2B puede afectar a la posibilidad de usar la administración de derechos de Microsoft Entra para invitar a usuarios externos a los recursos. Compruebe la configuración de estos parámetros:
   • Compruebe si los invitados pueden invitar a otros invitados a su directorio. Se recomienda establecer la opción Los invitados pueden invitar en No para permitir solo invitaciones controladas.
   • Asegúrese de permitir o bloquear las invitaciones correctamente. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).
3. Revisar las directivas de acceso condicional: compruebe el acceso condicional para asegurarse de que los usuarios invitados se excluyen de las directivas de acceso condicional que no pueden satisfacer. De lo contrario, no podrán iniciar sesión en el directorio y no tendrán acceso al recurso.
4. Revise la configuración de uso compartido externo de SharePoint Online: si incluye sitios de SharePoint Online en un paquete de acceso para usuarios externos, asegúrese de configurar la opción de uso compartido externo de nivel de organización. Establecer como Cualquiera si no se requiere el inicio de sesión o Invitados existentes para los usuarios invitados. Para obtener más información, consulte Cambiar la configuración de uso compartido externo en el nivel de organización.
5. Revise la configuración de uso compartido de grupos de Microsoft 365: si incluye grupos o equipos de Microsoft 365 en un paquete de acceso para usuarios externos, asegúrese de que la opción Let users add new guests to the organization (Permitir que los usuarios agreguen nuevos invitados a la organización) esté establecida en On (Activado) para permitir el acceso de invitados.
6. Revisar la configuración de uso compartido de Teams: si incluye equipos en un paquete de acceso para usuarios externos, asegúrese de que la opción Allow guest access in Microsoft Teams (Permitir acceso de invitado en Microsoft Teams) esté establecida en On (Activado) para permitir el acceso de invitado. Además, compruebe que los ajustes de acceso de invitado de Teams estén configurados.
7. Administración del ciclo de vida de los usuarios externos: puede seleccionar lo que sucede cuando un usuario externo ya no tiene ninguna asignación de paquete de acceso. Esto sucede cuando todas las asignaciones son abandonadas por el usuario o expiran. De forma predeterminada, el usuario tiene bloqueado el inicio de sesión en el directorio. Después de 30 días, la cuenta de usuario invitado se quitará del directorio.

Consideraciones adicionales:

• Asignación de acceso: los paquetes de acceso no reemplazan a otros mecanismos de asignación de acceso. Son más adecuados en situaciones como las siguientes:
  • Los empleados necesitan acceso por tiempo limitado para una tarea determinada.
  • El acceso requiere la aprobación de un administrador u otra persona designada.
  • Los departamentos quieren administrar sus recursos sin la intervención de TI.
  • Dos o más organizaciones colaboran en un proyecto, por lo que es necesario invitar a varios usuarios de una organización para acceder a los recursos de otra organización.
• Actualización de recursos: con la administración de derechos de Microsoft Entra, puede cambiar los recursos de un paquete de acceso en cualquier momento. Los usuarios del paquete tienen su acceso a los recursos ajustado automáticamente para que coincida con el paquete modificado.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

• El uso de la administración de derechos de Microsoft Entra requiere una licencia de Microsoft Entra ID P2.
• El acceso de invitado se puede usar con todas las suscripciones de Microsoft 365 Empresa Estándar, Microsoft 365 Empresa Premium y Microsoft 365 Educación. No se requiere ninguna licencia de Microsoft 365 adicional.
• El modelo de facturación de Microsoft Entra External ID se aplica a los invitados de Microsoft 365. Solo los usuarios externos pueden ser invitados como invitados.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Martin Boam | Arquitecto asociado

Pasos siguientes

• Introducción a los equipos y canales de Microsoft Teams
• Introducción a los equipos y canales de Microsoft Teams
• Uso del acceso de invitado y el acceso externo para colaborar con personas ajenas a la organización
• Creación de un nuevo paquete de acceso de administración de derechos de Microsoft Entra
• Tutorial: Administración del acceso a los recursos en la administración de derechos de Microsoft Entra
• ¿Qué es la administración de derechos de Microsoft Entra?
• ¿Qué es Microsoft Entra ID Governance?
• ¿Qué son las revisiones de acceso de Microsoft Entra?
• Escenarios comunes en la administración de derechos de Microsoft Entra
• Gobernanza del acceso de los usuarios externos en la administración de derechos de Microsoft Entra
• Regular el acceso de los usuarios externos a la organización
• Colaboración con invitados de un equipo
• Uso del acceso de invitado y el acceso externo para colaborar con personas externas a la organización
• Colaboración con otras personas de fuera de la organización
• ¿Qué es el acceso condicional?

Recursos relacionados

• Creación de un bosque de recursos AD DS en Azure
• Implementación de AD DS en una red virtual de Azure
• Identidad híbrida
• Integración de dominios locales de AD con Microsoft Entra ID
• Administración de identidades y acceso de Microsoft Entra para AWS