Configurar la administración de grupos de autoservicio en Microsoft Entra ID
Administración de grupos de autoservicio: puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Microsoft 365 en Microsoft Entra ID. El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución.
Pertenencia a grupos de autoservicio
Puede permitir que los usuarios creen grupos de seguridad, los cuales se usan para administrar el acceso a los recursos compartidos. Los usuarios pueden crear grupos de seguridad en Azure Portal, mediante PowerShell para Azure AD o desde el panel de acceso a grupos de Aplicaciones.
Importante
Está previsto que Azure AD PowerShell quede en desuso el 30 de marzo de 2024. Para más información sobre los planes de desuso, vea la actualización de desuso. Le recomendamos que siga migrando a Microsoft Graph PowerShell, que es el módulo recomendado para interactuar con Microsoft Entra ID. Además, Microsoft Graph PowerShell le permite acceder a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener más información, consulte Actualizar de Azure AD PowerShell a Microsoft Graph PowerShell.
Solo los propietarios del grupo pueden actualizar la pertenencia, pero puede proporcionar a estos la capacidad de aprobar o denegar las solicitudes de pertenencia desde el panel de acceso a grupos de MyApps. Los grupos de seguridad creados con autoservicio mediante el panel de acceso a grupos de Aplicaciones están disponibles para que se unan para todos los usuarios, tanto los aprobados por el propietario como los aprobados automáticamente. En el panel de acceso a grupos de Aplicaciones, puede cambiar las opciones de pertenencia al crear el grupo.
Los grupos de Microsoft 365, que proporcionan oportunidades de colaboración para los usuarios, se pueden crear en cualquiera de las aplicaciones de Microsoft 365, como SharePoint, Microsoft Teams y Planner. Los grupos de Microsoft 365 también se pueden crear en Azure Portal, mediante PowerShell de Microsoft Graph o desde el panel de acceso a grupos de MyApps. Para más información sobre la diferencia entre los grupos de seguridad y los grupos de Microsoft 365, consulte Más información sobre los grupos.
| Grupos creados en | Comportamiento predeterminado del grupo de seguridad | Comportamiento predeterminado del grupo de Microsoft 365 |
|---|---|---|
| PowerShell de Microsoft Graph | Solo los propietarios pueden agregar miembros Visible pero no está disponible para unión en el panel de acceso a grupos de Aplicaciones |
Abierto para unirse todos los usuarios |
| Azure Portal | Solo los propietarios pueden agregar miembros Visible pero no está disponible para unión en el panel de acceso a grupos de MyApps El propietario no se asigna automáticamente durante la creación del grupo |
Abierto para unirse todos los usuarios |
| Panel de acceso de grupos de Aplicaciones | Abierto para unirse todos los usuarios Las opciones de pertenencia se pueden cambiar cuando se crea el grupo |
Abierto para unirse todos los usuarios Las opciones de pertenencia se pueden cambiar cuando se crea el grupo |
Escenarios de administración de grupos de autoservicio
- Administración de grupos delegados Por ejemplo, un administrador que administra el acceso a una aplicación de software como servicio (SaaS) que su compañía usa. La administración de estos derechos de acceso se está volviendo compleja, por lo que este administrador solicita al propietario de la empresa la creación de un nuevo grupo. El administrador asigna al nuevo grupo acceso a la aplicación y le agrega todas las personas que ya acceden a la aplicación. Luego, el propietario de la empresa puede agregar más usuarios, y dichos usuarios se aprovisionan automáticamente en la aplicación. No es preciso que el propietario espere a que el administrador administre el acceso de los usuarios. Si el administrador concede el mismo permiso a un administrador de otro grupo de negocios, esa persona también puede administrar el acceso de sus propios usuarios. Ni el propietario de una empresa ni el administrador pueden ver ni administrar las pertenencias al grupo del otro. El administrador podrá seguir viendo todos los usuarios que tienen acceso a la aplicación y bloquear los derechos de acceso si fuera necesario.
- Administración de grupos de autoservicio Por ejemplo, dos usuarios tienen sitios de SharePoint Online configurados de forma independiente. Ellos quieren dar al equipo del otro acceso a sus sitios. Para ello, pueden crear un grupo en Microsoft Entra ID, y en SharePoint Online cada uno de ellos selecciona dicho grupo para proporcionar acceso a sus sitios. Cuando alguien desea tener acceso, lo solicita en el panel de acceso a grupos de MyApps, y tras la aprobación obtiene acceso a ambos sitios de SharePoint Online automáticamente. Posteriormente, uno de ellos decide que todas las personas que accedan a su sitio también deben obtener acceso a una aplicación SaaS concreta. El administrador de la aplicación SaaS puede agregar derechos de acceso a la aplicación en el sitio de SharePoint Online. Desde ese momento, todas las solicitudes aprobadas darán acceso tanto a los dos sitios de SharePoint Online como a la aplicación SaaS.
Puesta a disposición de un grupo para el autoservicio del usuario
Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
Seleccione Microsoft Entra ID.
Seleccione Todos los grupos>Grupos y, a continuación, seleccione el valor General.
Nota:
Esta configuración solo restringe el acceso a la información de grupo en Mis grupos. No restringe el acceso a la información de grupo a través de otros métodos, como llamadas a Microsoft Graph API o al Centro de administración de Microsoft Entra.
Nota:
En junio de 2024, la configuración Restringir el acceso de los usuarios a Mis grupos cambiará a Restringir la capacidad de los usuarios para ver y editar grupos de seguridad en Mis grupos. Si la configuración está establecida actualmente en "Sí", los usuarios finales podrán acceder a Mis grupos en junio de 2024, pero no podrán ver los grupos de seguridad.
Establezca Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso en Sí.
Establezca Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso en No.
Establezca Los usuarios pueden crear grupos de seguridad en los portales de Azure, la API o PowerShell en Sí o No.
Para más información sobre esta configuración, consulte la siguiente sección Configuración de grupo.
Establezca Los usuarios pueden crear grupos de Microsoft 365 en los portales de Azure, la API o PowerShell en Sí o No.
Para más información sobre esta configuración, consulte la siguiente sección Configuración de grupo.
También puede usar Owners who can assign members as group owners in the Azure portal (Los propietarios pueden asignar miembros como propietarios de grupos en Azure Portal) para conseguir un control más pormenorizado sobre la administración de grupos de autoservicio para los usuarios.
Cuando los usuarios puedan crear grupos, todos los usuarios de su organización podrán crear nuevos grupos y, a continuación, podrán, como propietarios predeterminados, agregarles miembros. No puede especificar a personas que puedan crear sus propios grupos. Solo puede especificar a personas para convertir a otro miembro del grupo en propietario del grupo.
Nota:
Se requiere una licencia de Microsoft Entra ID Premium1 o 2 para que los usuarios puedan solicitar unirse a un grupo de seguridad o a un grupo de Microsoft 365 y para que los propietarios puedan aprobar o denegar las solicitudes de pertenencia. Incluso sin una licencia de Microsoft Entra ID Premium 1 o 2, los usuarios pueden administrar sus grupos en el panel de acceso a grupos de Aplicaciones, pero no pueden crear un grupo que requiera la aprobación del propietario y no podrán solicitar unirse a un grupo.
Configuración de grupo
La configuración de grupo permite controlar quién puede crear grupos de seguridad y de Microsoft 365.
La tabla siguiente le ayudará a decidir qué valores elegir.
| Configuración | Value | Efecto en el inquilino |
|---|---|---|
| Los usuarios pueden crear grupos de seguridad en Azure Portal, la API o PowerShell. | Sí | Todos los usuarios de la organización de Microsoft Entra ID pueden crear nuevos grupos de seguridad y agregar miembros a estos grupos en los portales de Azure, la API o PowerShell. Estos grupos nuevos también se muestran en el Panel de acceso para los restantes usuarios. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos. |
| No | Los usuarios no pueden crear grupos de seguridad ni cambiar los grupos existentes de los que sean propietarios. Sin embargo, pueden administrar la pertenencia a dichos grupos y aprobar las solicitudes de otros usuarios para unirse a ellos. | |
| Los usuarios pueden crear grupos de Microsoft 365 en Azure Portal, la API o PowerShell. | Sí | Todos los usuarios de la organización de Microsoft Entra ID pueden crear nuevos grupos de Microsoft 365 y agregar miembros a estos grupos en los portales de Azure, la API o PowerShell. Estos grupos nuevos también se muestran en el Panel de acceso para los restantes usuarios. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos. |
| No | Los usuarios no pueden crear grupos de Microsoft 365 ni cambiar los grupos existentes de los que sean propietarios. Sin embargo, pueden administrar la pertenencia a dichos grupos y aprobar las solicitudes de otros usuarios para unirse a ellos. |
Estos son algunos detalles adicionales sobre esta configuración de grupo.
- Esta configuración puede tardar hasta 15 minutos en surtir efecto.
- Si desea habilitar algunos de los usuarios, pero no todos, para crear grupos, puede asignar a esos usuarios un rol que pueda crear grupos, como Administrador de grupos.
- Esta configuración es para los usuarios y no afecta a las entidades de servicio. Por ejemplo, si tiene una entidad de servicio con permisos para crear grupos, la entidad de servicio seguirá siendo capaz de crear grupos incluso si establece esta configuración en No.
Configuración de los valores del grupo mediante Microsoft Graph
Para configurar, los usuarios, puede crear grupos de seguridad en la configuración de Azure Portal, API o PowerShell mediante Microsoft Graph, configure el objeto EnableGroupCreation en el objeto groupSettings. Para más información, consulte Información general sobre los valores de grupo.
Para configurar, los usuarios pueden crear grupos de seguridad en la configuración de Azure Portal, API o PowerShell mediante Microsoft Graph, actualice la propiedad allowedToCreateSecurityGroups de defaultUserRolePermissions en el objeto authorizationPolicy.
Pasos siguientes
En estos artículos se proporciona información adicional sobre Microsoft Entra ID.
Comentarios
Enviar y ver comentarios de