Crear y administrar usuarios
Cada usuario que necesita acceso a los recursos de Azure precisa una cuenta de usuario de Azure. La cuenta de usuario contiene toda la información necesaria para autenticar al usuario durante el proceso de inicio de sesión. Una vez autenticado, Microsoft Entra ID crea un token de acceso para autorizarle, determinar a qué recursos puede acceder y determinar lo que puede hacer con esos recursos.
Puede usar el panel de Microsoft Entra ID en Azure Portal para trabajar con objetos de usuario. Tenga en cuenta que solo se puede trabajar con un único directorio al mismo tiempo, pero puede usar el panel Directorio + suscripción para cambiar de un directorio a otro. En la barra de herramientas del panel también hay un botón Administrar inquilinos que facilita la visualización de todos los directorios y el cambio a otro directorio disponible.
Visualización de usuarios
Para ver los usuarios de Microsoft Entra, en el panel de menús izquierdo, en Administrar, seleccione Usuarios. Aparece el panel Todos los usuarios. Observe las columnas Tipo de usuario y Entidades, tal y como se muestra en la captura de pantalla siguiente:
Normalmente, Microsoft Entra ID define a los usuarios de tres maneras:
Identidades de nube: Estos usuarios solo existen en Microsoft Entra ID. Algunos ejemplos son las cuentas de administrador y los usuarios que usted mismo administra. El origen es Microsoft Entra ID o Microsoft Entra External ID si el usuario está definido en otra instancia de Microsoft Entra, pero necesita acceso a los recursos de suscripción controlados por este directorio. Cuando estas cuentas se quitan del directorio principal, se eliminan.
Identidades sincronizadas con Directory: estos usuarios existen en una instancia de Active Directory local. Una actividad de sincronización que se produce mediante Microsoft Entra Connect lleva estos usuarios a Azure. Su origen es Windows Server AD.
Usuarios invitados: estos usuarios se encuentran fuera de Azure. Algunos ejemplos son las cuentas de otros proveedores de nube y cuentas de Microsoft, como una cuenta de Xbox Live. Su origen es Usuario invitado. Este tipo de cuenta es útil cuando los proveedores externos o los contratistas necesitan acceso a los recursos de Azure. Una vez que se puede prescindir de ellos, la cuenta correspondiente y todo el acceso del que disfrutan se puede quitar.
Agregar usuarios
Puede agregar identidades en la nube a Microsoft Entra ID de varias maneras:
- Mediante la sincronización de una instancia local de Windows Server Active Directory
- Uso de Azure Portal
- Uso de la línea de comandos
- Otras opciones
Sincronización de una instancia local de Windows Server Active Directory
Microsoft Entra Connect es un servicio independiente que permite sincronizar una instancia tradicional de Active Directory con su instancia de Microsoft Entra. Así es como la mayoría de los clientes empresariales agregan usuarios al directorio. La ventaja de este método es que los usuarios pueden usar el inicio de sesión único (SSO) para acceder a los recursos tanto locales como basados en la nube.
Mediante Azure Portal
Puede agregar nuevos usuarios manualmente a través de Azure Portal. Esta es la forma más fácil de agregar un conjunto reducido de usuarios. Debe tener el rol Administrador de usuarios para realizar esta función.
Para agregar un nuevo usuario a través de Azure Portal, en la barra de menús superior, seleccione Nuevo usuario y, luego, Crear nuevo usuario.
Además de Nombre y Nombre de usuario, se puede agregar información de perfil como, por ejemplo, Puesto y Departamento en la pestaña Propiedades.
El comportamiento predeterminado es crear un usuario desde cero en la organización. El usuario tendrá un nombre de usuario con el nombre de dominio predeterminado asignado al directorio, como alice@staracoustics.onmicrosoft.com.
También puede invitar a un usuario a que acceda al directorio. En este caso, se envía un correo electrónico a una dirección de correo electrónico conocida, tras lo cual una cuenta se crea y se asocia a esa dirección de correo electrónico si el usuario acepta la invitación.
El usuario invitado deberá crear una cuenta Microsoft (MSA) asociada si esa dirección de correo electrónico específica no está asociada a una y la cuenta se agregará Microsoft Entra ID como usuario invitado.
Mediante la línea de comandos
Si hay muchos usuarios que agregar, la mejor opción es usar una herramienta de línea de comandos. Se puede ejecutar el comando New-MgUser de Azure PowerShell para agregar usuarios basados en la nube.
# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }
# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled
El comando devolverá el nuevo objeto de usuario que se creó.
DisplayName Id UserPrincipalName
----------- -- -----------------
Abby Brown f36634c8-8a93-4909-9248-0845548bc515 AbbyB@contoso.com
Si prefiere una interfaz de la línea de comandos más estándar, puede usar la CLI de Azure:
az ad user create --display-name "Abby Brown" \
--password "<password>" \
--user-principal-name "AbbyB@contoso.com" \
--force-change-password-next-login true \
--mail-nickname "AbbyB"
Las herramientas de línea de comandos permiten agregar usuarios en bloque a través de scripts. El método más común para ello consiste en usar un archivo de valores separados por comas (CSV). Este archivo se puede crear manualmente o exportar desde un origen de datos existente.
Si tiene previsto usar un archivo CSV, estos son algunos aspectos que hay que tener presentes:
Convención de nomenclatura: establezca o implemente una convención de nomenclatura para los nombres de usuarios, los nombres para mostrar y los alias. Por ejemplo, un nombre de usuario podría consistir en el apellido, seguido de un punto (.) y del nombre propio (por ejemplo, Smith.John@contoso.com).
Contraseñas: implante una convención para la contraseña inicial de un usuario recién creado. Determine la forma en que los nuevos usuarios recibirán sus contraseñas de forma más segura. Un método muy habitual consiste en generar una contraseña aleatoria y enviarla por correo electrónico al usuario nuevo o a su superior.
Para usar un archivo CSV con Azure PowerShell:
Ejecute el comando Connect-MgGraph para crear una conexión de PowerShell al directorio. Conéctese con una cuenta de administrador que tenga privilegios en el directorio.
Cree perfiles de contraseña para los nuevos usuarios. Las contraseñas de los usuarios nuevos deben cumplir con las reglas de complejidad de contraseña que estableció para el directorio.
Use
Import-CSV
para importar el archivo CSV. Debe especificar la ruta de acceso y el nombre del archivo CSV.Recorra los usuarios del archivo y cree los parámetros de usuario necesarios para cada uno de ellos. Algunos parámetros de ejemplo son Nombre principal del usuario, Nombre para mostrar, Nombre propio, Departamento y Puesto.
Ejecute el comando
New-MgUser
para crear cada usuario. Asegúrese de habilitar cada cuenta.
Otras opciones
También puede agregar usuarios a Microsoft Entra ID mediante programación utilizando Microsoft Graph API o mediante el Centro de administración de Microsoft 365 y la consola de administración de Microsoft Intune si comparte el mismo directorio.