Compartir a través de

Más información sobre los tipos de grupo, los tipos de pertenencia y la administración de acceso

Microsoft Entra ID proporciona varias maneras para administrar el acceso a recursos, aplicaciones y tareas. Con los grupos de Microsoft Entra, puede conceder acceso y permisos a un grupo de usuarios en lugar de a cada usuario individual. Uno de los principales principios de seguridad de Confianza cero consiste en limitar el acceso a los recursos de Microsoft Entra solo a aquellos usuarios que necesiten dicho acceso.

En este artículo se proporciona información general sobre cómo se pueden usar juntos los grupos y los derechos de acceso para facilitar la administración de los usuarios de Microsoft Entra, al tiempo que se aplican los procedimientos recomendados de seguridad.

Nota

Algunos grupos no se pueden administrar en Azure Portal ni en el Centro de administración de Microsoft Entra.

  • Los grupos sincronizados desde Active Directory local solo se pueden administrar de forma local.
  • Las listas de distribución y los grupos de seguridad habilitados para correo solo se pueden administrar en el Centro de administración de Exchange o en el Centro de administración de Microsoft 365. Debe iniciar sesión y tener los permisos adecuados para que ese centro de administración administre esos grupos.

Introducción a los grupos de Microsoft Entra

El uso eficaz de grupos puede reducir las tareas manuales, como asignar roles y permisos a usuarios individuales. Puede asignar roles a un grupo y asignar miembros a un grupo en función de su función de trabajo o departamento. Puede crear una directiva de acceso condicional que se aplique a un grupo y, a continuación, asignar la directiva al grupo. Debido a los posibles usos de grupos, es importante comprender cómo funcionan y cómo se administran.

Tipos de grupo

Puede administrar dos tipos de grupos en el Centro de administración de Microsoft Entra:

  • Grupos de seguridad: Se usa para administrar el acceso a los recursos compartidos.

    • Los miembros de un grupo de seguridad pueden incluir usuarios, dispositivos, entidades de servicio.
    • Los grupos pueden ser miembros de otros grupos, a veces conocidos como grupos anidados. Consulte la nota.
    • Usuarios y entidades de servicio pueden ser propietarios de un grupo de seguridad.

  • Grupos de Microsoft 365: Proporcionar oportunidades de colaboración.

    • Entre los miembros de un grupo de Microsoft 365 solo pueden incluirse usuarios.
    • "Los usuarios y entidades de servicio pueden ser los propietarios de un grupo de Microsoft 365."
    • Las personas fuera de su organización pueden ser miembros de un grupo.
    • Para obtener más información, consulte Más información sobre los grupos de Microsoft 365.

Nota

Al anidar un grupo de seguridad existente en otro grupo de seguridad, solo los miembros del grupo padre tienen acceso a recursos y aplicaciones compartidos. Para más información sobre cómo administrar grupos anidados, vea Procedimiento para administrar grupos.

Tipos de pertenencia

  • Grupos asignados: permite agregar usuarios específicos como miembros de un grupo y que tengan permisos exclusivos.
  • Grupo de pertenencia dinámica para usuarios: Permite usar reglas para agregar y quitar usuarios automáticamente como miembros. Si los atributos de un miembro cambian, el sistema examina las reglas para los grupos de pertenencia dinámica para el directorio. El sistema comprueba si el miembro cumple los requisitos de la regla (se agrega) o no cumple los requisitos de reglas (se quita).
  • Grupo de pertenencia dinámica para dispositivos: Permite usar reglas para agregar y quitar dispositivos automáticamente como miembros. Si los atributos de un dispositivo cambian, el sistema examina las reglas de pertenencia dinámica a grupos del directorio para comprobar si el dispositivo cumple los requisitos de la regla (se agrega) o no cumple los requisitos de las reglas (se elimina).

Importante

Puede crear un grupo dinámico para dispositivos o usuarios, pero no para ambos. No se puede crear un grupo de dispositivos basado en los atributos de los propietarios de los dispositivos. Las reglas de pertenencia de dispositivo solo pueden hacer referencia a atribuciones de dispositivos. Para obtener más información, consulte Creación de un grupo dinámico.

Administración de acceso

Microsoft Entra ID le ayuda a proporcionar acceso a los recursos de su organización proporcionando derechos de acceso a un solo usuario o grupo. El uso de grupos permite al propietario del recurso o al propietario del directorio de Microsoft Entra asignar un conjunto de permisos de acceso a todos los miembros del grupo. El propietario del recurso o directorio también puede conceder derechos de administración de grupos a alguien como un administrador de departamento o un administrador del departamento de soporte técnico, lo que permite a esa persona agregar y quitar miembros. Para obtener información sobre cómo administrar propietarios de grupos, consulte el artículo Administración de grupos.

