Organización de suscripciones en grupos de administración y asignación de roles a usuarios
Administre la posición de seguridad de la organización a gran escala mediante la aplicación de directivas de seguridad a todas las suscripciones vinculadas al inquilino de Microsoft Entra.
Para obtener visibilidad de la posición de seguridad de todas las suscripciones vinculadas al inquilino de Microsoft Entra, deberá asignar un rol de Azure con permisos de lectura suficientes en el grupo de administración raíz.
Organización de las suscripciones en grupos de administración
Introducción a los grupos de administración
Use los grupos de administración para administrar de un modo eficaz el acceso, las directivas y los informes en grupos de suscripciones y administrar todas las inversiones en Azure mediante acciones en el grupo de administración raíz. Puede organizar las suscripciones en grupos de administración y aplicar las directivas de gobernanza a los grupos de administración. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las directivas que se aplican al grupo de administración.
A cada inquilino de Microsoft Entra se le da un grupo de administración de nivel superior único llamado grupo de administración raíz. Este grupo de administración raíz está integrado en la jerarquía de manera que contiene todos los grupos de administración y suscripciones. Este grupo permite que las directivas globales y las asignaciones de roles de Azure se apliquen en el nivel de directorio.
El grupo de administración raíz se crea de manera automática cuando realiza cualquiera de las siguientes acciones:
- Seleccione Grupos de administración en Azure Portal.
- Cree un grupo de administración mediante una llamada API.
- Crea un grupo de administración con PowerShell. Puede encontrar las instrucciones de PowerShell en Creación de grupos de administración para la administración de los recursos y la organización.
Los grupos de administración no son necesarios para incorporar Defender for Cloud, pero se recomienda crear al menos uno para que se cree el grupo de administración raíz. Una vez creado el grupo, todas las suscripciones del inquilino de Microsoft Entra estarán vinculadas a él.
Para más información sobre los grupos de administración, consulte el artículo Organización de los recursos con grupos de administración de Azure.
Visualización y creación de grupos de administración en Azure Portal
Inicie sesión en Azure Portal.
Busque y seleccione Grupos de administración.
Para crear un grupo de administración, seleccione Crear, escriba los detalles pertinentes y seleccione Enviar.
El identificador de grupo de administración es el identificador único de directorio que se usa para enviar comandos en este grupo de administración. Este identificador no es editable una vez creado, dado que se usa en todo el sistema de Azure para identificar este grupo.
El campo de nombre para mostrar es el nombre que se muestra en Azure Portal. Un nombre para mostrar independiente es un campo opcional al crear el grupo de administración y se puede cambiar en cualquier momento.
Incorporación de suscripciones a un grupo de administración
Puede agregar suscripciones al grupo de administración que ha creado.
Inicie sesión en Azure Portal.
Busque y seleccione Grupos de administración.
Seleccione un grupo de administración para la suscripción.
Cuando se abra la página del grupo, seleccione Suscripciones.
En la página de las suscripciones, seleccione Agregar, seleccione las suscripciones y elija Guardar. Repita estos pasos hasta que haya agregado todas las suscripciones del ámbito.
Importante
Los grupos de administración pueden contener tanto suscripciones como grupos de administración secundarios. Cuando asigna un rol de Azure a un usuario en el grupo de administración primario, las suscripciones del grupo de administración secundario heredan el acceso. Las directivas establecidas en el grupo de administración primario también son heredadas por los secundarios.
Asignación de roles de Azure a otros usuarios
Asignación de roles de Azure a los usuarios mediante Azure Portal
Inicie sesión en Azure Portal.
Busque y seleccione Grupos de administración.
Seleccione el grupo de administración correspondiente.
Seleccione Control de acceso (IAM) , abra la pestaña Asignaciones de roles y seleccione Agregar>Agregar asignación de roles.
En la página Agregar asignación de roles, seleccione el rol correspondiente.
En la pestaña Miembros, seleccione + Seleccionar miembros y asigne el rol a los miembros correspondientes.
En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.
Asignación de roles de Azure a los usuarios con PowerShell
Instale Azure PowerShell.
Ejecute los comandos siguientes:
# Login to Azure as a Global Administrator user Connect-AzAccountCuando se le solicite, inicie sesión con credenciales de administrador global.
Conceda permisos de rol de lector mediante la ejecución del comando siguiente:
# Add Reader role to the required user on the Root Management Group # Replace "user@domian.com” with the user to grant access to New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"Para eliminar el rol, use el siguiente comando:
Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Eliminación de privilegios de acceso elevados
Una vez asignados los roles de Azure a los usuarios, el administrador de inquilinos debe quitarse del rol de administrador de acceso de usuario.
Inicie sesión en Azure Portal.
En la lista de navegación, seleccione Microsoft Entra ID y, después, Propiedades.
En Administración de acceso a recursos de Azure, establezca el modificador en No.
Para guardar la configuración, seleccione Guardar.
Pasos siguientes
En esta página, aprendió a organizar las suscripciones en grupos de administración y a asignar roles a los usuarios. Para obtener información relacionada, consulte: