Configuración de la directiva de expiración de grupos de Microsoft 365
En este artículo se indica cómo puede administrar el ciclo de vida de los grupos de Microsoft 365 mediante el establecimiento de una directiva de expiración. Puede configurar una directiva de expiración para grupos de Microsoft 365 en Microsoft Entra ID.
Después de establecer un grupo para su expiración:
- Los grupos con actividades de usuario se renuevan automáticamente a medida que se aproxima la expiración.
- Si el grupo no se renueva automáticamente, se notifica a los propietarios del grupo que lo renueven.
- Se elimina cualquier grupo que no se renueve.
- Los propietarios del grupo o el administrador pueden restaurar, dentro de un plazo de 30 días, los grupos de Microsoft 365 eliminados.
Actualmente solo se puede configurar una directiva de expiración para todos los grupos de Microsoft 365 de una organización de Microsoft Entra.
Nota:
Para configurar y usar la directiva de expiración en grupos de Microsoft 365, es preciso poseer las licencias de Microsoft Entra ID P1 o P2 de todos los miembros de los grupos a los que se aplica la directiva de expiración, pero no necesariamente asignarlas.
Para obtener información sobre cómo descargar e instalar cmdlets de PowerShell de Microsoft Graph, consulte Instalación del SDK de PowerShell de Microsoft Graph.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Renovación automática basada en la actividad
Con la inteligencia de Microsoft Entra, ahora los grupos se renuevan automáticamente en función de si se han usado recientemente. Esta característica elimina la necesidad de acción manual por parte de los propietarios de grupos. La renovación se basa en la actividad de los usuarios en grupos en los servicios de Microsoft 365, tales como Outlook, SharePoint, Teams o Yammer.
Por ejemplo, el propietario o un miembro de un grupo pueden hacer algo como:
- Enviar un correo electrónico al grupo en Outlook.
- Cargar un documento en SharePoint.
- Visitar un canal de Teams.
- Ver una publicación en Yammer.
En los escenarios anteriores, el grupo se renueva automáticamente alrededor de 35 días antes de que expire el grupo, y el propietario no recibe ninguna notificación de renovación.
Ahora considere una directiva de expiración establecida para que un grupo expire después de 30 días de inactividad. Para evitar que se envíe un correo electrónico de expiración el día en que se habilita la expiración del grupo (porque aún no hay registro de actividad), Microsoft Entra espera cinco días. Después:
- Si hay actividad en esos cinco días, la directiva de expiración funciona según lo previsto.
- Si no hubiera actividad en un plazo de cinco días, Microsoft Entra ID enviará un correo electrónico de expiración o renovación.
- Si el grupo estuvo inactivo durante cinco días, se envió un correo electrónico y, después, hubo actividad en el grupo, Microsoft Entra lo renueva automáticamente y se reinicia el periodo de expiración.
Actividades que renuevan automáticamente la expiración del grupo
Las siguientes acciones de usuario provocan la renovación automática del grupo:
- SharePoint: ver, editar, descargar, mover, compartir o cargar archivos.
- Outlook: unirse a un grupo, leer o escribir mensajes de grupo desde un espacio de grupo, o seleccionar "Me gusta" para un mensaje (en Outlook Web Access).
- Teams: visitar un canal de Teams.
- Yammer: ver una publicación dentro de una comunidad de Yammer o un correo electrónico interactivo en Outlook.
Informes y auditoría
Los administradores pueden obtener una lista de grupos renovados automáticamente de los registros de auditoría de actividad de Microsoft Entra ID.
Roles y permisos
Los siguientes roles pueden configurar y usar la expiración de grupos de Microsoft 365 en Microsoft Entra ID.
Rol | Permisos |
---|---|
Administrador de grupos o administrador de usuarios | Puede crear, consultar, actualizar o eliminar la configuración de la directiva de expiración de grupos de Microsoft 365. Puede renovar cualquier grupo de Microsoft 365. |
Usuario | Puede renovar un grupo de Microsoft 365 de su propiedad. Puede restaurar un grupo de Microsoft 365 de su propiedad. Puede leer la configuración de la directiva de expiración |
Si necesita más información sobre los permisos para restaurar los grupos eliminados, consulte Restauración de un grupo eliminado de Microsoft 365 en Microsoft Entra ID.
