¿Qué es la administración de usuarios empresariales?
Este artículo introduce el administrador de Microsoft Entra ID, parte de Microsoft Entra, a la relación entre las tareas principales de administración de identidades de los usuarios en cuanto a sus términos, licencias, aplicaciones empresariales implementadas y roles de administrador. A medida que crece la organización, puedes usar grupos de Microsoft Entra y roles de administrador para:
- Asignar licencias a grupos en lugar de asignar licencias a usuarios individuales.
- Concesión de permisos para delegar el trabajo de administración de Microsoft Entra al personal en roles con menos privilegios.
- Asignar acceso a aplicaciones empresariales a grupos.
Asignar usuarios a grupos
Puedes usar grupos de Microsoft Entra ID para asignar licencias o las aplicaciones empresariales implementadas a un gran número de usuarios. Puedes también usar grupos para asignar todos los roles de administrador excepto el de administrador global de Microsoft Entra o puedes conceder acceso a recursos externos tales como aplicaciones de SaaS o sitios de SharePoint.
Puedes usar grupos de pertenencia dinámica en Microsoft Entra ID para expandir y contraer automáticamente los grupos de pertenencia dinámica. Los grupos dinámicos proporcionan mayor flexibilidad y reducen el trabajo de administración de los grupos de pertenencia dinámica.
Nota:
Necesitas una licencia de Microsoft Entra ID P1 para cada usuario único que sea miembro de uno o varios grupos de pertenencia dinámica.
Asignación de licencias a grupos
La administración de asignaciones de licencias de usuario individualmente requiere mucho tiempo y es propensa a errores. Si en vez de ello asignas licencias a grupos, experimentarás una administración de licencias a gran escala más sencilla.
A los usuarios de Microsoft Entra que se unen a un grupo con licencia se les asignan automáticamente las licencias correspondientes. Cuando los usuarios dejan el grupo, Microsoft Entra ID quita sus asignaciones de licencia. Sin Grupos de Microsoft Entra, tendrías que escribir un script de PowerShell o usar Graph API para agregar o quitar licencias de usuario de forma masiva para los usuarios que se unen a la organización o salen de ella. Para obtener más información sobre las operaciones masivas de grupo, consulta Carga masiva para agregar o crear miembros de un grupo.
Si no hay suficientes licencias disponibles o se produce un problema (por ejemplo, planes de servicio que no se pueden asignar al mismo tiempo), se puede ver el estado de cualquier problema de licencia del grupo en Azure Portal.
Delegación de roles de administrador
Muchas grandes organizaciones desean opciones para que sus usuarios obtengan permisos suficientes para sus tareas de trabajo sin asignar el importante rol de administrador global a, por ejemplo, los usuarios que deben registrar las aplicaciones. Este es un ejemplo de los nuevos roles de administrador de Microsoft Entra para ayudarte a distribuir el trabajo de administración de aplicaciones con una mayor especificidad:
Nombre de rol | Resumen de permisos |
---|---|
Administrador de aplicaciones | Puedes agregar y administrar aplicaciones empresariales y registros de aplicación y configurar la aplicación de proxy. Los administradores de aplicaciones pueden ver los dispositivos y las directivas de acceso condicional, pero no administrarlas. |
Administrador de aplicaciones en la nube | Puedes agregar y administrar aplicaciones empresariales y registros de aplicaciones empresariales. Este rol tiene todos los permisos del administrador de aplicaciones, salvo que no puede administrar la configuración de proxy de aplicación. |
Desarrollador de aplicaciones | Puedes agregar y actualizar registros de aplicaciones, pero no puedes administrar aplicaciones empresariales ni configurar un Application proxy. |
Se estás en proceso de agregar nuevos roles de administrador de Microsoft Entra. Visita Azure Portal o consulta la referencia de permisos del rol de administrador para conocer los roles actualmente disponibles.
Asignación de acceso a aplicaciones
Puedes usar Microsoft Entra ID para asignar acceso de grupo a las aplicaciones empresariales implementadas en la organización Microsoft Entra. Si combinas grupos de pertenencia dinámica con la asignación de grupos a aplicaciones, puedes automatizar las asignaciones de acceso a los usuarios a las aplicaciones a medida que crece la organización. Para asignar acceso a las aplicaciones empresariales, necesitarás una licencia de Microsoft Entra ID P1 o Premium P2.
Microsoft Entra ID también proporciona un control específico de los datos que fluyen entre la aplicación y los grupos a los que asigna acceso. En Aplicaciones empresariales, abre una aplicación y selecciona Aprovisionamiento para:
- Configurar el aprovisionamiento automático de las aplicaciones que lo admitan
- Proporcionar credenciales para conectarse a la API de administración del usuario de la aplicación
- Configurar las asignaciones que controlan qué atributos de usuario fluyen entre Microsoft Entra ID y la aplicación cuando se aprovisionan o actualizan las cuentas de usuario
- Iniciar y detener el servicio de aprovisionamiento de Microsoft Entra de una aplicación, borrar la caché de aprovisionamiento o reiniciar el servicio
- Ver el informe de actividad de aprovisionamiento que proporciona un registro de todos los usuarios y grupos creados, actualizados y quitados entre Microsoft Entra ID y la aplicación, y el informe de errores de aprovisionamiento que ofrece más información sobre los mensajes de error
Pasos siguientes
Si es una administrador principiante de Microsoft Entra, obtenga los conceptos básicos en Aspectos básicos de Microsoft Entra.
También, puede comenzar a crear grupos, asignar licencias, asignar acceso a la aplicación o asignar roles de administrador.