Adición de una cuenta de administrador

  • 10 minutos

Ejercicio: Agregar una cuenta de administrador

En Id. externo de Microsoft Entra, un inquilino externo representa el directorio de cuentas de consumidor e invitado. Con un rol de administrador, las cuentas de trabajo e invitado pueden administrar el inquilino.

Nota:

Necesitará al menos el rol de directorio Administrador de usuarios para crear una cuenta de administrador.

Este rol es un rol con privilegios. Lea los procedimientos recomendados para trabajar con roles con privilegios.

¿Tiene comentarios? Háganos saber cómo va su proyecto de prueba de concepto. No gustaría conocer su opinión.

Advertencia

Al crear cuentas de administrador, se recomienda asignar a los usuarios el rol con menos privilegios necesario, asegurándose de que solo tienen los permisos necesarios para completar sus tareas.

  1. Para agregar una cuenta de administrador, inicie sesión en el centro de administración de Microsoft Entra con al menos permisos de administrador de roles con privilegios y vaya a Identidad>Usuarios>Todos los usuarios. A continuación, seleccione Nuevo usuario>Crear nuevo usuario.

    Captura de pantalla de la hoja Usuarios con un botón titulado Nuevo usuario resaltado y una de las opciones de menú desplegable Crear nuevo usuario que le permite crear un nuevo usuario interno en su organización resaltado.

  2. En la página Crear nuevo usuario, escriba la siguiente información:

    • En Datos básicos, escriba información para este administrador:
      1. Nombre principal de usuario (obligatorio): el nombre de usuario del nuevo usuario. Por ejemplo, emily@woodgrovelive.com.
      2. Nombre para mostrar: el nombre del nuevo usuario. Por ejemplo, Emily Doe.
    • En Contraseña, copie la contraseña generada automáticamente proporcionada en el cuadro contraseña. Deberá proporcionar esta contraseña al administrador para iniciar sesión por primera vez.

    Captura de pantalla de la hoja Crear nuevo usuario donde se rellenan los campos obligatorios Nombre principal de usuario, Alias de correo, Nombre para mostrar y Contraseña.

  3. En Propiedades, también puede escribir un nombre y Apellidos junto con otras propiedades.

    Captura de pantalla de la hoja Crear nuevo usuario donde se selecciona una de las pestañas tituladas

  4. Para agregar permisos administrativos para el usuario, agréguelos a uno o varios de los roles de administrador en el Microsoft Entra ID. En Asignaciones, seleccione Agregar rol. A continuación, busque el rol que desea asignar a este usuario y elija Seleccionar.

    Advertencia

    Al crear cuentas de administrador, se recomienda asignar a los usuarios el rol con menos privilegios necesario, asegurándose de que solo tienen los permisos necesarios para completar sus tareas.

    Captura de pantalla de la hoja Crear nuevo usuario donde se selecciona la pestaña siguiente en la navegación del asistente denominada Asignaciones. Muestra un botón titulado Agregar rol resaltado. En el panel Roles de directorio abierto a la derecha, se resalta el rol Administrador de seguridad.

  5. Para crear la cuenta, seleccione Crear.

    Captura de pantalla de la hoja Crear nuevo usuario donde se selecciona la pestaña final en la navegación del asistente titulada Revisar y crear. Muestra información general sobre conceptos básicos, propiedades y asignaciones configurados y asignados para este usuario.

    ¡Bien hecho! El administrador se crea y se agrega al inquilino externo.

1. Creación de un usuario

Para crear un usuario, reemplace los valores siguientes en la solicitud de Microsoft Graph:

  • displayName con el nombre para mostrar del usuario.
  • mailNickname con un alias de correo para el usuario. Esta propiedad debe especificarse cuando se crea un usuario.
  • userPrincipalName con el nombre principal (UPN) del usuario. El formato general es alias@domain, donde el dominio debe estar presente en la colección de dominios comprobados del inquilino.
  • contraseña con una contraseña temporal que compartirá con el usuario. Durante el primer inicio de sesión, se le pedirá al usuario que cambie su contraseña.
Ejemplo

En el ejemplo siguiente se muestra cómo crear una cuenta de usuario para Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Copia del identificador de usuario

En la respuesta, copie el valor del identificador. Por ejemplo:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. Asignación de un rol de administrador

Una vez creado el nuevo usuario, crear una asignación de roles (unificada). En la siguiente solicitud de Microsoft Graph, reemplace:

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Ejemplo

En el ejemplo siguiente se asigna el rol de administrador de seguridad a Adele Vance.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

Proporcionar comentarios