Asignación de roles de Azure a usuarios invitados externos mediante Azure Portal

El control de acceso basado en rol (RBAC) de Azure permite una mejor administración de la seguridad para organizaciones grandes y para PYMES que trabajan con colaboradores externos, proveedores o autónomos que necesitan tener acceso a recursos específicos de su entorno, pero no necesariamente a toda la infraestructura ni a los ámbitos relacionados con la facturación. Puede usar las funcionalidades de Azure Active Directory B2B para colaborar con usuarios invitados externos y puede usar RBAC para conceder solo los permisos que los usuarios invitados necesitan en su entorno.

Requisitos previos

Para asignar roles de Azure o quitar asignaciones de roles, debe tener:

• Permisos Microsoft.Authorization/roleAssignments/write y Microsoft.Authorization/roleAssignments/delete, como Administrador de acceso de usuarios o propietario

¿Cuándo invitará a los usuarios invitados?

A continuación se describen algunos escenarios de ejemplo en los que podría invitar a usuarios invitados a su organización y concederles permisos:

• Permitir que un proveedor externo por cuenta propia que solo tiene una cuenta de correo electrónico acceda a los recursos de Azure para la realización de un proyecto
• Permitir que un asociado externo administre determinados recursos o una suscripción completa.
• Permitir que los ingenieros del servicio de soporte técnico que no están en su organización (por ejemplo, el soporte técnico de Microsoft) accedan temporalmente a los recursos de Azure para solucionar problemas

Diferencias de permisos entre usuarios miembros y usuarios invitados

Los miembros nativos de un directorio (usuarios miembros) tienen permisos diferentes que los usuarios invitados de otro directorio como invitado de colaboración B2B (usuarios invitados). Por ejemplo, los usuarios miembros puede leer casi toda la información del directorio, mientras que los usuarios invitados tienen permisos de directorio restringidos. Para más información sobre los usuarios miembros y los usuarios invitados, consulte ¿Cuales son los permisos de usuario predeterminados en Azure Active Directory?.

Adición de un usuario invitado a su directorio

Siga estos pasos para agregar un usuario invitado a su directorio mediante la página de Azure Active Directory.

1. Inicie sesión en Azure Portal.

2. Asegúrese de que la configuración de colaboración externa de la organización se configure de forma que le permita invitar a otros usuarios. Para más información, consulte Configuración de la colaboración externa.

3. Haga clic en Azure Active Directory>Usuarios>Nuevo usuario invitado.

   

4. Siga los pasos para agregar un nuevo usuario invitado. Para más información, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.

Después de agregar un usuario invitado al directorio, puede enviarle un vínculo directo a una aplicación compartida, o bien, el propio usuario invitado puede hacer clic en el vínculo de aceptación de la invitación en el correo electrónico de invitación.

Para que el usuario invitado pueda acceder a su directorio, debe completar el proceso de invitación.

Para más información sobre el proceso de invitación, consulte Canje de invitación de colaboración B2B de Azure Active Directory.

Asignación de un rol a un usuario invitado

En RBAC, para conceder acceso es preciso asignar un rol. Para asignar un rol a un usuario invitado, siga los mismos pasos que para un usuario, un grupo, una entidad de servicio o una identidad administrada miembro. Siga estos pasos para asignar un rol a un usuario invitado en distintos ámbitos.

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior, busque el ámbito al que quiere conceder acceso. Por ejemplo, busque Grupos de administración, Suscripciones, Grupos de recursos o un recurso específico.

3. Haga clic en el recurso específico de ese ámbito.

4. Haga clic en Control de acceso (IAM).

   A continuación se muestra un ejemplo de la página Control de acceso (IAM) de un grupo de recursos.

   

5. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

6. Haga clic en Agregar>Agregar asignación de roles.

   Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

   

   Se abre la página Agregar asignación de roles.

7. En la pestaña Rol, seleccione un rol como Colaborador de la máquina virtual.

   

8. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio.

   

9. Haga clic en Seleccionar miembros.

10. Busque y seleccione el usuario invitado. Si no ve el usuario en la lista, puede escribir en el cuadro Seleccionar a fin de buscar nombres para mostrar y direcciones de correo electrónico en el directorio.

    Puede escribir en el cuadro Seleccionar para buscar en el directorio por nombres para mostrar o direcciones de correo electrónico.

    

11. Haga clic en Seleccionar para agregar al usuario invitado a la lista Miembros.

12. En la pestaña Revisar y asignar, haga clic en Revisar y asignar.

    Transcurridos unos instantes, al usuario invitado se le asigna el rol en el ámbito seleccionado.

    

Asignación de un rol a un usuario invitado que todavía no está en el directorio

Para asignar un rol a un usuario invitado, siga los mismos pasos que para un usuario, un grupo, una entidad de servicio o una identidad administrada miembro.

Si el usuario invitado todavía no está en el directorio, puede invitarlo directamente desde el panel Seleccionar miembros.

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior, busque el ámbito al que quiere conceder acceso. Por ejemplo, busque Grupos de administración, Suscripciones, Grupos de recursos o un recurso específico.

3. Haga clic en el recurso específico de ese ámbito.

4. Haga clic en Control de acceso (IAM).

5. Haga clic en Agregar>Agregar asignación de roles.

   Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

   

   Se abre la página Agregar asignación de roles.

6. En la pestaña Rol, seleccione un rol como Colaborador de la máquina virtual.

7. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio.

   

8. Haga clic en Seleccionar miembros.

9. En el cuadro Seleccionar, escriba la dirección de correo electrónico de la persona a la que quiera invitar y seleccione esa persona.

   

10. Haga clic en Seleccionar para agregar al usuario invitado a la lista Miembros.

11. En la pestaña Review + assign (Revisar y asignar), haga clic en Review + assign (Revisar y asignar) para agregar el usuario invitado al directorio, asignar el rol y enviar una invitación.

    Transcurridos unos instantes, verá una notificación de la asignación de roles e información sobre la invitación.

    

12. Para invitar manualmente al usuario invitado, haga clic con el botón derecho y copie el vínculo de invitación de la notificación. No haga clic en el vínculo de invitación porque eso inicia el proceso de invitación.

    El vínculo de invitación tendrá el siguiente formato:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

13. Envíe el vínculo de invitación al usuario invitado para completar el proceso de invitación.

    Para más información sobre el proceso de invitación, consulte Canje de invitación de colaboración B2B de Azure Active Directory.

Eliminación de un usuario invitado del directorio

Antes de eliminar un usuario invitado de un directorio, primero debe eliminar las asignaciones de roles de dicho usuario invitado. Siga estos pasos para eliminar un usuario invitado de un directorio.

1. Abra Control de acceso (IAM) en un ámbito como, por ejemplo, grupo de administración, suscripción, grupo de recursos o recurso, en el que el usuario invitado tenga una asignación de roles.

2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles.

3. En la lista de asignaciones de roles, agregue una marca de verificación junto al usuario invitado con la asignación de roles que quiera eliminar.

   

4. Haga clic en Quitar.

   

5. En el mensaje de eliminación de asignación de roles que aparece, haga clic en Sí.

6. En la barra de navegación izquierda, haga clic en Azure Active Directory>Usuarios.

7. Haga clic en el usuario invitado que desea eliminar.

8. Haga clic en Eliminar.

   

9. En el mensaje de eliminación que aparece, haga clic en Sí.

Solución de problemas

El usuario invitado no puede examinar el directorio

Los usuarios invitados tienen permisos de directorio restringidos. Por ejemplo, los usuarios invitados no pueden examinar el directorio y no pueden buscar grupos o aplicaciones. Para más información, consulte ¿Cuáles son los permisos de usuario predeterminados en Azure Active Directory?.

Si un usuario invitado necesita privilegios adicionales en el directorio, puede asignarle un rol de Azure AD. Si realmente desea que un usuario invitado tenga acceso de lectura completo al directorio, puede agregar el usuario invitado al rol Lectores de directorio en Azure AD. Para más información, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.

El usuario invitado no puede examinar usuarios, grupos o entidades de servicio para asignar roles

Los usuarios invitados tienen permisos de directorio restringidos. Incluso si un usuario invitado es Propietario en un ámbito, si intenta asignar un rol para conceder acceso a otra persona, no podrá examinar la lista de usuarios, grupos ni entidades de servicio.

Si el usuario invitado conoce el nombre de inicio de sesión exacto de alguien del directorio, puede conceder acceso. Si realmente desea que un usuario invitado tenga acceso de lectura completo al directorio, puede agregar el usuario invitado al rol Lectores de directorio en Azure AD. Para más información, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.

El usuario invitado no puede registrar aplicaciones ni crear entidades de servicio

Los usuarios invitados tienen permisos de directorio restringidos. Si un usuario invitado necesita poder registrar aplicaciones o crear entidades de servicio, puede agregar el usuario invitado al rol Desarrollador de aplicaciones en Azure AD. Para más información, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.

El usuario invitado no ve el nuevo directorio

Si a un usuario invitado se le ha concedido acceso a un directorio, pero no ve el nuevo directorio en Azure Portal cuando intenta cambiar en su página Directorios, asegúrese de que el usuario invitado haya completado el proceso de invitación. Para más información sobre el proceso de invitación, consulte Canje de invitación de colaboración B2B de Azure Active Directory.

El usuario invitado no ve los recursos

Si a un usuario invitado se le ha concedido acceso a un directorio, pero no ve los recursos a los que se le ha concedido acceso en Azure Portal, asegúrese de que el usuario invitado ha seleccionado el directorio correcto. Un usuario invitado podría tener acceso a varios directorios. Para cambiar de directorio, en la parte superior izquierda, haga clic en Configuración>Directorios y después en el directorio adecuado.

Pasos siguientes

• Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal
• Propiedades de un usuario de colaboración B2B de Azure Active Directory
• Elementos del correo electrónico de invitación para la colaboración B2B: Azure Active Directory
• Adición de un usuario invitado como coadministrador