Compartir a través de

Agregar y administrar usuarios para Microsoft Intune

Microsoft Entra ID, que forma parte de Microsoft Entra, es el servicio de identidad de Microsoft Intune, lo que significa que las cuentas de usuario que ve en Intune existen en Microsoft Entra. Como administrador con suficientes permisos de control de acceso basado en rol (RBAC) dentro de Microsoft Entra, puede usar el centro de administración de Intune para administrar Microsoft Entra cuenta de usuario. Esos mismos permisos Entra también permiten a un administrador administrar usuarios desde el Centro de administración de Microsoft 365 o directamente a través de la Centro de administración Microsoft Entra.

Intune también admite el uso de cuentas de usuario que se sincronizan entre Active Directory y cualquier servicio basado en la nube que comparta el inquilino con Intune y el inquilino de Entra.

Una vez que un usuario se agrega o sincroniza a Entra y se le asigna una licencia para Intune, ese usuario puede inscribir dispositivos con Intune y empezar a acceder a los recursos de la empresa. Intune administradores también pueden asignar Intune roles Y permisos de RBAC a grupos discretos de usuarios para permitir que esos usuarios ayuden a administrar la suscripción de Intune.

El resto de este artículo se centra en el uso del centro de administración de Intune para administrar cuentas de usuario.

Controles de acceso basados en rol para administrar cuentas de usuario

Para poder usar el centro de administración de Intune para administrar usuarios, la cuenta debe tener permisos de RBAC dentro de Microsoft Entra para administrar las cuentas de usuario. Microsoft Entra permisos son necesarios, ya que Intune RBAC es un subconjunto de Entra RBAC. Como subconjunto, los permisos de RBAC de solo Intune no son suficientes para administrar cuentas en Microsoft Entra. Sin embargo, hay algunos roles de Microsoft Entra que incluyen permisos dentro de Intune.

Al trabajar con RBAC, Microsoft recomienda seguir el principio de permisos mínimos mediante el uso de solo cuentas que tengan los permisos mínimos necesarios para una tarea y la limitación del uso y la asignación de roles administrativos con privilegios, como el administrador de Intune.

El siguiente Microsoft Entra rol RBAC integrado es el rol integrado con privilegios mínimos que incluye permisos suficientes para agregar y administrar cuentas de usuario:

  • Administrador de usuarios: este rol proporciona permisos suficientes para agregar y editar cuentas de usuario desde los centros de administración para Microsoft Intune, Microsoft Entra y Microsoft 365.

Sugerencia

El rol de administrador de usuarios Microsoft Entra también proporciona permisos suficientes para asignar licencias a Intune y otros productos a los usuarios. Sin embargo, la administración de licencias es una tarea que solo se puede administrar cuando se usa el Centro de administración de Microsoft 365. Para obtener más información, consulte Asignación de licencias de Intune a los usuarios.

Agregar usuarios a Intune

Puede usar el centro de administración de Intune para agregar manualmente nuevas cuentas de usuario a la Microsoft Entra ID donde estarán disponibles para su suscripción. Puede agregar usuarios individualmente y también usar una operación masiva para agregar varios usuarios al mismo tiempo cuando se definen en un archivo csv.

Añadir usuarios individuales

Los pasos de procedimiento siguientes se pueden usar para agregar usuarios individuales a la suscripción de Intune. Para obtener una revisión más completa de la creación de nuevas cuentas de usuario, consulte Creación, invitación y eliminación de usuarios en la documentación de Microsoft Entra.

  1. En el centro de administración de Intune, vaya a Usuarios>Todos los usuarios> seleccione Nuevo usuario>Crear nuevo usuario.

  2. En la pestaña Aspectos básicos , configure los siguientes detalles del usuario:

    • Nombre principal de usuario: el nombre principal de usuario (UPN) se almacena en Microsoft Entra ID y se usa para acceder a los servicios, incluidos Microsoft Entra, Microsoft 365 y Microsoft Intune.
    • Alias de correo : para escribir un alias de correo electrónico diferente del nombre principal del usuario, desactive la opción Derivar del nombre principal de usuario y, a continuación, escriba el alias de correo.
    • Nombre para mostrar : cómo se muestra el nombre del usuario. Por ejemplo, Chris Green o Chris A. Green.
    • Contraseña : agregue una contraseña para el nuevo usuario o elija que se genere automáticamente. A todos los usuarios nuevos se les dirige a crear una nueva contraseña en su primer inicio de sesión.
    • Cuenta habilitada : cuando una cuenta no está habilitada, el usuario no puede iniciar sesión. Esta configuración se puede actualizar después de crear la cuenta.

