Configurar la administración de grupos de autoservicio en Microsoft Entra ID
Puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Microsoft 365 en Microsoft Entra ID. El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y delegar el control de la pertenencia a grupos. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución.
Pertenencia a grupos de autoservicio
Puede permitir que los usuarios creen grupos de seguridad, los cuales se usan para administrar el acceso a los recursos compartidos. Los usuarios pueden crear grupos de seguridad en Azure Portal, mediante PowerShell para Azure Active Directory (Azure AD) o desde el panel de acceso a grupos de Aplicaciones.
Importante
Está previsto que PowerShell de Azure AD quede en desuso el 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). PowerShell de Microsoft Graph permite acceder a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas comunes sobre migración, consulte las preguntas más frecuentes sobre la migración.
Solo los propietarios del grupo pueden actualizar la pertenencia, pero puede proporcionarles la capacidad de aprobar o denegar las solicitudes de pertenencia desde el panel de acceso a grupos de Aplicaciones. Los grupos de seguridad creados con autoservicio mediante el panel de acceso a grupos de Aplicaciones están disponibles para que se unan todos los usuarios, tanto los aprobados por el propietario como los aprobados automáticamente. En el panel de acceso a grupos de Aplicaciones, puede cambiar las opciones de pertenencia al crear el grupo.
Los grupos de Microsoft 365 proporcionan oportunidades de colaboración a los usuarios. Puede crear grupos en cualquiera de las aplicaciones de Microsoft 365, tales como SharePoint, Microsoft Teams y Planner. También puede crear grupos de Microsoft 365 en Azure Portal, mediante PowerShell de Microsoft Graph o desde el panel de acceso a grupos de Aplicaciones. Para obtener más información sobre la diferencia entre los grupos de seguridad y los grupos de Microsoft 365, consulte más información sobre los grupos.
| Grupos creados en | Comportamiento predeterminado del grupo de seguridad | Comportamiento predeterminado del grupo de Microsoft 365 |
|---|---|---|
| PowerShell de Microsoft Graph | Solo los propietarios pueden agregar miembros. Visible pero no disponible para unirse en el panel de acceso a grupos de Aplicaciones. |
Abierto para que todos los usuarios se unan. |
| Azure Portal | Solo los propietarios pueden agregar miembros. Visible pero no disponible unirse en el panel de acceso a grupos de Aplicaciones. El propietario no se asigna automáticamente durante la creación del grupo. |
Abierto para que todos los usuarios se unan. |
| Panel de acceso a grupos de Aplicaciones | Abierto para que todos los usuarios se unan. Las opciones de pertenencia se pueden cambiar cuando se crea el grupo. |
Abierto para que todos los usuarios se unan. Las opciones de pertenencia se pueden cambiar cuando se crea el grupo. |
Escenarios de administración de grupos de autoservicio
Hay dos escenarios que ayudan a explicar la administración de grupos de autoservicio.
Administración de grupos delegados
En este escenario de ejemplo, un administrador administra el acceso a una aplicación de software como servicio (SaaS) que usa su empresa. La administración de los derechos de acceso es compleja, por lo que el administrador solicita al propietario de la empresa la creación de un nuevo grupo. El administrador asigna al nuevo grupo acceso a la aplicación y le agrega todas las personas que ya acceden a la aplicación. Luego, el propietario de la empresa puede agregar más usuarios, y dichos usuarios se aprovisionan automáticamente en la aplicación.
No es preciso que el propietario espere a que el administrador administre el acceso de los usuarios. Si el administrador concede el mismo permiso a un administrador de otro grupo de negocios, esa persona también puede administrar el acceso de sus propios usuarios. Ni el propietario de la empresa ni el administrador pueden ver ni administrar la pertenencia a grupos del otro. El administrador sigue viendo a todos los usuarios que tienen acceso a la aplicación y puede bloquear los derechos de acceso si es necesario.
Self-service group management (Administración de grupos de autoservicio)
En este escenario de ejemplo, dos usuarios tienen sitios de SharePoint Online configurados de forma independiente. Ellos quieren dar al equipo del otro acceso a sus sitios. Para realizar esta tarea, pueden crear un grupo en Microsoft Entra ID. En SharePoint Online, cada uno de ellos selecciona ese grupo para proporcionar acceso a sus sitios.
Cuando alguien quiere acceder, lo solicita desde el Panel de acceso a grupos de Aplicaciones. Después de la aprobación, se obtiene acceso a ambos sitios de SharePoint Online automáticamente. Posteriormente, uno de ellos decide que todas las personas que accedan a su sitio también deben obtener acceso a una aplicación SaaS concreta. El administrador de la aplicación SaaS puede agregar derechos de acceso a la aplicación en el sitio de SharePoint Online. Desde ese momento, todas las solicitudes aprobadas dan acceso tanto a los dos sitios de SharePoint Online como a la aplicación SaaS.
Puesta a disposición de un grupo para el autoservicio del usuario
Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
Seleccione Microsoft Entra ID.