Establecimiento de la expiración de grupo
Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
Seleccione Microsoft Entra ID.
Seleccione Grupos>Todos los grupos y, luego, Expiración para abrir la configuración de expiración.
En la página Expiración, puede:
- Establecer la duración del grupo en días. Puede seleccionar uno de los valores predefinidos o un valor personalizado. Debe ser de 30 días o más.
- Especifique una dirección de correo electrónico a la que enviar las notificaciones de renovación y expiración si un grupo no tiene ningún propietario.
- Seleccione los grupos de Microsoft 365 que expiran. Puede establecer la expiración de:
- Todos los grupos de Microsoft 365.
- Ciertos grupos de Microsoft 365.
- Ninguno, para restringir la expiración de todos los grupos.
- Guardar la configuración cuando haya terminado seleccionando Guardar.
Nota:
- La primera vez que se configura la expiración, todos los grupos cuya antigüedad supere el intervalo de expiración se establecen en 35 días hasta la expiración, salvo que el grupo se renueve automáticamente o lo renueve el propietario.
- Cuando un grupo dinámico se elimina y restaura, se considera un nuevo grupo y se vuelve a rellenar de acuerdo con esta regla. Este proceso puede tardar hasta 24 horas.
- Los avisos de expiración de los grupos usados en Teams aparecen en la fuente Teams Owners (Propietarios de Teams).
- Al habilitar la expiración de los grupos seleccionados, puede agregar hasta 500 grupos a la lista. Si necesita agregar más de 500 grupos, puede habilitar la expiración de todos los grupos. En ese escenario, no se aplica la limitación de 500 grupos.
- Los grupos no se renuevan inmediatamente cuando se producen actividades de renovación automática. Si se produce una actividad, se coloca una marca en el grupo para indicar que está listo para la renovación cuando está a punto de expirar. Si el grupo está a punto de expirar, la renovación se produce en un plazo de 24 horas.
Notificaciones por correo electrónico
Si los grupos no se renuevan automáticamente, se envían notificaciones por correo electrónico como la del ejemplo siguiente a los propietarios de grupos de Microsoft 365 con 30 días, 15 días y 1 día de antelación a la expiración del grupo.
El idioma del correo electrónico está determinado por el idioma preferido del propietario o la configuración de idioma de Microsoft Entra. Si el propietario del grupo definió un idioma preferido o varios propietarios tienen el mismo idioma preferido, se usa ese idioma. En todos los demás casos, se utiliza la configuración de idioma de Microsoft Entra.
En el correo electrónico de notificación Renovar grupo, los propietarios de los grupos pueden acceder directamente a la página de detalles del grupo en el Panel de acceso. En él, los usuarios pueden obtener más información sobre el grupo, como su descripción, cuándo se renovó por última vez, cuándo expira y la posibilidad de renovarlo. La página de detalles del grupo ahora incluye también vínculos a los recursos de grupos de Microsoft 365, así el propietario del grupo puede ver cómodamente el contenido y la actividad de su grupo.
Importante
Si hay algún problema con los correos electrónicos de notificación y no se envían o se retrasan, tenga por seguro que Microsoft nunca elimina un grupo antes de enviar el último correo electrónico.
Cuando un grupo expira, el grupo se elimina un día después de la fecha de expiración. Se envía una notificación por correo electrónico como esta a los propietarios del grupo de Microsoft 365 donde se informa sobre la expiración y la posterior eliminación del grupo de Microsoft 365.
Puede restaurar el grupo en un plazo de 30 días a partir de su eliminación si selecciona Restaurar grupo o mediante cmdlets de PowerShell. Para obtener más información, consulte Restaurar un grupo eliminado de Microsoft 365 en Microsoft Entra ID. El período de 30 días de restauración del grupo no es personalizable.
Si el grupo que restaura contiene documentos, sitios de SharePoint u otros objetos persistentes, el proceso completo de restauración del grupo y su contenido podría demorar hasta 24 horas.
Recuperación de la fecha de expiración de un grupo de Microsoft 365
Además de usar el Panel de acceso para ver los detalles del grupo, como la fecha de expiración y la última fecha de renovación, la fecha de expiración de un grupo de Microsoft 365 se puede recuperar mediante la versión beta de la API de REST de Microsoft Graph. La propiedad de grupo expirationDateTime
está habilitada en Microsoft Graph Beta. Puede recuperarla con una solicitud GET. Para obtener más información, consulte este ejemplo.
Nota:
Para administrar las pertenencias a grupos en el Panel de acceso, la opción Restringir el acceso a grupos en el Panel de acceso debe establecerse en No en la configuración General de grupos de Microsoft Entra.
Expiración de grupos de Microsoft 365 con un buzón en suspensión legal
Cuando un grupo expira y se elimina, 30 días después de su eliminación se eliminan de forma permanente los datos del grupo de apps como Planner, Sites o Teams. El buzón de un grupo que está en suspensión legal se conserva y no se elimina permanentemente. El administrador puede usar cmdlets de Exchange para restaurar el buzón para capturar los datos.
Expiración de grupos de Microsoft 365 con una directiva de retención
Las directivas de retención se configuran en el portal de Security & Compliance. Es posible configurar una directiva de retención para grupos de Microsoft 365. Si un grupo expira y se elimina, las conversaciones del buzón de correo del grupo y los archivos del sitio del grupo se conservan en el contenedor de retención durante los días especificados en la directiva de retención. Los usuarios no verán el grupo ni su contenido después de la expiración. Pueden recuperar los datos del sitio y del buzón a través de eDiscovery.
Ejemplos de PowerShell
Estos son ejemplos de cómo puede usar cmdlets de PowerShell para configurar los valores de expiración de los grupos de Microsoft 365 en su organización de Microsoft Entra:
Instale el módulo de PowerShell de Microsoft Graph e inicie sesión en el símbolo del sistema de PowerShell.
Install-Module Microsoft.Graph -Scope CurrentUser Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Configure las opciones de expiración. Use el cmdlet New-MgGroupLifecyclePolicy para establecer la duración de todos los grupos de Microsoft 365 en la organización de Microsoft Entra en 365 días. Las notificaciones de renovación de grupos de Microsoft 365 sin propietario se envían a
emailaddress@contoso.com
.New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com ` -GroupLifetimeInDays 365 -ManagedGroupTypes All
Recupere la directiva existente mediante Get-MgGroupLifecyclePolicy. Este cmdlet recupera la configuración de expiración actual de grupos de Microsoft 365.
Get-MgGroupLifecyclePolicy
En este ejemplo, puede ver:
- El identificador de directiva.
- Las notificaciones de renovación de grupos de Microsoft 365 sin propietario se envían a
emailaddress@contoso.com
. - La duración de todos los grupos de Microsoft 365 de la organización de Microsoft Entra se establece en 365 días.
Id AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes -- --------------------------- ------------------- ----------------- 1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 emailaddress@contoso.com 365 All
Recupere la directiva existente mediante Update-MgGroupLifecyclePolicy. Este cmdlet se usa para actualizar una directiva existente. En el ejemplo siguiente, se cambia la duración del grupo de la directiva existente de 365 a 180 días.
Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
Agregue grupos específicos a la directiva mediante Add-MgGroupToLifecyclePolicy. este cmdlet agrega un grupo a la directiva de ciclo de vida. Por ejemplo:
Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"
Elimine la directiva existente mediante Remove-MgGroupLifecyclePolicy. Este cmdlet elimina la configuración de expiración del grupo de Microsoft 365, pero requiere el id. de directiva. Este cmdlet deshabilita la expiración de los grupos de Microsoft 365.
Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
Puede usar los siguientes cmdlets para configurar la directiva con más detalle. Para más información, vea la documentación sobre Microsoft Graph PowerShell.
- Get-MgGroupLifecyclePolicy
- New-MgGroupLifecyclePolicy
- Remove-MgGroupLifecyclePolicy
- Update-MgGroupLifecyclePolicy
- Add-MgGroupToLifecyclePolicy
- Remove-MgGroupFromLifecyclePolicy
- Invoke-MgRenewGroup
Pasos siguientes
Para obtener más información sobre los grupos de Microsoft Entra, consulte: