Proteger el acceso externo con grupos en el identificador de Microsoft Entra y Microsoft 365

  • Artículo

Los grupos forman parte de cualquier estrategia de control de acceso. Puede utilizar los grupos de seguridad de Microsoft Entra y los Grupos de Microsoft 365 como base para proteger el acceso a los recursos. Use grupos para los siguientes mecanismos de control de acceso:

Los grupos tienen los siguientes roles:

  • Propietarios de grupos: administran la configuración del grupo y la pertenencia al mismo.
  • Miembros: heredan los permisos y el acceso que se han asignado al grupo.
  • Invitados: son miembros de fuera de la organización.

Antes de empezar

Este artículo es el número 4 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.

Estrategia de grupo

Para desarrollar una estrategia de grupo para proteger el acceso externo a los recursos, tenga en cuenta la posición de seguridad que desea.

Para más información, consulte Determinación de la posición de seguridad para el acceso externo.

Creación de grupos

Determine quién tiene permisos para crear grupos: administradores, empleados o usuarios externos. Considere los siguientes escenarios:

Invitaciones a grupos

Como parte de la estrategia de grupo, considere quién puede invitar a personas o agregarlas a grupos. Los miembros del grupo pueden agregar otros miembros o los propietarios pueden agregar miembros. Decida a quién se puede invitar. Los usuarios externos se pueden agregar a los grupos de forma predeterminada.

Asignar usuarios a grupos

Los usuarios se asignan a grupos de forma manual en función de los atributos de usuario del objeto de usuario, o bien con arreglo a otros criterios. Los usuarios se asignan a los grupos de forma dinámica según sus atributos. Por ejemplo, puede asignar usuarios a grupos en función de los siguientes criterios:

  • Puesto o departamento
  • Organización asociada a la que pertenecen
    • Manualmente o a través de organizaciones conectadas
  • Tipo de usuario invitado o miembro
  • Participación en un proyecto
    • Manualmente
  • Location

Los grupos dinámicos contienen usuarios o dispositivos, pero no ambos. Agregue consultas basadas en atributos de usuario para asignar usuarios al grupo dinámico. En la captura de pantalla siguiente se muestran consultas que agregan usuarios al grupo si son miembros del departamento financiero.

Screenshot of options and entries under Dynamic membership rules.

Más información: Crear o actualizar un grupo dinámico en Microsoft Entra ID

Uso de grupos para una función

Cuando utilice grupos, es importante que tengan una única función. Si se usa un grupo para otorgar acceso a los recursos, no lo use con ningún otro propósito. Se recomienda adoptar una convención de nomenclatura de grupo de seguridad que permita identificar claramente la finalidad de estos:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Tipos de grupo

Puede crear grupos de seguridad de Microsoft Entra y grupos de Microsoft 365 en Azure Portal o en el portal de administración de Microsoft 365. Use cualquier tipo de grupo para proteger el acceso externo.

Consideraciones Grupos de seguridad manuales y dinámicos de Microsoft Entra Grupos de Microsoft 365
El grupo contiene Usuarios
Grupos
Entidades de servicio
Dispositivos		 Solo usuarios
Dónde se crea el grupo Azure portal
Portal de Microsoft 365 (si está habilitado para correo electrónico)
PowerShell
Microsoft Graph
Portal del usuario final		 Portal de Microsoft 365
Azure portal
PowerShell
Microsoft Graph
Aplicaciones de Microsoft 365
De manera predeterminada, ¿quién los puede crear? Administradores
Usuarios		 Administradores
Usuarios
De manera predeterminada, ¿quién se agrega? Usuarios internos (miembros del inquilino) y usuarios invitados Miembros de inquilino e invitados de una organización
Se concede acceso a A los recursos que tiene asignados. Recursos relacionados con el grupo:
Buzón de correo, sitio, equipo, chats y otros recursos del grupo de Microsoft 365
Otros recursos a los que se agregue el grupo
Se puede usar con Acceso condicional
administración de derechos
Licencias de grupo		 Acceso condicional
administración de derechos
Etiquetas de confidencialidad

Nota

Use los grupos de Microsoft 365 para crear y administrar un conjunto de recursos Microsoft 365 (por ejemplo, Teams, junto con su contenido y sitios asociados).

Grupos de seguridad de Microsoft Entra

Los grupos de seguridad de Microsoft Entra pueden tener usuarios o dispositivos. Use estos grupos para administrar el acceso a:

  • Recursos de Azure
    • Aplicaciones de Microsoft 365
    • Aplicaciones personalizadas
    • Aplicaciones de software como servicio (SaaS), como Dropbox ServiceNow
  • Datos y suscripciones de Azure.
  • Servicios de Azure

Utilice los grupos de seguridad de Microsoft Entra para asignar:

Más información:

Nota:

Use grupos de seguridad para asignar hasta 1500 aplicaciones.

Screenshot of entries and options under New Group.

Grupo de seguridad habilitado para correo electrónico

Para crear un grupo de seguridad habilitado para el correo electrónico, vaya al Centro de administración de Microsoft 365. Habilite un grupo de seguridad para el correo durante la creación. No se puede habilitar posteriormente. No se puede crear el grupo en el Azure Portal.

Organizaciones híbridas y grupos de seguridad de Microsoft Entra

Las organizaciones híbridas disponen de infraestructura para entornos locales y Microsoft Entra ID. Las organizaciones híbridas que usan Active Directory pueden crear grupos de seguridad en el entorno local y luego los sincronizan con la nube. Por tanto, solo se pueden agregar usuarios del entorno local a los grupos de seguridad.

Importante

Proteja la infraestructura local frente al riesgo. Consulte Protección de Microsoft 365 contra ataques locales.

Grupos de Microsoft 365

Grupos de Microsoft 365 es el servicio de pertenencia para el acceso a través de Microsoft 365. Se pueden crear desde Azure Portal o el centro de administración de Microsoft 365. Al crear un grupo de Microsoft 365, se concede acceso a un grupo de recursos para la colaboración.

Más información:

Roles de Grupos de Microsoft 365

  • Propietarios del grupo
    • Adición o eliminación de miembros
    • Eliminación de conversaciones de la bandeja de entrada compartida
    • Cambio de la configuración del grupo
    • Cambio del nombre del grupo
    • Actualización de la descripción o la imagen
  • Miembros
  • Invitados
    • Son miembros de fuera de la organización
    • Tienen algunos límites para de funcionalidad en Teams

Configuración de grupos de Microsoft 365

Seleccione un alias de correo electrónico, una opción de privacidad y si desea habilitar el grupo para equipos.

Screenshot of options and entries under Edit settings.

Después de la instalación, agregue miembros y configure las opciones para el uso del correo electrónico, etc.

Pasos siguientes

Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.

  1. Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID

  2. Detección del estado actual de la colaboración externa en su organización

  3. Creación de un plan de seguridad para el acceso a recursos

  4. Acceso externo seguro con grupos en Microsoft Entra ID y Microsoft 365 (está aquí)

  5. Transición a la colaboración controlada con la colaboración B2B de Microsoft Entra

  6. Administración del acceso externo con la administración de derechos de Microsoft Entra

  7. Administración del acceso externo a los recursos mediante directivas de acceso condicional

  8. Control del acceso externo a los recursos en Microsoft Entra ID mediante etiquetas de confidencialidad

  9. Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID

  10. Conversión de cuentas de invitado locales en cuentas de invitado B2B de Microsoft Entra