¿Qué es la administración de usuarios empresariales?

Este artículo introduce el administrador de Microsoft Entra ID, parte de Microsoft Entra, a la relación entre las tareas principales de administración de identidades de los usuarios en cuanto a sus términos, licencias, aplicaciones empresariales implementadas y roles de administrador. A medida que crece la organización, puede usar grupos de Microsoft Entra y roles de administrador para:

  • Asignar licencias a grupos en lugar de asignar licencias a usuarios individuales.
  • Concesión de permisos para delegar el trabajo de administración de Microsoft Entra al personal en roles con menos privilegios.
  • Asignar acceso a aplicaciones empresariales a grupos.

Asignar usuarios a grupos

Puede usar grupos de Microsoft Entra ID para asignar licencias o las aplicaciones empresariales implementadas a un gran número de usuarios. Puede también usar grupos para asignar todos los roles de administrador excepto el de administrador global de Microsoft Entra o puede conceder acceso a recursos externos tales como aplicaciones de SaaS o sitios de SharePoint.

Puede usar grupos dinámicos en Microsoft Entra ID para expandir y contraer automáticamente la pertenencia a grupos. Los grupos dinámicos proporcionan mayor flexibilidad y reducen el trabajo de administración de pertenencia a grupos.

Nota:

Necesita una licencia de Microsoft Entra ID P1 para cada usuario único que sea miembro de uno o varios grupos dinámicos.

Asignación de licencias a grupos

La administración de asignaciones de licencias de usuario individualmente requiere mucho tiempo y es propensa a errores. Si en vez de ello asigna licencias a grupos, experimentará una administración de licencias a gran escala más sencilla.

A los usuarios de Microsoft Entra que se unen a un grupo con licencia se les asignan automáticamente las licencias correspondientes. Cuando los usuarios dejan el grupo, Microsoft Entra ID quita sus asignaciones de licencia. Sin grupos de Microsoft Entra, tendría que escribir un script de PowerShell o usar Graph API para agregar o quitar licencias de usuario de forma masiva para los usuarios que se unen a la organización o salen de ella.

Si no hay suficientes licencias disponibles o se produce un problema (por ejemplo, planes de servicio que no se pueden asignar al mismo tiempo), se puede ver el estado de cualquier problema de licencia del grupo en Azure Portal.

Delegación de roles de administrador

Muchas grandes organizaciones desean opciones para que sus usuarios obtengan permisos suficientes para sus tareas de trabajo sin asignar el importante rol de administrador global a, por ejemplo, los usuarios que deben registrar las aplicaciones. Este es un ejemplo de los nuevos roles de administrador de Microsoft Entra para ayudarle a distribuir el trabajo de administración de aplicaciones con una mayor especificidad:

Nombre de rol Resumen de permisos
Administrador de aplicaciones Puede agregar y administrar aplicaciones empresariales y registros de aplicación y configurar la aplicación de proxy. Los administradores de aplicaciones pueden ver los dispositivos y las directivas de acceso condicional, pero no administrarlas.
Administrador de aplicaciones en la nube Puede agregar y administrar aplicaciones empresariales y registros de aplicaciones empresariales. Este rol tiene todos los permisos del administrador de aplicaciones, salvo que no puede administrar la configuración de proxy de aplicación.
Desarrollador de aplicaciones Puede agregar y actualizar registros de aplicaciones, pero no puede administrar aplicaciones empresariales ni configurar un proxy de aplicación.

Se está en proceso de agregar nuevos roles de administrador de Microsoft Entra. Visite Azure Portal o consulte la referencia de permisos del rol de administrador para conocer los roles actualmente disponibles.

Asignación de acceso a aplicaciones

Puede usar Microsoft Entra ID para asignar acceso de grupo a las aplicaciones empresariales implementadas en la organización Microsoft Entra. Si combina grupos dinámicos con la asignación de grupos a aplicaciones, puede automatizar las asignaciones de acceso a los usuarios a las aplicaciones a medida que crece la organización. Para asignar acceso a las aplicaciones empresariales, necesitará una licencia de Microsoft Entra ID P1 o Premium P2.

Microsoft Entra ID también proporciona un control específico de los datos que fluyen entre la aplicación y los grupos a los que asigna acceso. En Aplicaciones empresariales, abra una aplicación y seleccione Aprovisionamiento para:

  • Configurar el aprovisionamiento automático de las aplicaciones que lo admitan
  • Proporcionar credenciales para conectarse a la API de administración del usuario de la aplicación
  • Configurar las asignaciones que controlan qué atributos de usuario fluyen entre Microsoft Entra ID y la aplicación cuando se aprovisionan o actualizan las cuentas de usuario
  • Iniciar y detener el servicio de aprovisionamiento de Microsoft Entra de una aplicación, borrar la caché de aprovisionamiento o reiniciar el servicio
  • Ver el informe de actividad de aprovisionamiento que proporciona un registro de todos los usuarios y grupos creados, actualizados y quitados entre Microsoft Entra ID y la aplicación, y el informe de errores de aprovisionamiento que ofrece más información sobre los mensajes de error

Pasos siguientes

Si es una administrador principiante de Microsoft Entra, obtenga los conceptos básicos en Aspectos básicos de Microsoft Entra.

También, puede comenzar a crear grupos, asignar licencias, asignar acceso a la aplicación o asignar roles de administrador.