Compartir vía

Adición y administración de cuentas de administrador

  • Artículo

Se aplica a:Círculo blanco con un símbolo X gris. inquilinos de personal Círculo verde con un símbolo de marca de verificación blanca. inquilinos externos (más información)

En Id. externo de Microsoft Entra, un inquilino externo representa el directorio de cuentas de consumidor e invitado. Con el rol Administrador, las cuentas de trabajo e invitados pueden administrar el inquilino.

Requisitos previos

  • Si aún no ha creado su propio inquilino externo de Microsoft Entra, cree uno ahora.
  • Comprender las cuentas de usuario en id. externa de Microsoft Entra.
  • Conocer el uso de roles para controlar el acceso a los recursos.

Adición de una cuenta de administrador

Siga estos pasos para crear una nueva cuenta de usuario y para conceder permisos de administrador a la cuenta agregando un rol de Microsoft Entra. (Aquí solo se describen los pasos necesarios. Para obtener una descripción completa de todas las propiedades, consulte el artículo Microsoft Entra ID How to create users.)

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Vaya aIdentidad>Usuarios>Todos los usuarios.

  4. Seleccione Nuevo usuario>Crear nuevo usuario.

  5. En la pestaña Aspectos básicos, en Identidad, escriba información para este administrador:

    • Nombre principal de usuario: escriba un nombre de usuario único y seleccione un dominio en el menú después del símbolo @ .
    • Nombre para mostrar: escriba el nombre del usuario, como Chris Green o Chris A. Green.
    • contraseña: copie la contraseña generada automáticamente o desactive la opción Generar contraseña automáticamente y escriba otra contraseña. Debe proporcionar esta contraseña al administrador para iniciar sesión por primera vez.

  6. Seleccione la pestaña Asignaciones y siga estos pasos para asignar un rol al usuario. (Agregar un grupo es opcional).

    • Seleccione + Agregar rol.
    • En el menú que aparece, elija hasta 20 roles de la lista. Puede asignar el usuario a uno o varios de los roles de administrador en el Microsoft Entra ID.
    • Seleccione el botón Seleccionar.

  7. Seleccione el botón Revisar y crear.

El administrador se crea y se agrega al inquilino externo.

Invitación a un administrador (cuenta de invitado)

También puede invitar a un nuevo usuario invitado para administrar el inquilino. Para invitar a un nuevo usuario invitado con permisos de administrador, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Vaya aIdentidad>Usuarios>Todos los usuarios.

  4. Seleccione Nuevo usuario>Invitar a un usuario externo (versión preliminar).

  5. En la pestaña Aspectos básicos, introduzca la información del usuario:

    • Correo electrónico. Requerido. Dirección de correo electrónico del usuario al que quiera invitar.
    • Nombre para mostrar. Nombre y apellidos del nuevo usuario. Por ejemplo, Mary Parker.
    • En el mensaje de invitación:
      • Active la casilla Enviar mensaje de invitación si desea enviar el correo electrónico de invitación al usuario. De lo contrario, desactive la casilla.
      • En el Mensaje de, agregue un mensaje personalizado para incluir en el correo electrónico de invitación.
      • Para enviar una copia del correo electrónico de invitación a alguien, agregue su dirección de correo electrónico en el campo de texto destinatario Cc.
      • La URL de redireccionamiento de la invitación se establece predeterminadamente en MyApplications, que es donde se redirige al usuario cuando canjea la invitación. Puede cambiarla a una dirección URL diferente.

  6. Seleccione la pestaña Asignaciones y siga estos pasos para asignar un rol al usuario. (Agregar un grupo es opcional).

    • Seleccione + Agregar rol.
    • En el menú que aparece, elija hasta 20 roles de la lista. Puede asignar el usuario a uno o varios de los roles de administrador en el Microsoft Entra ID.
    • Seleccione el botón Seleccionar.

  7. Seleccione el botón Revisar e invitar.

Se envía un correo electrónico de invitación al usuario. El usuario debe aceptar la invitación para poder iniciar sesión.

Cambiar o agregar una asignación de roles

Puede asignar un rol al crear un usuario o al invitar a un usuario externo. Puede agregar un rol, cambiarlo o quitarlo para un usuario:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya aIdentidad>Usuarios>Todos los usuarios.
  4. Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
  5. Seleccione Agregar asignaciones, seleccione el rol que se va a asignar (por ejemplo, administrador de aplicaciones) y elija Agregar.

Eliminación de una asignación de rol

Si necesita quitar una asignación de roles de un usuario, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya aIdentidad>Usuarios>Todos los usuarios.
  4. Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
  5. Seleccione el rol que desea quitar, por ejemplo, administrador de aplicacionesy, a continuación, seleccione Quitar asignación.

Revisión de las asignaciones de roles de la cuenta de administrador

Como parte de un proceso de auditoría, normalmente se revisa qué usuarios tienen asignados roles específicos en el directorio del cliente. Siga estos pasos para auditar qué usuarios tienen asignados roles con privilegios actualmente.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya a Identidad>Roles y administradores>Roles y administradores.
  4. Seleccione un rol, como administrador de usuarios. En la página Asignaciones, se muestran los usuarios que tienen dicho rol.

Eliminación de una cuenta de administrador

Para eliminar un usuario existente, debe tener al menos la administrador de usuarios asignación de roles. Administradores de autenticación con privilegios puede eliminar cualquier usuario, incluidos otros administradores. Los administradores de usuarios pueden eliminar cualquier usuario que no sea administrador.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo un administradores de autenticación con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya aIdentidad>Usuarios>Todos los usuarios.
  4. Seleccione el usuario que quiere eliminar.
  5. Seleccione Eliminar y, después, para confirmar la eliminación.

El usuario se elimina y ya no aparece en la página Todos los usuarios. El usuario se puede ver en la página Usuarios eliminados durante los próximos 30 días y puede restaurarse durante ese tiempo. Para obtener más información sobre cómo restaurar un usuario, consulte Restaurar o eliminar un usuario eliminado recientemente mediante Microsoft Entra ID.

Protección de cuentas administrativas

Se recomienda proteger todas las cuentas de administrador con autenticación multifactor (MFA) para obtener más seguridad. MFA es un proceso de comprobación de identidad durante el inicio de sesión que solicita al usuario un código de acceso de un solo uso.

Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "romper el vidrio" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.