Garantizar el acceso seguro con la lista de control de acceso

  • 3 minutos

En esta unidad, aprenderá a asegurarse de que el contenido externo que importa a Microsoft 365 solo es accesible para personas con privilegios.

Importación de contenido externo con permisos correctos

La información que se almacena fuera de Microsoft 365 es accesible para todos los usuarios de la organización o solo para un grupo de personas seleccionado. Los permisos para acceder al contenido externo se almacenan en el sistema externo.

Al importar contenido mediante conectores de Microsoft Graph, se recupera el contenido y sus permisos del sistema externo. Con esta información, para cada fragmento de contenido que importe, creará una lista de control de acceso (ACL) e la incluirá con el elemento al importarla a Microsoft 365.

Diagrama que muestra cómo funciona un conector personalizado de Microsoft Graph.

La configuración del permiso en el contenido importado le permite asegurarse de que solo los usuarios especificados en el sistema externo puedan acceder a él. Al importar contenido externo mediante conectores de Graph, tiene varias opciones para asegurarse de que sea accesible por el mismo grupo de personas que pueden acceder a él en el sistema externo.

Anatomía de una lista de control de acceso

Una lista de control de acceso es una matriz de entradas de control de acceso. Cada entrada consta de tres elementos:

  1. Tipo de acceso, que especifica si la entrada es para conceder o denegar el acceso al fragmento de contenido.
  2. Tipo, que especifica el tipo de entidad descrito por la entrada. Puede ser:
    1. un usuario de Microsoft Entra,
    2. un grupo de Microsoft Entra,
    3. todos los usuarios de su inquilino,
    4. todos excepto los usuarios invitados,
    5. un grupo externo (es decir, un grupo definido en el sistema externo)
  3. Valor, que identifica la entidad descrita por la entrada.

Diagrama de una vista esquemática de una lista de control de acceso.

Importante

Cada elemento importado debe incluir al menos una entrada de control de acceso. También puede incluir varias entradas para que varios grupos de personas puedan acceder al elemento.

Echemos un vistazo a algunos escenarios comunes de cómo garantizaría el acceso correcto al contenido importado.

Escenario 1: Importación de contenido disponible para todos los usuarios de la organización

Uno de los escenarios más comunes es importar contenido externo que está disponible para todos los usuarios de la organización. Si va a importar dicho contenido, puede usar la siguiente entrada de control de acceso en todos los elementos de contenido:

  • Tipo de acceso: grant
  • Tipo: Todos
  • Valor: Todos

Escenario 2: Importación de contenido disponible solo para un grupo específico de personas de un sistema externo con inicio de sesión único con Microsoft 365

Si el sistema externo tiene inicio de sesión único con Microsoft 365, el contenido externo se protege con usuarios y grupos de Microsoft Entra ID (anteriormente Azure Active Directory). En tales casos, puede definir entradas de control de acceso, de tipo Usuario (si se hace referencia a usuarios de Entra únicos) o Grupo (cuando se hace referencia a grupos Entra). Configure el valor para que haga referencia al identificador de objeto del usuario o grupo de Microsoft Entra, por ejemplo:

  • Tipo de acceso: grant
  • Tipo: Group
  • Valor: 12345678-1234-1234-1234-123456789012

Escenario 3: Importación de contenido disponible solo para un grupo específico de personas desde un sistema externo sin inicio de sesión único con Microsoft 365

Si va a importar contenido de un sistema que protege el contenido mediante sus propios usuarios y grupos, puede proteger correctamente el contenido importado y hacer que esté disponible solo para las personas correctas. En tal caso, se definen grupos externos, que se usan para proteger el contenido importado. Estos grupos reflejan las pertenencias definidas en el sistema externo, pero hacen referencia a usuarios y grupos de Microsoft Entra u otros grupos externos.

Mantener sincronizados los permisos externos y las listas de control de acceso

El sistema externo desde el que importa contenido a Microsoft 365 contiene la referencia principal de permisos y quién tiene acceso a qué contenido. Al compilar conectores de Microsoft Graph, debe sincronizar estos permisos con el contenido importado a Microsoft 365 para garantizar su seguridad.

Si el sistema externo genera un evento cuando cambian los permisos, puede actualizarlos inmediatamente en el contenido externo importado a Microsoft 365. Si el sistema externo no admite eventos, se crea un proceso en ejecución con frecuencia que examina los permisos modificados y los actualiza en consecuencia. Debe incluir la capacidad de actualizar los permisos a petición, lo que le permite actualizar de forma instantánea los permisos si surge tal necesidad.