Adición o eliminación automáticas de miembros de grupos

En Microsoft Entra ID, parte de Microsoft Entra, puede agregar o quitar usuarios de grupos de seguridad o grupos de Microsoft 365 automáticamente, por lo que no siempre tiene que hacerlo de forma manual. Cada vez que cambian las propiedades de un usuario o un dispositivo, Microsoft Entra ID evalúa todas las reglas de grupos dinámicos de la organización de Microsoft Entra para ver si el cambio hace que se deban agregar o quitar miembros.

En este tutorial, aprenderá a:

  • Crear un grupo de usuarios invitados de una empresa asociada, que se rellena automáticamente.
  • Asignar licencias al grupo para que los usuarios invitados puedan acceder a las características específicas del asociado.
  • Extra: proteger el grupo Todos los usuarios mediante la eliminación de los usuarios invitados para que, por ejemplo, pueda otorgar acceso a sitios internos a los usuarios miembros.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

Esta característica requiere una licencia de Microsoft Entra ID P1 o P2 como administrador global de la organización. Si no dispone de una, en Microsoft Entra ID, seleccione Licencias>Productos>Probar/Comprar.

No es necesario asignar licencias a los usuarios para que sean miembros de grupos dinámicos. Solo necesita el número mínimo de licencias Microsoft Entra ID P1 disponibles en la organización para dar cobertura a dichos usuarios.

Para crear un grupo de usuarios invitados

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

En primer lugar, creará un grupo para los usuarios invitados que proceden de una única empresa asociada. Necesitan una licencia especial, por lo que a menudo resulta más eficaz crear un grupo para este propósito.

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Grupos>Todos los grupos>Nuevo grupo.

    Screenshot of using the Select command to start a new group.

  4. En el panel Nuevo grupo:

    • Escriba un Nombre de usuario de invitado, una dirección de correo electrónico y una descripción para el grupo.
    • Cambie el valor de Tipo de pertenencia a Usuario dinámico.

    Screenshot of Group page where user enters the dynamic group details.

  5. Seleccione No hay propietarios seleccionados y, en el panel Agregar propietarios, desplácese para buscar los propietarios deseados. Haga clic en los nombres para agregar propietarios al grupo.

  6. Haga clic en Seleccionar para guardar los propietarios y cerrar el panel Agregar propietarios.

  7. Seleccione Agregar consulta dinámica en el cuadro Usuarios miembros dinámicos.

  8. En el panel Reglas de pertenencia dinámica:

    • En el campo Propiedad, haga clic en el valor existente y seleccione userType.
    • Compruebe que el campo Operador tenga seleccionada la opción Es igual a.
    • Seleccione el campo Valor y escriba Invitado.
    • Haga clic en el hipervínculo Agregar expresión para agregar otra línea.
    • En el campo Y/o , seleccione Y.
    • En el campo Propiedad, seleccionecompanyName.
    • Compruebe que el campo Operador tenga seleccionada la opción Es igual a.
    • En el campo Valor, escriba Contoso.
    • Haga clic en Obtener propiedades de extensión personalizadas para especificar un identificador de aplicación para recuperar todas las propiedades de extensión personalizadas disponibles para crear una regla.
    • Cuando haya terminado, haga clic en Guardar para cerrar Reglas de pertenencia dinámica.
  9. Para finalizar y crear el grupo, seleccione Crear en el panel Grupo.

Asignación de licencias

Ahora que tiene el nuevo grupo, puede aplicar las licencias que necesitan estos usuarios asociados.

  1. En el centro de administración de Microsoft Entra, vaya a Identidad>Facturación>Licencias>Todos los productos, seleccione una o varias licencias y, después, seleccione Grupos con licencia.

    Screenshot of Assign licenses to a new group.

  2. Busque el nombre del grupo que desea agregar y, después, seleccione Asignar.

  3. En Opciones de asignación, puede activar o desactivar los planes de servicio, incluidas las licencias que ha seleccionado. Cuando se realiza un cambio, asegúrese de hacer clic en Aceptar para guardar los cambios.

  4. Para completar la asignación, en el panel Asignar licencia, haga clic en Asignar en la parte inferior del panel.

Eliminación de los invitados del grupo Todos los usuarios

Quizás su plan administrativo final es asignar todos los usuarios invitados a sus propios grupos por empresa. Ahora también puede cambiar el grupo Todos los usuarios de modo que esté reservado solo para los usuarios miembros de la organización. A continuación, puede usarlo para asignar aplicaciones y licencias que son específicas de su organización principal.

Screenshot of using the Change all users group to members only.

Limpieza de recursos

Para eliminar el grupo de usuarios invitados

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
  2. Vaya a Grupos>Todos los grupos.
  3. Seleccione el grupo Usuarios invitados, seleccione los puntos suspensivos (...) y, después, seleccione Eliminar. Cuando se elimina el grupo, se eliminan las licencias asignadas.

Para restaurar el grupo Todos los usuarios

  1. Seleccione Identidad>Grupos>Todos los grupos. Seleccione el nombre del grupo Todos los usuarios para abrir el grupo.
  2. Seleccione Reglas de pertenencia dinámica, borre todo el texto de la regla y seleccione Guardar.

Pasos siguientes

Conceptos básicos de las licencias basadas en grupos