Seleccione Todos los grupos>Grupos y, a continuación, seleccione el valor General.
Nota:
Esta configuración solo restringe el acceso a la información de grupo en Mis grupos. No restringe el acceso a la información de grupo a través de otros métodos, tales como llamadas a la API de Microsoft Graph o el Centro de administración Microsoft Entra.
Nota:
En junio de 2024, la configuración Restringir el acceso de los usuarios a Mis grupos cambiará a Restringir la capacidad de los usuarios para ver y editar grupos de seguridad en Mis grupos. Si la configuración está establecida actualmente en Sí, los usuarios finales podrán acceder a Mis grupos en junio de 2024, pero no podrán ver los grupos de seguridad.
Establezca Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso en Sí.
Establezca Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso en No.
Establezca Los usuarios pueden crear grupos de seguridad en los portales de Azure, la API o PowerShell en Sí o No.
Para obtener más información sobre esta configuración, consulte Configuración de grupo.
Establezca Los usuarios pueden crear grupos de Microsoft 365 en los portales de Azure, la API o PowerShell en Sí o No.
Para obtener más información sobre esta configuración, consulte Configuración de grupo.
También puede usar Owners who can assign members as group owners in the Azure portal (Los propietarios pueden asignar miembros como propietarios de grupos en Azure Portal) para conseguir un control más pormenorizado sobre la administración de grupos de autoservicio para los usuarios.
Cuando los usuarios pueden crear grupos, todos los usuarios de su organización tienen la capacidad de crear nuevos grupos. Como propietarios predeterminados, pueden agregar miembros a estos grupos. No puede especificar a personas que puedan crear sus propios grupos. Solo puede especificar a personas para convertir a otro miembro del grupo en propietario del grupo.
Nota:
Se requiere una licencia de Microsoft Entra ID Premium1 o 2 para que los usuarios puedan solicitar unirse a un grupo de seguridad o a un grupo de Microsoft 365 y para que los propietarios puedan aprobar o denegar las solicitudes de pertenencia. Sin una licencia P1 o P2 de Microsoft Entra ID, los usuarios pueden administrar sus grupos en el Panel de acceso a grupos de Aplicaciones. Sin embargo, no pueden crear un grupo que requiera aprobación del propietario ni solicitar unirse a un grupo.
Configuración de grupo
La configuración de grupo permite controlar quién puede crear grupos de seguridad y de Microsoft 365.
La tabla siguiente le ayudará a decidir qué valores elegir.
| Configuración | Value | Efecto en el inquilino |
|---|---|---|
| Se pueden crear grupos de seguridad en Azure Portal, la API o PowerShell. | Sí | Todos los usuarios de la organización de Microsoft Entra ID pueden crear nuevos grupos de seguridad y agregar miembros a estos grupos en Azure Portal, la API o PowerShell. Estos grupos nuevos también se muestran en el Panel de acceso para el resto de usuarios. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos. |
| No | Los usuarios no pueden crear grupos de seguridad. Todavía pueden administrar la pertenencia a grupos de los que son propietarios y aprobar las solicitudes de otros usuarios para unirse a sus grupos. | |
| Los usuarios pueden crear grupos de Microsoft 365 en Azure Portal, la API o PowerShell. | Sí | Todos los usuarios de la organización de Microsoft Entra ID pueden crear nuevos grupos de Microsoft 365 y agregar miembros a estos grupos en Azure Portal, la API o PowerShell. Estos grupos nuevos también se muestran en el Panel de acceso para el resto de usuarios. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos. |
| No | Los usuarios no pueden crear grupos de M365. Todavía pueden administrar la pertenencia a grupos de los que son propietarios y aprobar las solicitudes de otros usuarios para unirse a sus grupos. |
Estos son algunos detalles adicionales sobre la configuración de grupos.
- Esta configuración puede tardar hasta 15 minutos en aplicarse.
- Si desea habilitar algunos de los usuarios, pero no todos, para crear grupos, puede asignar a esos usuarios un rol que pueda crear grupos, como Administrador de grupos.
- Esta configuración es para los usuarios y no afecta a las entidades de servicio. Por ejemplo, si tenía una entidad de servicio con permisos para crear grupos, seguirá siendo capaz de crear grupos aunque establezca esta configuración en No.
Configuración de grupos mediante Microsoft Graph
Para establecer la configuración de Los usuarios pueden crear grupos de seguridad en Azure Portal, API o PowerShell mediante Microsoft Graph, configure el objeto EnableGroupCreation en el objeto groupSettings. Para más información, consulte Información general sobre los valores de grupo.
Para establecer la configuración de Los usuarios pueden crear grupos de seguridad en Azure Portal, API o PowerShell mediante Microsoft Graph, actualice la propiedad allowedToCreateSecurityGroups de defaultUserRolePermissions en el objeto authorizationPolicy.
Pasos siguientes
Para obtener más información sobre Microsoft Entra ID, consulte: