Adición y administración de cuentas de administrador
Se aplica a: inquilinos de personal inquilinos externos (más información)
En Id. externo de Microsoft Entra, un inquilino externo representa el directorio de cuentas de consumidor e invitado. Con el rol Administrador, las cuentas de trabajo e invitados pueden administrar el inquilino.
Requisitos previos
- Si aún no ha creado su propio inquilino externo de Microsoft Entra, cree uno ahora.
- Comprender las cuentas de usuario en id. externa de Microsoft Entra.
- Conocer el uso de roles para controlar el acceso a los recursos.
Adición de una cuenta de administrador
Para crear una nueva cuenta de administrador, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
Vaya aIdentidad>Usuarios>Todos los usuarios.
Seleccione Nuevo usuario>Crear nuevo usuario.
En la página Nuevo usuario, en Seleccionar plantilla, elija Crear usuario.
En Identidad, escriba la información de este administrador:
- Nombre de usuario. Requerido. Nombre de usuario del nuevo usuario. Por ejemplo,
mary@contoso.com
. - Nombre. Requerido. Nombre y apellidos del nuevo usuario. Por ejemplo, Mary Parker.
- Nombre. Nombre del nuevo usuario. Por ejemplo, Mary.
- Apellidos. Apellidos del nuevo usuario. Por ejemplo, Parker.
- Grupos. Opcional. Puede agregar el usuario a uno o más grupos existentes. También puede agregar el usuario a grupos en un momento posterior.
- Roles: Para agregar permisos administrativos para el usuario, agréguelo a un rol de Microsoft Entra. Puede asignar el usuario a uno o varios de los roles de administrador en el Microsoft Entra ID.
- Configuración: use el botón de alternancia Sí o No para establecer Bloquear inicio de sesión y seleccione la ubicación principal del administrador en la lista Ubicación de uso.
- Información del trabajo. Puede agregar más información sobre el usuario aquí o hacerlo más adelante.
- Nombre de usuario. Requerido. Nombre de usuario del nuevo usuario. Por ejemplo,
Copie la contraseña generada automáticamente proporcionada en el cuadro de texto Contraseña. Deberá proporcionar esta contraseña al administrador para iniciar sesión por primera vez.
Seleccione Crear.
El administrador se crea y se agrega al inquilino externo.
Invitación a un administrador (cuenta de invitado)
También puede invitar a un nuevo usuario invitado para administrar el inquilino. Para invitar a un administrador, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
Vaya aIdentidad>Usuarios>Todos los usuarios.
Seleccione Nuevo usuario>Invitar a un usuario externo.
En la página Nuevo usuario, en Seleccionar plantilla, elija Invitar usuario.
En Identidad, escriba la información del administrador:
- Nombre. Requerido. Nombre y apellidos del nuevo usuario. Por ejemplo, Mary Parker.
- Dirección de correo electrónico. Requerido. Dirección de correo electrónico del usuario al que quiera invitar.
- Nombre. Nombre del nuevo usuario. Por ejemplo, Mary.
- Apellidos. Apellidos del nuevo usuario. Por ejemplo, Parker.
- Mensaje personal: agregue un mensaje personal que se incluirá en el correo electrónico de invitación.
- Grupos. Opcional. Puede agregar el usuario a uno o más grupos existentes. También puede agregar el usuario a grupos en un momento posterior.
- Roles: Para agregar permisos administrativos para el usuario, agréguelo a un rol de Microsoft Entra. Puede asignar el usuario a uno o varios de los roles de administrador en el Microsoft Entra ID.
- Configuración: use el botón de alternancia Sí o No para establecer Bloquear inicio de sesión y seleccione la ubicación principal del administrador en la lista Ubicación de uso.
- Información del trabajo. Puede agregar más información sobre el usuario aquí o hacerlo más adelante.
Seleccione Invitar.
Se envía un correo electrónico de invitación al usuario. El usuario debe aceptar la invitación para poder iniciar sesión.
Adición de una asignación de roles
Puede asignar un rol al crear un usuario o al invitar a un usuario externo. Puede agregar un rol, cambiarlo o quitarlo para un usuario:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
- Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
- Seleccione Agregar asignaciones, seleccione el rol que se va a asignar (por ejemplo, administrador de aplicaciones) y elija Agregar.
Eliminación de una asignación de rol
Si necesita quitar una asignación de roles de un usuario, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
- Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
- Seleccione el rol que desea quitar, por ejemplo, administrador de aplicacionesy, a continuación, seleccione Quitar asignación.
Revisión de las asignaciones de roles de la cuenta de administrador
Como parte de un proceso de auditoría, normalmente se revisa qué usuarios tienen asignados roles específicos en el directorio del cliente. Siga estos pasos para auditar qué usuarios tienen asignados roles con privilegios actualmente.
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
- Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Vaya a Identidad>Roles y administradores>Roles y administradores.
- Seleccione un rol, como administrador de usuarios. En la página Asignaciones, se muestran los usuarios que tienen dicho rol.
Eliminación de una cuenta de administrador
Para eliminar un usuario existente, debe tener al menos la administrador de usuarios asignación de roles. Administradores de autenticación con privilegios puede eliminar cualquier usuario, incluidos otros administradores. Los administradores de usuarios pueden eliminar cualquier usuario que no sea administrador.
- Inicie sesión en el Centro de administración de Microsoft Entra como mínimo un administradores de autenticación con privilegios.
- Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione el usuario que quiere eliminar.
- Seleccione Eliminar y, después, Sí para confirmar la eliminación.
El usuario se elimina y ya no aparece en la página Todos los usuarios. El usuario se puede ver en la página Usuarios eliminados durante los próximos 30 días y puede restaurarse durante ese tiempo. Para obtener más información sobre cómo restaurar un usuario, consulte Restaurar o eliminar un usuario eliminado recientemente mediante Microsoft Entra ID.
Protección de cuentas administrativas
Se recomienda proteger todas las cuentas de administrador con autenticación multifactor (MFA) para mayor seguridad. MFA es un proceso de comprobación de identidad durante el inicio de sesión que solicita al usuario un código de acceso de un solo uso.
Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "romper el vidrio" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.