Administración de organizaciones conectadas en la administración de derechos

La administración de derechos le permite colaborar con personas ajenas a la organización. Si colabora con frecuencia con muchos usuarios de organizaciones externas específicas, puede agregar los orígenes de identidad de esa organización como organizaciones conectadas. Tener una organización conectada simplifica la forma en que más personas de esas organizaciones pueden solicitar acceso. En este artículo se describe cómo agregar una organización conectada para que pueda permitir que los usuarios ajenos a la organización soliciten recursos en el directorio.

¿Qué es una organización conectada?

Una organización conectada es otra organización con la que tiene una relación. Para que los usuarios de esa organización puedan acceder a los recursos, como los sitios o las aplicaciones de SharePoint Online, necesita una representación de los usuarios de esa organización en ese directorio. Debido a que en la mayoría de los casos los usuarios de esa organización aún no están en su directorio de Microsoft Entra, puede usar la administración de derechos para incorporarlos a su directorio de Microsoft Entra según sea necesario.

Si desea proporcionar una ruta de acceso para que cualquier usuario solicite acceso y no está seguro de qué organizaciones podrían ser los nuevos usuarios, puede configurar una directiva de asignación de paquetes de acceso para los usuarios que no estén en el directorio. En esa directiva, seleccione la opción Todos los usuarios (Todas las organizaciones conectadas + los nuevos usuarios externos). Si el solicitante es aprobado y no pertenece a una organización conectada en su directorio, se creará automáticamente una organización conectada para él.

Si solo desea permitir que los usuarios de organizaciones designadas soliciten acceso, primero cree esas organizaciones conectadas. En segundo lugar, configure una directiva de asignación de paquetes de acceso para los usuarios que no estén en el directorio, seleccione la opción de Organizaciones conectadas específicas y seleccione las organizaciones que creó.

Hay cuatro formas en que la administración de derechos le permite especificar los usuarios que forman una organización conectada. Podrían ser:

• usuarios en otro directorio de Microsoft Entra (desde cualquier nube de Microsoft),
• usuarios de otro directorio que no sea de Microsoft configurados para la federación del proveedor de identidades (IdP) de SAML/WS-Fed,
• usuarios de otro directorio que no sea de Microsoft, cuyas direcciones de correo electrónico tienen el mismo nombre de dominio en común y específico a esa organización, o
• usuarios con una cuenta Microsoft, como desde el dominio live.com, si tiene una necesidad empresarial de colaboración con usuarios que no tienen ninguna organización común.

Por ejemplo, supongamos que trabaja en Woodgrove Bank y desea colaborar con dos organizaciones externas. Quiere conceder a los usuarios de ambas organizaciones externas acceso a los mismos recursos, pero estas dos organizaciones tienen configuraciones diferentes:

• Contoso aún no usa Microsoft Entra ID. Los usuarios de Contoso tienen una dirección de correo electrónico que termina con contoso.com.
• Graphic Design Institute usa microsoft Entra ID y, al menos, algunos de sus usuarios tienen un nombre principal de usuario que termina con graphicdesigninstitute.com.

En este caso, puede configurar un paquete de acceso, con una directiva y dos organizaciones conectadas.

1. Asegúrese de que tiene activada la autenticación de código de acceso de un solo uso (OTP) de correo electrónico para que los usuarios de esos dominios que aún no formen parte de los directorios de Microsoft Entra que se autentiquen mediante el código de acceso de un solo uso al solicitar acceso o más adelante accedan a los recursos. Además, es posible que tenga que configurar las opciones de colaboración externa de Microsoft Entra B2B para permitir que los usuarios externos accedan.
2. Cree una organización conectada para Contoso. Al especificar el dominio contoso.com, la administración de derechos reconoce que no hay ningún inquilino de Microsoft Entra asociado a ese dominio y que los usuarios de esa organización conectada se reconocerán si se autentican con un código de acceso de un solo uso de correo electrónico con un dominio de dirección de correo electrónico de contoso.com .
3. Cree otra organización conectada para Graphic Design Institute. Al especificar el dominio graphicdesigninstitute.com, la administración de derechos reconoce que hay un inquilino asociado a ese dominio.
4. En un catálogo que permite a los usuarios externos solicitar, cree un paquete de acceso.
5. En ese paquete de acceso, cree una directiva de asignación de paquetes de acceso para los usuarios que aún no están en el directorio. En esa directiva, seleccione la opción Organizaciones conectadas específicas y especifique las dos organizaciones conectadas. Esto permite a los usuarios de cada organización, con un origen de identidad que coincida con una de las organizaciones conectadas, para solicitar el paquete de acceso.
6. Cuando los usuarios externos con un nombre principal de usuario que tiene un dominio de contoso.com solicitan el paquete de acceso, se autentican mediante correo electrónico. Este dominio de correo electrónico coincide con la organización conectada a Contoso y el usuario podrá solicitar el paquete. Después de solicitarlo, cómo funciona el acceso para los usuarios externos describe cómo se invita al usuario B2B y se asigna acceso al usuario externo.
7. Además, los usuarios externos que usan una cuenta organizativa del inquilino del Instituto de diseño gráfico coincidirían con la organización conectada al Instituto de diseño gráfico y se les permitiría solicitar el paquete de acceso. Y, dado que el Instituto de diseño gráfico usa el identificador de Entra de Microsoft, los usuarios con un nombre principal que coincidan con otro dominio comprobado que se agrega al inquilino del Graphic Design Institute, como graphicdesigninstitute.example, también podrían solicitar paquetes de acceso mediante la misma directiva.

La forma en que se autentican los usuarios del directorio o dominio de Microsoft Entra depende del tipo de autenticación. Los tipos de autenticación para las organizaciones conectadas son:

• Microsoft Entra ID, en la misma nube
• Microsoft Entra ID, en otra nube
• Federación del proveedor de identidades (IdP) de SAML/WS-Fed
• Código de acceso de un solo uso (dominio)
• Cuenta Microsoft

Para ver una demostración de cómo agregar una organización conectada, vea el vídeo siguiente:

Visualización de la lista de organizaciones conectadas

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de Identidades>Gestión de Derechos>Organizaciones Conectadas.

3. En el cuadro de búsqueda, puede buscar una organización conectada por el nombre de la organización conectada. Sin embargo, no puede buscar un nombre de dominio.

Adición de una organización conectada

Para agregar un directorio o dominio externo de Microsoft Entra como organización conectada, siga las instrucciones de esta sección.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de Identidades>Gestión de Derechos>Organizaciones Conectadas.

3. En la página Organizaciones conectadas, seleccione Agregar organización conectada.

   

4. Seleccione la pestaña Aspectos básicos y escriba un nombre para mostrar y una descripción para la organización.

   

5. El estado se establecerá automáticamente en Configurado al crear una nueva organización conectada. Para obtener más información sobre la propiedad de estado de una organización conectada, consulte Propiedad de estado de las organizaciones conectadas.

6. Seleccione la pestaña Directorio y dominio y, a continuación, seleccione Agregar directorio + dominio.

   A continuación, se abre el panel Seleccionar directorios y dominios .

7. En el cuadro de búsqueda, escriba un nombre de dominio para buscar el directorio o el dominio de Microsoft Entra. También puede agregar dominios que no están asociados a ningún directorio de Microsoft Entra. Asegúrese de escribir el nombre de dominio completo.

8. Confirme que el nombre de la organización y el tipo de autenticación son correctos. El inicio de sesión del usuario, antes de poder acceder al portal MyAccess, depende del tipo de autenticación de su organización. Si el tipo de autenticación de una organización conectada es Microsoft Entra ID, todos los usuarios con una cuenta en el directorio de esa organización, con cualquier dominio comprobado de ese directorio de Microsoft Entra, iniciarán sesión en su directorio y, a continuación, podrán solicitar acceso a paquetes de acceso que permitan esa organización conectada. Si el tipo de autenticación es código de acceso de un solo uso, esto permite a los usuarios con direcciones de correo electrónico de solo ese dominio visitar el portal de MyAccess. Después de autenticarse con el código de acceso, el usuario puede realizar una solicitud.

   

   Nota:

   El acceso desde algunos dominios podría estar bloqueado por la lista de permitidos o denegados de Microsoft Entra para empresas (B2B). Además, los usuarios que tienen una dirección de correo electrónico que tiene el mismo dominio que una organización conectada configurada para la autenticación de Microsoft Entra, pero que no se autentican en ese directorio de Microsoft Entra, no se reconocerán como parte de esa organización conectada. Para obtener más información, consulte Permitir o bloquear invitaciones a usuarios B2B de organizaciones específicas.

9. Seleccione Agregar para agregar el directorio o dominio de Microsoft Entra. Puede agregar varios directorios y dominios de Microsoft Entra.

10. Después de agregar los directorios o dominios de Microsoft Entra, seleccione Seleccionar.

    La organización aparece en la lista.

    

11. Seleccione la pestaña Patrocinadores y agregue patrocinadores opcionales para esta organización conectada.

    Los patrocinadores son usuarios internos o externos ya existentes en el directorio que son el punto de contacto para la relación con esta organización conectada. Los patrocinadores internos son usuarios miembros de su directorio. Los patrocinadores externos son usuarios invitados de la organización conectada a los que se ha invitado previamente y que ya están en el directorio. Los patrocinadores se pueden usar como aprobadores cuando los usuarios de esta organización conectada soliciten acceso a este paquete de acceso. Para obtener información sobre cómo invitar a un usuario invitado a su directorio, vea Agregar usuarios de colaboración de Microsoft Entra B2B.

    Al seleccionar Agregar o quitar, se abre un panel en el que puede elegir patrocinadores internos o externos. El panel muestra una lista sin filtrar de usuarios y grupos en el directorio.

    

12. Seleccione la pestaña Revisar y crear , revise la configuración de la organización y, a continuación, seleccione Crear.

    

Actualización de una organización conectada

Si la organización conectada cambia a otro dominio, el nombre de la organización cambia o quiere cambiar los patrocinadores, puede seguir las instrucciones de esta sección para actualizar la organización conectada.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de Identidades>Gestión de Derechos>Organizaciones Conectadas.

3. En la página Organizaciones conectadas, seleccione la organización conectada que desea actualizar.

4. En el panel de información general de la organización conectada, seleccione Editar para cambiar el nombre, la descripción o el estado de la organización.

5. En el panel Directorio y dominio , seleccione Actualizar directorio + dominio para cambiar a otro directorio o dominio.

6. En el panel Patrocinadores , seleccione Agregar patrocinadores internos o Agregar patrocinadores externos para agregar un usuario como patrocinador. Para quitar un patrocinador, seleccione el patrocinador y, en el panel derecho, seleccione Eliminar.

Eliminar una organización conectada

Si ya no tiene relación con un directorio o dominio Microsoft Entra externo, o no desea seguir teniendo una organización conectada propuesta, puede eliminar la organización conectada.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de Identidades>Gestión de Derechos>Organizaciones Conectadas.

3. En la página Organizaciones conectadas, seleccione la organización conectada que desea eliminar para abrirla.

4. En el panel de información general de la organización conectada, seleccione Eliminar para eliminarlo.

   

Administración de una organización conectada mediante programación

También puede crear, enumerar, actualizar y eliminar organizaciones conectadas mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación que tenga el permiso delegado EntitlementManagement.ReadWrite.All puede llamar a la API para administrar objetos connectedOrganization y establecer patrocinadores para ellos.

Administración de organizaciones conectadas mediante Microsoft PowerShell

También puede administrar organizaciones conectadas en PowerShell utilizando los cmdlets de Microsoft Graph PowerShell para la Gobernanza de Identidad, versión 1.16.0 o posterior.

El siguiente script muestra el uso del perfil v1.0 de Graph para recuperar todas las organizaciones conectadas. Cada organización conectada devuelta contiene una lista de identitySources de los directorios y dominios de esa organización conectada.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Propiedades de estado de las organizaciones conectadas

Existen dos estados diferentes para las organizaciones conectadas en la gestión de derechos, configurado y propuesto:

• Una organización conectada configurada es una organización conectada totalmente funcional que permite a los usuarios de esa organización acceder a paquetes de acceso. Cuando un administrador crea una nueva organización conectada en el Centro de administración de Microsoft Entra, se encuentra en el estado configurado de forma predeterminada, ya que el administrador creó y quiere usar esta organización conectada. Además, cuando se crea una organización conectada mediante programación a través de la API, el estado predeterminado debe configurarse a menos que se establezca en otro estado explícitamente.

  Las organizaciones conectadas configuradas se muestran en los selectores de organizaciones conectadas y estarán en el ámbito de las directivas que tengan como destino "todas las organizaciones conectadas configuradas".

• Una organización conectada propuesta es una organización conectada que se ha creado automáticamente, pero un administrador aún no la ha creado ni aprobado. Cuando un usuario se suscribe a un paquete de acceso fuera de una organización conectada configurada, las organizaciones conectadas creadas automáticamente se encuentran en el estado propuesto , ya que ningún administrador del inquilino configuró esa asociación.

  Las organizaciones conectadas propuestas no están en el ámbito de la configuración "todas la organizaciones conectadas configuradas" de ninguna directiva, pero se pueden utilizar en directivas solo para directivas que tienen como destino organizaciones específicas.

Solo los usuarios de las organizaciones conectadas configuradas pueden solicitar paquetes de acceso que estén disponibles para los usuarios de todas las organizaciones configuradas. Los usuarios de organizaciones conectadas propuestas tienen una experiencia como si no hubiera ninguna organización conectada para ese dominio; solo puede ver y solicitar paquetes de acceso con ámbito a su organización específica o con ámbito a cualquier usuario. Si tiene políticas en su inquilino que permiten "todas las organizaciones conectadas configuradas", asegúrese de no convertir las organizaciones conectadas propuestas para los proveedores de identidad social en configuradas.

Nota:

Como parte de la implementación de esta nueva característica, todas las organizaciones conectadas creadas antes del 09/09/20 se consideraron configuradas. Si tenía un paquete de acceso que permitía a los usuarios de cualquier organización registrarse, debe revisar la lista de organizaciones conectadas que se crearon antes de esa fecha para asegurarse de que ninguno está mal clasificado como configurado. En concreto, los proveedores de identidades sociales no deben indicarse como configurados si hay directivas de asignación que no requieren aprobación para los usuarios de todas las organizaciones conectadas configuradas. Un administrador puede actualizar la propiedad State según corresponda. Para obtener instrucciones, consulte Actualización de una organización conectada.

Nota:

En algunos casos, un usuario podría solicitar un paquete de acceso mediante su cuenta personal desde un proveedor de identidades sociales, donde la dirección de correo electrónico de esa cuenta tiene el mismo dominio que una organización conectada existente correspondiente a un inquilino de Microsoft Entra. Si se aprueba ese usuario, daría lugar a una nueva organización conectada propuesta que represente ese dominio. En este caso, asegúrese de que el usuario use su cuenta de organización en lugar de volver a solicitar el acceso, y el portal identificará a este usuario como procedente del inquilino de Microsoft Entra de la organización conectada que se haya configurado.

Pasos siguientes

• Control del acceso para usuarios externos
• Controlar el acceso de los usuarios que no están en el directorio