Puede seleccionar Revisar y crear para crear la nueva cuenta de usuario usando solo la información básica, o bien puede seleccionar Siguiente: Propiedades para completar configuraciones adicionales pero opcionales.

  1. En la pestaña Propiedades , configure los detalles siguientes, que son opcionales. Los valores que no se especifican permanecen en blanco cuando se crea la cuenta y se pueden editar más adelante.

    • Identidad:
      • Nombre
      • Apellidos
      • Tipo de usuario : elija Miembro o Invitado. Ambos tipos de usuario son internos de la organización. Los miembros suelen ser empleados de tiempo completo en su organización. Los invitados tienen una cuenta en el inquilino, pero tienen privilegios de nivel de invitado.
      • Información de autorización : al usar la autenticación basada en certificados para los usuarios, puede usar este campo para agregar hasta cinco identificadores de usuario de certificado. Para obtener más información, vea Asignación al atributo certificateUserIds en Microsoft Entra ID.
    • Información del trabajo: especifique información relacionada con el trabajo, como el puesto de trabajo, el departamento o el administrador del usuario.
    • Información de contacto: agregue información de contacto para el usuario.
    • Controles parentales: para organizaciones como los distritos escolares K-12, es posible que sea necesario proporcionar el grupo de edad del usuario. Los menores de 12 años y menores, no adultos tienen entre 13 y 18 años, y los adultos tienen 18 años o más. La combinación del grupo de edad y el consentimiento proporcionado por las opciones primarias determina la clasificación del grupo de edad legal. La clasificación de grupos de edad legal podría limitar el acceso y la autoridad del usuario.
    • Configuración: puede usar la ubicación de uso para identificar la ubicación global de un usuario.

    Seleccione Revisar y crear o continúe en Siguiente: Asignaciones.

  2. En la pestaña Asignaciones, puede asignar el usuario a una sola unidad administrativa y hasta 20 grupos o roles Microsoft Entra en el momento en que se crea la cuenta. También puede configurar asignaciones después de crear el usuario.

    Sugerencia

    Es posible que algunas opciones no estén disponibles para configurar en función del nivel de privilegio de las cuentas en Microsoft Entra. Por ejemplo, si solo se le asigna el rol Administrador de usuarios, puede asignar usuarios a grupos, pero carece de derechos para asignar una unidad administrativa o asignar al usuario un rol de Microsoft Entra. Para obtener información sobre los permisos proporcionados por diferentes roles, consulte Microsoft Entra roles integrados.

    Para asignar un grupo al nuevo usuario:

    1. Seleccione + Agregar grupo.
    2. En el menú que aparece, elija hasta 20 grupos de la lista y seleccione el botón Seleccionar .
    3. Seleccione el botón Revisar + crear .

    Para asignar un rol de Microsoft Entra al nuevo usuario:
    Cuando un usuario requiere permisos en Entra, puede usar esta opción para asignarle un rol adecuado. Para asignar roles entra a otras cuentas, la cuenta debe tener permisos iguales a los Microsoft Entra administrador de roles con privilegios.

    Sugerencia

    La mayoría de los usuarios que agregue a Intune no necesitarán una asignación de roles Microsoft Entra. En su lugar, para los usuarios que administran solo Intune, planee asignarles un rol de RBAC de Intune después de crear su cuenta.

    1. Seleccione + Agregar rol.
    2. En el menú que aparece, elija hasta 20 roles en la lista y seleccione el botón Seleccionar .
    3. Seleccione el botón Revisar y crear .

    Para agregar una unidad administrativa al nuevo usuario:
    La mayoría de los usuarios que agregue a Intune nunca necesitarán unidades administrativas (AU), que en Microsoft Entra ID es una forma eficaz de delegar el control administrativo sobre subconjuntos de usuarios, grupos o dispositivos dentro de la organización.

    En su lugar, dentro de Intune puede usar etiquetas de ámbito y grupos de ámbito.

    Para asignar una unidad administrativa a un usuario, la cuenta debe tener permisos iguales al administrador de roles con privilegios de Entra.

    1. Seleccione + Agregar unidad administrativa.
    2. En el menú que aparece, seleccione una unidad administrativa y, a continuación, el botón Seleccionar .
    3. Seleccione Revisar y crear.

  3. En la pestaña Revisar y crear , revise los detalles para asegurarse de que la información es correcta y de que los detalles se han pasado a la validación. Revise los detalles y seleccione el botón Crear si todo se ve bien.

Nota:

También puede invitar a los usuarios invitados a su inquilino de Intune. Para obtener más información, vea Agregar Microsoft Entra usuarios de colaboración B2B en el Centro de administración Microsoft Entra.

