Compartir a través de

Tutorial: Incorporación de usuarios externos a Microsoft Entra ID mediante un proceso de aprobación

  • Artículo

Puede usar la administración de derechos como una manera de incorporar usuarios externos. Esta característica permite a los usuarios externos solicitar acceso a un conjunto de recursos y donde puede configurar aprobaciones antes de que obtengan acceso al directorio. Para los usuarios externos incorporados mediante derechos, puede administrar su ciclo de vida a través de paquetes de acceso. Cuando expire su último paquete de acceso, se quitará del directorio.

En este tutorial, trabajará para Woodgrove Bank como administrador de TI. Se le ha pedido que cree un paquete de acceso para incorporar asociados de una organización externa con la que trabaja su grupo de negocios. Necesitan acceso a un grupo de Teams denominado Colaboración externa. Se necesita la aprobación de un patrocinador interno para las organizaciones colaboradoras. Además, se le ha informado de que el acceso del asociado debe expirar después de 60 días. Para usar la administración de derechos, debe tener una de las licencias siguientes:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Licencia de Enterprise Mobility + Security (EMS) E5

Para obtener más información, consulte Requisitos de licencia.

Paso 1: Configuración de la copia de seguridad

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el propietario del catálogo, el administrador de usuarios y el administrador de paquetes de acceso.

  2. Vaya a Gobernanza de Identificadores>Gestión de Derechos>Paquete de Acceso.

  3. Al seleccionar la página del paquete de acceso, si ve Acceso denegado, asegúrese de que en su directorio haya una licencia de Microsoft Entra ID P2 o Microsoft Entra ID Governance.

  4. Seleccione Nuevo paquete de acceso.

  5. En la pestaña Aspectos básicos , escriba el nombre Paquete de usuario externo y la descripción Acceso para usuarios externos pendientes de aprobación.

  6. Puede dejar la lista desplegable Catálogo establecida en General.

Paso 2: Configuración de hosts

  1. Seleccione Siguiente para abrir la pestaña Roles de recursos .

    En esta pestaña se seleccionan los recursos y el rol de recurso que se incluirán en el paquete de acceso.

  2. Seleccione Grupos y Teams y busque su grupo Colaboración externa.

Paso 3: Configuración de solicitudes

  1. Seleccione Siguiente para abrir la pestaña Solicitudes .

    En esta pestaña creará una directiva de solicitud. Una directiva define las reglas o límites de protección para acceder a un paquete de acceso. Creará una directiva que permite que un usuario específico del directorio del recurso solicite este paquete de acceso.

  2. En la sección Usuarios que pueden solicitar acceso, seleccione Para los usuarios que no están en el directorio y, a continuación, seleccione Todos los usuarios (Todas las organizaciones conectadas y los nuevos usuarios externos).

  3. Dado que cualquier usuario que aún no está en el directorio puede ver y enviar una solicitud para este paquete de acceso, es obligatorio para la configuración Requerir aprobación .

  4. Las siguientes opciones le permiten configurar cómo funcionan las aprobaciones para los usuarios externos:

  5. En Requerir justificación del solicitante, deje esto como .

  6. Para Cuántas fases deje esto en 1.

  7. En Escenario de aprobador, seleccione Patrocinador interno. Esta opción procede de una organización conectada configurada en la que puedes encontrar patrocinadores para organizaciones específicas con las que trabajas. Esto le permite establecer que alguien especificado en la organización conectada desde dentro de su organización sea el aprobador.

  8. Para ¿en cuántos días se debe tomar la decisión? deje esto como 14.

  9. En Requerir justificación del aprobador , deje esto como .

  10. Establezca Habilitar nuevas solicitudes y asignaciones en para permitir que se solicite este paquete de acceso en cuanto se cree.

Paso 4: Configuración de la información del solicitante

  1. Seleccione Siguiente para abrir la pestaña Información del solicitante.

  2. En esta pantalla, puede formular más preguntas para recopilar más información del solicitante. Estas preguntas se muestran en el formulario de solicitud y se pueden establecer en obligatorias u opcionales. Por ahora, puede dejarlos vacíos.

Paso 5: Configuración del ciclo de vida

  1. Seleccione Siguiente para abrir la pestaña Ciclo de vida .

  2. En la sección Expiración , establezca La asignación de paquetes de Access expirará en Número de días.

  3. Establezca que la asignación expire después de60 días. Este campo determina cuándo los usuarios invitados tendrán que renovar su acceso.

  4. También puede configurar Revisiones de acceso que permite comprobaciones periódicas de si el invitado todavía necesita acceso al paquete de acceso. Una revisión puede ser una revisión propia o puede establecer revisiones específicas para esta tarea. Para obtener más información, consulte Revisiones de acceso.

Paso 6: Revisión y creación del paquete de acceso

  1. Seleccione Siguiente para abrir la pestaña Revisar y crear .

  2. En esta pantalla, puede revisar la configuración del paquete de acceso antes de crearlo. Si hay algún problema, puede usar las pestañas para ir a un punto específico de la experiencia de creación para realizar modificaciones.

  3. Cuando esté satisfecho con las selecciones, seleccione Crear. Transcurridos unos instantes, verá una notificación que dice que el paquete de acceso se ha creado correctamente.

  4. Una vez creado, se le lleva a la página Información general del paquete de acceso. Puede encontrar el vínculo del portal Mi acceso y copiar el valor aquí. Comparta este vínculo con los usuarios externos y pueden ir a solicitar este paquete para empezar a colaborar.

Paso 7: Limpieza de recursos

En este paso, puede eliminar el paquete de acceso del usuario externo.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea incluyen el administrador de paquetes de acceso.

  2. Vaya a Gobernanza de Identidades>Gestión de derechos>Paquete de acceso.

  3. Abra el paquete de acceso paquete de usuario externo.

  4. Seleccione Roles de recursos.

  5. Seleccione el grupo de colaboración externo que agregó a este paquete de acceso y, en el panel Detalles , seleccione Quitar rol de recurso. En el mensaje que aparece, seleccione .

  6. Abra la lista de paquetes de acceso.

  7. En Paquete de usuario externo, seleccione los puntos suspensivos (...) y, a continuación, seleccione Eliminar. En el mensaje que aparece, seleccione .

Pasos siguientes

Obtenga información sobre cómo crear paquetes de acceso para administrar el acceso a otros tipos de recursos, como aplicaciones y sitios. Tutorial: Administración del acceso a los recursos en la administración de derechos