Los recursos a los que los grupos de Microsoft Entra pueden administrar el acceso puede ser:

  • Parte de la organización de Microsoft Entra, como permisos para administrar usuarios, aplicaciones, facturación y otros objetos.
  • Externo a su organización, como aplicaciones de software como servicio (SaaS) que no son de Microsoft.
  • Servicios de Azure
  • Sitios de SharePoint
  • Recursos locales

Cada aplicación, recurso y servicio que requiera permisos de acceso debe administrarse por separado, ya que los permisos de uno pueden no ser los mismos que los de otro. Conceda acceso mediante el principio de privilegios mínimos para ayudar a reducir el riesgo de ataque o una vulneración de seguridad.

Tipos de asignaciones

Después de crear un grupo, debe decidir cómo administrar su acceso.

  • Asignación directa. El propietario del recurso asigna directamente el usuario al recurso.

  • Asignación de un grupo. El propietario del recurso asigna un grupo de Microsoft Entra al recurso, que automáticamente concede a todos sus miembros acceso al recurso. Tanto el propietario del grupo como el propietario del recurso administran la pertenencia a un grupo, lo que permite a ambos propietarios agregar o quitar miembros del grupo. Para obtener más información sobre la administración de la pertenencia a grupos, consulte el artículo Administración de grupos.

  • Asignación basada en reglas. El propietario del recurso crea un grupo y usa una regla para definir qué usuarios están asignados a un recurso concreto. La regla se basa en atributos que se asignan a usuarios individuales. El propietario del recurso administra la regla, lo que determina los atributos y valores que son necesarios para permitir el acceso al recurso. Para obtener más información, consulte Creación de un grupo dinámico.

  • Asignación de una autoridad externa. El acceso procede de un origen externo, como un directorio local o una aplicación SaaS. En esta situación, el propietario del recurso asigna al grupo para proporcionar acceso al recurso y, después, el origen externo administra los miembros del grupo.

Procedimientos recomendados para administrar grupos en la nube

Estos son los procedimientos recomendados para administrar grupos en la nube:

  • Habilite la administración de grupos de autoservicio: Permitir a los usuarios buscar y unirse a grupos o crear y administrar sus propios grupos de Microsoft 365.
    • Permite a los equipos organizarse a sí mismos a la vez que reducen la carga administrativa de TI.
    • Aplique una directiva de nomenclatura de grupo para bloquear el uso de palabras restringidas y garantizar la coherencia.
    • Evite que los grupos inactivos permanezcan habilitando las directivas de expiración de grupos, que eliminan automáticamente los grupos sin usar después de un período especificado, a menos que un propietario del grupo lo renueve.
    • Configure grupos para que acepten automáticamente todos los usuarios que se unan o requieran aprobación.
    • Para más información, consulte Configuración de la administración de grupos de autoservicio en Microsoft Entra ID.
  • Aproveche las etiquetas de confidencialidad: Use etiquetas de confidencialidad para clasificar y controlar los grupos de Microsoft 365 en función de sus necesidades de seguridad y cumplimiento.
  • Automatización de la pertenencia a grupos dinámicos: Implemente reglas de pertenencia dinámica para agregar o quitar automáticamente usuarios y dispositivos de grupos basados en atributos como departamento, ubicación o puesto.
    • Minimiza las actualizaciones manuales y reduce el riesgo de acceso persistente.
    • Esta característica se aplica a los grupos de Microsoft 365 y a los grupos de seguridad.
  • Realizar revisiones periódicas de acceso: Use las funcionalidades de Gobernanza de identidades de Microsoft Entra para programar revisiones de acceso periódicas.
  • Administrar la pertenencia con paquetes de acceso: Cree paquetes de acceso con Microsoft Entra Identity Governance para simplificar la administración de varias pertenencias a grupos. Los paquetes de acceso pueden:
    • Incluir flujos de trabajo de aprobación para la pertenencia
    • Definición de criterios para la expiración del acceso
    • Proporcionar una manera centralizada de conceder, revisar y revocar el acceso entre grupos y aplicaciones
    • Para obtener más información, consulte Crear un paquete de acceso en administración de derechos
  • Asignar varios propietarios de grupos: Asigne al menos dos propietarios a un grupo para garantizar la continuidad y reducir las dependencias en un solo individuo.
  • Usar licencias basadas en grupos: Las licencias basadas en grupos simplifican el aprovisionamiento de usuarios y garantizan asignaciones de licencias coherentes.
  • Aplicar controles de acceso basados en roles (RBAC): Asigne roles para controlar quién puede administrar grupos.

Contenido relacionado