Administrar grupos de Microsoft 365

Este artículo afecta tanto a Office 365 Enterprise como a Microsoft 365 Enterprise

Puede administrar grupos de Microsoft 365 de varias maneras diferentes, en función de la configuración. Puede administrar cuentas de usuario en el Centro de administración de Microsoft 365, PowerShell, en Servicios de dominio de Active Directory (AD DS) o en el Centro de administración Microsoft Entra.

Planear dónde y cómo administrará los grupos

Dónde y cómo puede administrar las cuentas de usuario depende del modelo de identidad que quiera usar para Microsoft 365. Los dos modelos generales son solo en la nube e híbridos.

Solo de nube

Cree y administre grupos con:

• El Centro de administración de Microsoft 365
• PowerShell
  • Administración de grupos de Microsoft 365 con PowerShell
  • Mantenimiento de la pertenencia a grupos de seguridad con PowerShell
• Centro de administración de Microsoft Entra

Híbrido

Para administrar grupos híbridos, puede usar las mismas herramientas que usa para grupos solo en la nube. Los grupos de AD DS se sincronizan con Microsoft 365 desde AD DS, por lo que debe usar herramientas de AD DS locales para administrar estos grupos.

También puede crear y administrar Microsoft Entra grupos que son independientes de los grupos de AD DS, pero que pueden contener usuarios y grupos de AD DS.

Permitir a los usuarios crear y administrar sus propios grupos

Microsoft Entra ID permite grupos que pueden administrar los propietarios de grupos en lugar de los administradores de TI. Conocida como administración de grupos de autoservicio, esta característica permite a los propietarios de grupos a los que no se les asigna un rol administrativo crear y administrar grupos de seguridad.

Los usuarios pueden solicitar la pertenencia a un grupo de seguridad y esa solicitud se dirige al propietario del grupo, en lugar de a un administrador de TI. Esto permite delegar el control diario de la pertenencia a grupos a los propietarios de equipo, proyecto o empresa que comprendan el uso empresarial para el grupo y puedan administrar su pertenencia.

Nota:

La administración de grupos de autoservicio solo está disponible para Microsoft Entra seguridad y grupos de Microsoft 365. No está disponible para grupos habilitados para correo, listas de distribución ni ningún grupo que se haya sincronizado desde AD DS.

Para obtener más información, consulte las instrucciones para configurar un grupo de Microsoft Entra para la administración de autoservicio.

Configurar la pertenencia a grupo dinámico

Microsoft Entra ID admite la configuración de una serie de reglas que agregan o quitan automáticamente cuentas de usuario como miembros de un grupo de Microsoft Entra. Esto se conoce como pertenencia a grupo dinámico. Las reglas se basan en atributos de cuenta de usuario, como el país o el departamento.

Las reglas se aplican de esta forma:

• Si la nueva cuenta de usuario coincide con todas las reglas del grupo, se convierte en un miembro.
• Si una cuenta de usuario no es miembro del grupo, pero sus atributos cambian para que coincidan con todas las reglas del grupo, se convierte en un miembro de ese grupo.
• Si una cuenta de usuario no coincide con todas las reglas del grupo, no se agregará al grupo.
• Si una cuenta de usuario es miembro del grupo, pero sus atributos cambian para que ya no coincida con todas las reglas del grupo, se quita como miembro del grupo.

Para usar la pertenencia dinámica, primero debe determinar los conjuntos de grupos que tienen un conjunto común de atributos de cuenta de usuario. Por ejemplo, todos los miembros del departamento de ventas deben estar en el grupo sales Microsoft Entra, en función del atributo de cuenta de usuario Department establecido en "Sales".

Consulte las instrucciones para crear y configurar las reglas de un grupo de Microsoft Entra dinámico.

Configurar las licencias automáticas

Puede configurar grupos de seguridad en Microsoft Entra ID para asignar automáticamente licencias de un conjunto de suscripciones a todos los miembros del grupo. Esto se conoce como licencias basadas en grupos. Si una cuenta de usuario se añade o se elimina del grupo, se asignará o quitará la asignación de las licencias de suscripciones del grupo automáticamente desde la cuenta de usuario.

Para Microsoft 365 Enterprise, configurará Microsoft Entra grupos de seguridad para asignar la licencia de Microsoft 365 Enterprise adecuada.

Asegúrese de que tiene suficientes licencias para todos los miembros del grupo. Si se queda sin licencias, no se asignarán licencias a nuevos usuarios hasta que estén disponibles otras nuevas.

Nota:

No configure las licencias basadas en grupos para los grupos que contengan cuentas entre empresas (B2B) de Azure.

Para obtener más información, consulte Conceptos básicos de licencias basadas en grupos en Microsoft Entra ID.

Consulte las instrucciones para configurar licencias basadas en grupos para un grupo de seguridad de Azure.