Agregar varios usuarios

Puede agregar Intune usuarios de forma masiva cargando un archivo CSV que contenga la lista completa de usuarios. El archivo csv es una lista de valores separados por comas que se puede editar en el Bloc de notas o Excel.

Para agregar varios usuarios a Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Vaya a Usuarios>Todos los usuarios>Operaciones>masivas Creación masiva. Se muestra el panel Creación masiva de usuarios , que proporciona una opción para descargar una plantilla cvs que puede usar.
  3. Cuando la plantilla de CVS esté lista, use la funcionalidad de exploración para buscar y cargar el archivo. Seleccione Enviar para comenzar la importación.

Para obtener más información sobre el uso de un archivo csv para agregar usuarios Intune, consulte Creación masiva de usuarios en Microsoft Entra ID.

Nota:

También puede invitar a varios usuarios invitados a su inquilino de Intune. Para obtener más información, vea Tutorial: Invitación masiva Microsoft Entra usuarios de colaboración B2B.

Sincronizar Active Directory y agregar usuarios a Intune

Puede configurar la sincronización de directorios para importar cuentas de usuario de la Active Directory local a Microsoft Entra que incluye Intune usuarios. Tener el servicio de Active Directory local conectado con todos los servicios basados en Entra ID facilita la administración de la identidad de usuario. También puede configurar características de inicio de sesión único para que la experiencia de autenticación resulte fácil y familiar a los usuarios. Al vincular el mismo inquilino de Entra con varios servicios, las cuentas de usuario que ha sincronizado anteriormente están disponibles para todos los servicios basados en la nube.

Asegúrese de que los administradores de Active Directory tienen acceso a la suscripción de Entra y que están entrenados para completar tareas comunes de Active Directory y Microsoft Entra.

Cómo sincronizar usuarios locales con Microsoft Entra ID

  • Para mover los usuarios existentes de Active Directory local a Entra ID, puede configurar la identidad híbrida. Las identidades híbridas existen en ambos servicios: Active Directory local y Microsoft Entra ID.
  • También puede exportar usuarios de Active Directory mediante la interfaz de usuario o por medio de scripts. Una búsqueda en Internet puede ayudarle a encontrar la mejor opción para su organización.
  • Para sincronizar las cuentas de usuario con Entra ID, use el Asistente para conectar Microsoft Entra. El asistente de Microsoft Entra Connect proporciona una experiencia simplificada y guiada para conectar la infraestructura de identidad local a la nube. Elija la topología y las necesidades (uno o varios directorios, sincronización de hash de contraseñas, autenticación de paso a través o federación). El asistente implementa y configura todos los componentes necesarios para preparar la conexión. Incluidos: servicios de sincronización, Servicios de federación de Active Directory (AD FS) (AD FS) y el módulo de PowerShell de Microsoft Graph.

Sugerencia

Microsoft Entra Connect abarca la funcionalidad que se publicó anteriormente como Dirsync y Sincronización de Azure AD. Obtenga más información sobre la integración de directorios. Para obtener información sobre cómo sincronizar cuentas de usuario de un directorio local con Entra ID, consulte Similitudes entre Active Directory y Microsoft Entra ID.

Eliminar usuarios

Una vez que un usuario abandona la organización, puede usar el centro de administración de Intune para eliminarlo de Microsoft Entra, lo que también lo quita de Intune. También puede eliminar varios usuarios mediante operaciones masivas.

Para eliminar usuarios de Entra, la cuenta administrativa debe tener permisos iguales al rol Microsoft Entra administrador de usuarios.

Para eliminar un usuario individual de Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Vaya a Usuarios>Todos los usuarios.
  3. Seleccione el usuario que desea eliminar.
  4. Seleccione Eliminar.

Para eliminar varios usuarios de Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Vaya a Usuarios>Todas lasoperaciones masivas de eliminación>masiva de usuarios>. Se muestra el panel Eliminación masiva de usuarios , que proporciona una opción para descargar una plantilla cvs que puede usar.
  3. Cuando la plantilla de CVS esté lista, use la funcionalidad de exploración para buscar y cargar el archivo. Seleccione Enviar para comenzar la eliminación.

Para obtener información relacionada, consulte Eliminación masiva de usuarios en Microsoft Entra ID.

Sugerencia

Como usuario con permisos suficientes para administrar cuentas de usuario, es posible que no pueda eliminar algunas cuentas. Los motivos por los que no puede eliminar una cuenta específica pueden incluir:

  • Cuentas que se sincronizan desde un Active Directory local.
  • Cuentas a las que se les asigna un rol entra con privilegios más altos que la cuenta.
  • Cuentas que se encuentran fuera del grupo de ámbito de Intune actual cuando se usa el centro de administración de Intune.

Contenido relacionado