Modificación de los roles de recurso de un paquete de acceso en la administración de derechos de Azure AD

Como administrador de paquetes de acceso, puede cambiar los recursos de un paquete de acceso en cualquier momento sin preocuparse de aprovisionar el acceso del usuario a los nuevos recursos o quitárselo de los recursos anteriores. En este artículo, se explica cómo se pueden modificar los roles de recursos de un paquete de acceso existente.

Este vídeo proporciona información general acerca de cómo cambiar un paquete de acceso.

Comprobación del catálogo de recursos

Si necesita agregar recursos a un paquete de acceso, debe comprobar si los recursos que necesita están disponibles en el catálogo del paquete de acceso. Si es un administrador de paquetes de acceso, no podrá agregar recursos a un catálogo, ni siquiera aunque sea el propietario. Está limitado a usar los recursos disponibles en el catálogo.

Requisitos previos de rol: Administrador global, Administrador de Identity Governance, Administrador de usuarios, Propietario del catálogo o Administrador de paquetes de acceso.

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.

  2. En el menú de la izquierda, haga clic en Catálogo y abra el catálogo.

  3. En el menú de la izquierda, haga clic en Recursos para ver la lista de recursos de este catálogo.

    List of resources in a catalog

  4. Si los recursos aún no están en el catálogo y es administrador o propietario del catálogo, puede agregar recursos a un catálogo.

  5. Si es un administrador de paquetes de acceso y necesita agregar recursos al catálogo, puede solicitar al propietario del catálogo que los agregue.

Agregar roles de recursos

Un rol de recursos es una colección de permisos asociados a un recurso. Los recursos pueden estar disponibles para que los usuarios los soliciten si agregan roles de recursos de cada uno de los recursos del catálogo al paquete de acceso. Puede agregar roles de recursos por grupos, equipos, aplicaciones y sitios de SharePoint. Cuando un usuario recibe una asignación a un paquete de acceso, se agregará a todos los roles de recursos del paquete de acceso.

Si no desea que los usuarios reciban todos los roles, deberá crear varios paquetes de acceso en el catálogo, con paquetes de acceso independientes para cada uno de los roles de recursos. También puede marcar los paquetes de acceso como incompatibles entre sí para que los usuarios no puedan solicitar acceso a los paquetes de acceso que les darían acceso excesivo.

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.

  2. En el menú de la izquierda, haga clic en Paquetes de acceso y luego abra el paquete de acceso.

  3. En el menú de la izquierda, haga clic en Roles de recursos.

  4. Haga clic en Agregar roles de recursos para abrir la página Agregar roles de recursos al paquete de acceso.

    Access package - Add resource roles

  5. En función de si lo que quiere agregar es un grupo, un equipo, una aplicación o un sitio de SharePoint, siga los pasos de una de las siguientes secciones de roles de recursos.

Incorporación de un rol de recurso de un grupo o equipo

Puede hacer que la administración de derechos agregue usuarios automáticamente a un grupo o equipo de Microsoft Teams cuando se le asigne un paquete de acceso.

  • Cuando un grupo o equipo forma parte de un paquete de acceso y se asigna un usuario a dicho paquete de acceso, el usuario se agrega a ese grupo o equipo, si aún no está presente.
  • Cuando la asignación de paquetes de acceso de un usuario expira, se le quita del grupo o equipo, a menos que en ese momento tenga una asignación a otro paquete de acceso que incluya ese mismo grupo o equipo.

Puede seleccionar cualquier grupo de seguridad de Azure AD o grupo de Microsoft 365. Los administradores pueden agregar cualquier grupo a un catálogo; los propietarios de catálogos pueden agregar cualquier grupo al catálogo si son los propietarios del grupo. Tenga en cuenta las siguientes restricciones de Azure AD al seleccionar un grupo:

  • Cuando un usuario, incluidos los usuarios invitados, se agrega como miembro a un grupo o equipo, puede ver a los demás miembros de ese grupo o equipo.
  • Azure AD no puede cambiar la pertenencia de un grupo que se ha sincronizado desde Windows Server Active Directory con Azure AD Connect o que se ha creado en Exchange Online como grupo de distribución.
  • No se puede actualizar la pertenencia a grupos dinámicos agregando o eliminando a un miembro, por lo que las pertenencias a grupos dinámicos no son adecuadas para su uso con la administración de derechos.
  • Los grupos M365 tienen restricciones adicionales, que se describen en la introducción a los grupos de Microsoft 365 para administradores, incluido un límite de 100 propietarios por grupo, límites sobre cuántos miembros pueden acceder a las conversaciones de grupo simultáneamente y 7000 grupos por miembro.

Para obtener más información, consulte Comparar grupos y Microsoft 365 Groups and Microsoft Teams.

  1. En la página Agregar roles de recursos al paquete de acceso, haga clic en Grupos y Equipos para abrir el panel Seleccionar grupos.

  2. Seleccione los grupos y equipos que desee incluir en el paquete de acceso.

    Access package - Add resource roles - Select groups

  3. Haga clic en Seleccionar.

    Una vez que seleccione el grupo o equipo, aparecerá uno de los siguientes valores en la columna Subtipo:

    Subtipo Descripción
    Seguridad Se usa para conceder acceso a los recursos de Azure.
    Distribución Se usa para enviar notificaciones a un grupo de personas.
    Microsoft 365 Microsoft 365 Group que no está habilitado para Teams. Se usa para la colaboración entre usuarios, tanto dentro como fuera de su empresa.
    Team Microsoft 365 Group que está habilitado para Teams. Se usa para la colaboración entre usuarios, tanto dentro como fuera de su empresa.
  4. En la lista Rol, seleccione Propietario o Miembro.

    Normalmente se selecciona el rol Miembro. Si selecciona el rol Propietario, permitirá que los usuarios agreguen o quiten a otros miembros o propietarios.

    Access package - Add resource role for a group or team

  5. Haga clic en Agregar.

    Cuando se agreguen, los usuarios que tengan asignaciones existentes al paquete de acceso se convertirán automáticamente en miembros de este grupo o equipo.

Agregar un rol de recursos de la aplicación

Puede hacer que Azure AD asigne automáticamente a los usuarios acceso a una aplicación empresarial de Azure AD, incluidas tanto las aplicaciones SaaS como las aplicaciones de su organización integradas con Azure AD, cuando se asigne a un usuario un paquete de acceso. Para las aplicaciones que se integran con Azure AD a través de un inicio de sesión único federado, Azure AD emitirá los tokens de federación para los usuarios asignados a la aplicación.

Las aplicaciones pueden tener varios roles. Al agregar una aplicación a un paquete de acceso, si esa aplicación tiene más de un rol, deberá especificar el rol adecuado para esos usuarios en cada paquete de acceso. Si va a desarrollar aplicaciones, puede consultar más información acerca de cómo se agregan estos roles a las aplicaciones en Procedimientos para: Configuración de la notificación de rol emitida en el token SAML para aplicaciones empresariales.

Nota

Si una aplicación tiene varios roles y más de un rol de esa aplicación se encuentra en un paquete de acceso, el usuario recibirá todos los roles. Si, por el contrario, desea que los usuarios solo tengan algunas de las funciones, tendrá que crear varios paquetes de acceso en el catálogo, con paquetes de acceso separados para cada una de las funciones.

Una vez que un rol de aplicación es parte de un paquete de acceso:

  • Cuando se asigna un usuario a ese paquete de acceso, el usuario se agrega a ese rol de aplicación, si todavía no está presente.
  • Cuando la asignación de paquetes de acceso de un usuario expira, se le quitará el acceso a la aplicación, a menos que tenga una asignación a otro paquete de acceso que incluya ese mismo rol de aplicación.

Estas son algunas opciones a tener en cuenta cuando seleccione una aplicación:

  • Las aplicaciones también pueden tener, además, grupos asignados a sus roles. Puede elegir agregar un grupo en lugar de un rol de aplicación en un paquete de acceso, pero entonces la aplicación no será visible para el usuario como parte del paquete de acceso en el portal Mi acceso.
  • Azure Portal también puede mostrar entidades de servicios que no se puedan seleccionar como aplicaciones. En concreto, Exchange Online y SharePoint Online son servicios, no aplicaciones que tengan roles de recursos en el directorio, por lo que no pueden incluirse en un paquete de acceso. En su lugar, use las licencias de grupo para establecer una licencia adecuada para un usuario que necesite acceder a esos servicios.
  • Las aplicaciones que solo admiten usuarios de cuentas personales de Microsoft para la autenticación, y no admiten cuentas organizativas en el directorio, no tienen roles de aplicación y no se pueden agregar a los catálogos de paquetes de acceso.
  1. En la página Agregar roles de recursos al paquete de acceso, haga clic en Aplicaciones para abrir el panel Seleccionar aplicaciones.

  2. Seleccione las aplicaciones que quiere incluir en el paquete de acceso.

    Access package - Add resource roles - Select applications

  3. Haga clic en Seleccionar.

  4. En la lista Rol, seleccione un rol de aplicación.

    Access package - Add resource role for an application

  5. Haga clic en Agregar.

    Cuando se agregue, se otorgará acceso a esta aplicación a los usuarios con asignaciones existentes para el paquete de acceso.

Agregar un rol de recursos de sitio de SharePoint

Azure AD puede asignar automáticamente a los usuarios acceso a un sitio de SharePoint Online o una colección de sitios de SharePoint Online cuando se asignan a un paquete de acceso.

  1. En la página Agregar roles de recursos a un paquete de acceso, haga clic en Sitios de SharePoint para abrir el panel Select SharePoint Online sites (Seleccionar sitios de SharePoint Online).

    Access package - Add resource roles - Select SharePoint sites - Portal view

  2. Seleccione los sitios de SharePoint Online que quiere incluir en el paquete de acceso.

    Access package - Add resource roles - Select SharePoint Online sites

  3. Haga clic en Seleccionar.

  4. En la lista Rol, seleccione un rol de sitio de SharePoint Online.

    Access package - Add resource role for a SharePoint Online site

  5. Haga clic en Agregar.

    Cuando se agregue, se otorgará acceso a este sitio de SharePoint Online a los usuarios con asignaciones existentes para el paquete de acceso.

Agregar roles de recurso mediante programación

También puede agregar un rol de recurso a un paquete de acceso mediante Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para:

  1. Enumerar los elementos accessPackageResources en el catálogo y crear un elemento accessPackageResourceRequest para todos los recursos que aún no están en el catálogo.
  2. Enumerar el elemento accessPackageResourceRoles de cada elemento accessPackageResource en un catálogo accessPackageCatalog. Esta lista de roles se usará en adelante para seleccionar un rol, cuando cree posteriormente un elemento accessPackageResourceRoleScope.
  3. Crear un elemento accessPackageResourceRoleScope para cada rol de recurso necesario en el paquete de acceso.

Eliminar roles de recursos

Rol necesario: Administrador global, administrador de usuarios, propietario del catálogo o administrador de paquetes de acceso.

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.

  2. En el menú de la izquierda, haga clic en Paquetes de acceso y luego abra el paquete de acceso.

  3. En el menú de la izquierda, haga clic en Roles de recursos.

  4. En la lista de roles de recursos, busque el rol de recurso que quiere quitar.

  5. Haga clic en el botón de puntos suspensivos ... y luego en Eliminar rol de recurso.

    Cuando se elimine, se revocará automáticamente el acceso a este rol de recurso de los usuarios con asignaciones existentes para el paquete de acceso.

Cuándo se aplican los cambios

En administración de derechos, Azure AD procesará los cambios de forma masiva para la asignación y los recursos de los paquetes de acceso varias veces al día. Por lo tanto, si realiza una asignación o cambia los roles de recursos del paquete de acceso, puede tardar hasta 24 horas para que dicho cambio se lleve a cabo en Azure AD, además del tiempo que se tarde en propagar los cambios a otras aplicaciones SaaS conectadas o Microsoft Online Services. Si el cambio solo afecta a unos pocos objetos, probablemente tardará solo unos minutos en aplicarse en Azure AD, tras lo cual otros componentes de Azure AD detectarán dicho cambio y actualizarán las aplicaciones SaaS. Si el cambio afecta a miles de objetos tardará más tiempo. Por ejemplo, si tiene un paquete de acceso con 2 aplicaciones y 100 asignaciones de usuario y decide agregar un rol de sitio de SharePoint al paquete de acceso, podría haber un retraso hasta que todos los usuarios formen parte de ese rol de sitio de SharePoint. Puede supervisar el progreso a través de los registros de auditoría de Azure AD, el registro de aprovisionamiento de Azure AD y los registros de auditoría del sitio de SharePoint.

Cuando se quita un miembro de un equipo, también se quita del grupo de Microsoft 365. Puede pasar algún tiempo hasta que se elimine la funcionalidad de chat del equipo. Para más información, consulte Pertenencia a grupos.

Cuando un administrador agrega un rol de recurso a un paquete de acceso, los usuarios que se encuentran en ese rol de recurso, pero no tienen asignaciones al paquete de acceso, permanecerán en el rol de recurso, pero no se asignarán al paquete de acceso. Por ejemplo, si un usuario es miembro de un grupo y, a continuación, se crea un paquete de acceso y el rol de miembro del grupo se agrega a un paquete de acceso, el usuario no recibirá automáticamente una asignación al paquete de acceso.

Si desea que los usuarios también se asignen al paquete de acceso, puede asignar directamente usuarios a un paquete de acceso mediante el Azure Portal o de forma masiva a través de Graph o PowerShell. Los usuarios también recibirán acceso a los otros roles de recursos del paquete de acceso. Sin embargo, dado que esos usuarios ya tienen acceso antes de agregarse al paquete de acceso, cuando se quite su asignación de paquete de acceso, permanecerán en el rol de recurso. Por ejemplo, si un usuario era miembro de un grupo y se asignó a un paquete de acceso que incluía la pertenencia a grupos para ese grupo como rol de recurso y, a continuación, se quitó la asignación de paquetes de acceso del usuario, el usuario conservaría su pertenencia a grupos.

Pasos siguientes