Delegar permisos de registro de aplicaciones en Microsoft Entra ID
En este artículo se describe cómo usar los permisos concedidos por roles personalizados de Microsoft Entra ID para satisfacer las necesidades de administración de aplicaciones. En Microsoft Entra ID puede delegar los permisos de creación y administración de aplicaciones de las siguientes maneras:
- Restricción de quién puede crear aplicaciones y administración de las aplicaciones que crean. De manera predeterminada, en Microsoft Entra ID, todos los usuarios pueden registrar aplicaciones y administrar todos los aspectos de las aplicaciones que crean. Esto se puede restringir para permitir que solo los usuarios seleccionados tengan permiso.
- Asignación de uno o varios propietarios a una aplicación. Esta es una manera sencilla de conceder a alguien la posibilidad de administrar todos los aspectos de la configuración de Microsoft Entra de una aplicación específica.
- Asignación de un rol administrativo integrado que conceda acceso para administrar la configuración de todas las aplicaciones en Microsoft Entra ID. Esta es la manera recomendada de conceder a los expertos de TI acceso para administrar amplios permisos de configuración de aplicaciones sin conceder acceso para administrar otras partes de Microsoft Entra no relacionadas con la configuración de aplicaciones.
- Creación de un rol personalizado que defina permisos muy específicos y asignación a alguien en el ámbito de una sola aplicación como propietario limitado o en el ámbito de directorio (todas las aplicaciones) como administrador limitado.
Es importante considerar la posibilidad de conceder acceso mediante uno de los métodos anteriores por dos motivos. En primer lugar, la delegación de la capacidad de desempeño de tareas administrativas reduce la sobrecarga del administrador con privilegios elevados. En segundo lugar, el uso de permisos limitados mejora su nivel de seguridad y reduce la posibilidad de accesos no autorizados. Para obtener instrucciones sobre el planeamiento de la seguridad de roles, consulte Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Microsoft Entra ID.
Restricción de quién puede crear aplicaciones
De manera predeterminada, en Microsoft Entra ID, todos los usuarios pueden registrar aplicaciones y administrar todos los aspectos de las aplicaciones que crean. Todos los usuarios tienen también la posibilidad de dar consentimiento a las aplicaciones para acceder a los datos de la empresa en su nombre. Puede decidir conceder de manera selectiva esos permisos estableciendo los modificadores globales en "No" y agregando los usuarios seleccionados al rol Desarrollador de aplicaciones.
Deshabilitar la capacidad predeterminada de crear registros de aplicación o dar consentimiento a las aplicaciones
Para deshabilitar la capacidad predeterminada de crear registros de aplicaciones o dar su consentimiento a las aplicaciones, siga estos pasos para establecer una o ambas opciones de configuración para su organización.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Usuarios>Configuración de usuarios.
Establezca la opción Usuarios pueden registrar aplicaciones en No.
Esto deshabilitará la capacidad predeterminada de los usuarios de crear registros de aplicación.
Vaya a Identidad>Aplicaciones Enterprise>Consentimiento y permisos.
Seleccione la opción No permitir el consentimiento del usuario.
Esto deshabilitará la capacidad predeterminada de los usuarios de dar su consentimiento a las aplicaciones que acceden a los datos de la compañía en su nombre.
Concesión de permisos individuales para crear y dar consentimiento a las aplicaciones cuando la capacidad predeterminada está deshabilitada
Asigne el rol Desarrollador de aplicaciones para conceder la capacidad de crear registros de aplicación cuando el valor Los usuarios pueden registrar aplicaciones esté establecido en No. Esta función también concede permiso para dar consentimiento en nombre propio cuando la opción Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre está establecida en No.
Asignación de propietarios de la aplicación
La asignación de propietarios es una manera sencilla de conceder la posibilidad de administrar todos los aspectos de la configuración de Microsoft Entra para un registro de aplicación o aplicación empresarial específicos. Para más información, consulte Asignación de propietarios de aplicaciones empresariales.
Asignar roles de administrador de aplicaciones integrados
Microsoft Entra ID dispone de un conjunto de roles de administrador integrados para conceder acceso para administrar en Microsoft Entra ID la configuración de todas las aplicaciones. Estos roles son la manera recomendada de conceder a los expertos de TI acceso para administrar amplios permisos de configuración de aplicaciones sin conceder acceso para administrar otras partes de Microsoft Entra no relacionadas con la configuración de aplicaciones.
- Administrador de aplicaciones: los usuarios con este rol pueden crear y administrar todos los aspectos de las aplicaciones empresariales, los registros de aplicaciones y la configuración del proxy de aplicación. Este rol también proporciona la capacidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, excepto Microsoft Graph. Los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.
- Administrador de aplicaciones en la nube: los usuarios con este rol tienen los mismos permisos que el rol de administrador de la aplicación, excluida la capacidad de administrar el proxy de aplicación. Los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.
Para más información y para ver la descripción de esos roles, consulte Roles integrados de Microsoft Entra.
Siga las instrucciones de la guía paso a paso Asignación de roles a usuarios con Microsoft Entra ID para asignar los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube.
Importante
Los administradores de aplicaciones y los administradores de aplicaciones en la nube pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. La aplicación puede tener permisos que sean una elevación de privilegios con respecto a los permisos del rol de administrador. Un administrador de este rol podría crear o actualizar usuarios u otros objetos durante la suplantación de la aplicación, según los permisos de la aplicación. Ningún rol concede la capacidad para administrar la configuración de acceso condicional.
Creación y asignación de un rol personalizado (versión preliminar)
La creación y la asignación de roles personalizados son pasos independientes:
- Cree una definición de rol personalizada y agréguele permisos a partir de una lista preestablecida. Estos son los mismos permisos que se usan en los roles integrados.
- Cree una asignación de roles para asignar el rol personalizado.
Esta separación le permite crear una definición de roles única y, a continuación, asignarla muchas veces en ámbitos diferentes. Un rol personalizado se puede asignar en un ámbito de toda la organización o en un ámbito de objeto en caso de que exista un único objeto de Microsoft Entra. Un ejemplo de un ámbito de objeto es un registro de aplicación único. Mediante el uso de diferentes ámbitos, se puede asignar la misma definición de roles a Sally en todos los registros de aplicaciones de la organización y, a continuación, a Naveen solo en el registro de aplicación de informes de gastos de Contoso.
Sugerencias para crear y usar roles personalizados para delegar la administración de aplicaciones:
- Los roles personalizados sólo conceden acceso en las hojas de registro de aplicaciones más actuales del centro de administración de Microsoft Entra. No conceden acceso a las hojas de registros de aplicaciones heredadas.
- Los roles personalizados no conceden acceso al centro de administración de Microsoft Entra cuando el ajuste Restringir el acceso al usuario del portal de administración Microsoft Entra está establecido en Sí.
- Los registros de aplicaciones a los que el usuario tiene acceso mediante las asignaciones de roles solo aparecen en la pestaña "Todas las aplicaciones" de la página Registro de aplicación. No aparecen en la pestaña "Aplicaciones propias".
Para más información sobre los aspectos básicos de los roles personalizados, consulte la introducción sobre los roles personalizados, y también cómo crear un rol personalizado y cómo asignar un rol.
Solución de problemas
Síntoma: acceso denegado al intentar registrar una aplicación
Al intentar registrar una aplicación en Microsoft Entra ID, recibirás un mensaje similar al siguiente:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
Causa
No se puede registrar la aplicación en el directorio porque el administrador de directorios tiene restringido quién puede crear aplicaciones.
Solución
Ponte en contacto con el administrador para realizar una de las siguientes acciones:
- Otorgarle permisos para crear y dar su consentimiento a las aplicaciones asignándole el rol de desarrollador de aplicaciones.
- Crea el registro de la aplicación para ti y asígnate como propietario de la aplicación.