Configuración de la administración de grupos de autoservicio en Azure Active DirectorySet up self-service group management in Azure Active Directory

Puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Microsoft 365 en Azure Active Directory (Azure AD).You can enable users to create and manage their own security groups or Microsoft 365 groups in Azure Active Directory (Azure AD). El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos.The owner of the group can approve or deny membership requests, and can delegate control of group membership. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución.Self-service group management features are not available for mail-enabled security groups or distribution lists.

Valores predeterminados de pertenencia a grupos de autoservicioSelf-service group membership defaults

Cuando se crean grupos de seguridad en Azure Portal o con Azure AD PowerShell, solo los propietarios del grupo pueden actualizar pertenencia.When security groups are created in the Azure portal or using Azure AD PowerShell, only the group's owners can update membership. Los grupos de seguridad creados mediante autoservicio en el Panel de acceso y todos los grupos de Microsoft 365 están disponibles para que se unan todos los usuarios, tanto los aprobados por el propietario como los aprobados automáticamente.Security groups created by self-service in the Access panel and all Microsoft 365 groups are available to join for all users, whether owner-approved or auto-approved. En el Panel de acceso, puede cambiar las opciones de pertenencia al crear el grupo.In the Access panel, you can change membership options when you create the group.

Grupos creados enGroups created in Comportamiento predeterminado del grupo de seguridadSecurity group default behavior Comportamiento predeterminado del grupo de Microsoft 365Microsoft 365 group default behavior
Azure AD PowerShellAzure AD PowerShell Solo los propietarios pueden agregar miembrosOnly owners can add members
Visible pero no está disponible para unión en el Panel de accesoVisible but not available to join in Access panel
Abierto para unirse todos los usuariosOpen to join for all users
Azure PortalAzure portal Solo los propietarios pueden agregar miembrosOnly owners can add members
Visible pero no está disponible para unión en el Panel de accesoVisible but not available to join in Access panel
El propietario no se asigna automáticamente durante la creación del grupoOwner is not assigned automatically at group creation
Abierto para unirse todos los usuariosOpen to join for all users
Panel de accesoAccess panel Abierto para unirse todos los usuariosOpen to join for all users
Las opciones de pertenencia se pueden cambiar cuando se crea el grupoMembership options can be changed when the group is created
Abierto para unirse todos los usuariosOpen to join for all users
Las opciones de pertenencia se pueden cambiar cuando se crea el grupoMembership options can be changed when the group is created

Escenarios de administración de grupos de autoservicioSelf-service group management scenarios

  • Administración de grupos delegados Por ejemplo, un administrador que administra el acceso a una aplicación SaaS que su compañía usa.Delegated group management An example is an administrator who is managing access to a SaaS application that the company is using. La administración de estos derechos de acceso se está volviendo compleja, por lo que este administrador solicita al propietario de la empresa la creación de un nuevo grupo.Managing these access rights is becoming cumbersome, so this administrator asks the business owner to create a new group. El administrador asigna al nuevo grupo acceso a la aplicación y le agrega todas las personas que ya acceden a la aplicación.The administrator assigns access for the application to the new group, and adds to the group all people already accessing the application. Luego, el propietario de la empresa puede agregar más usuarios, y dichos usuarios se aprovisionan automáticamente en la aplicación.The business owner then can add more users, and those users are automatically provisioned to the application. No es preciso que el propietario espere a que el administrador administre el acceso de los usuarios.The business owner doesn't need to wait for the administrator to manage access for users. Si el administrador concede el mismo permiso a un administrador de otro grupo de negocios, dicha persona también puede administrar el acceso de sus propios usuarios.If the administrator grants the same permission to a manager in a different business group, then that person can also manage access for their own group members. Ni el propietario de una empresa ni el administrador pueden ver ni administrar las pertenencias al grupo del otro.Neither the business owner nor the manager can view or manage each other's group memberships. El administrador podrá seguir viendo todos los usuarios que tienen acceso a la aplicación y bloquear los derechos de acceso si fuera necesario.The administrator can still see all users who have access to the application and block access rights if needed.
  • Administración de grupos de autoservicio Por ejemplo, dos usuarios tienen sitios de SharePoint Online configurados de forma independiente.Self-service group management An example of this scenario is two users who both have SharePoint Online sites that they set up independently. Ellos quieren dar al equipo del otro acceso a sus sitios.They want to give each other's teams access to their sites. Para ello, pueden crear un grupo en Azure AD, y en SharePoint Online cada uno de ellos selecciona dicho grupo para proporcionar acceso a sus sitios.To accomplish this, they can create one group in Azure AD, and in SharePoint Online each of them selects that group to provide access to their sites. Cuando alguien desea tener acceso, lo solicita en el Panel de acceso, y tras la aprobación obtiene acceso a ambos sitios de SharePoint Online automáticamente.When someone wants access, they request it from the Access Panel, and after approval they get access to both SharePoint Online sites automatically. Posteriormente, uno de ellos decide que todas las personas que accedan a su sitio también deben obtener acceso a una aplicación SaaS concreta.Later, one of them decides that all people accessing the site should also get access to a particular SaaS application. El administrador de la aplicación SaaS puede agregar derechos de acceso a la aplicación en el sitio de SharePoint Online.The administrator of the SaaS application can add access rights for the application to the SharePoint Online site. Desde ese momento, todas las solicitudes aprobadas darán acceso tanto a los dos sitios de SharePoint Online como a la aplicación SaaS.From then on, any requests that get approved gives access to the two SharePoint Online sites and also to this SaaS application.

Puesta a disposición de un grupo para el autoservicio del usuarioMake a group available for user self-service

  1. Inicie sesión en el Centro de administración de Azure AD con una cuenta que tenga el rol de administrador global en el directorio.Sign in to the Azure AD admin center with an account that's a global admin for the directory.

  2. Seleccione Grupos y, a continuación, seleccione el valor General .Select Groups , and then select General settings.

  3. Establezca Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso en .Set Owners can manage group membership requests in the Access Panel to Yes .

  4. Establezca Restringir el acceso a grupos en el Panel de acceso en No .Set Restrict access to Groups in the Access Panel to No .

  5. Si establece Los usuarios pueden crear grupos de seguridad en los portales de Azure o Los usuarios pueden crear grupos de Microsoft 365 en los portales de Azure enIf you set Users can create security groups in Azure portals or Users can create Microsoft 365 groups in Azure portals to

    • : todos los usuarios de la organización de Azure AD pueden crear nuevos grupos de seguridad y agregar miembros a estos grupos.Yes : All users in your Azure AD organization are allowed to create new security groups and add members to these groups. Estos grupos nuevos también se muestran en el Panel de acceso para los restantes usuarios.These new groups would also show up in the Access Panel for all other users. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a estos grupos.If the policy setting on the group allows it, other users can create requests to join these groups
    • No : los usuarios no pueden crear grupos ni cambiar los grupos existentes de los que sean propietarios.No : Users can't create groups and can't change existing groups for which they are an owner. Sin embargo, pueden administrar la pertenencia a dichos grupos y aprobar las solicitudes de otros usuarios para unirse a ellos.However, they can still manage the memberships of those groups and approve requests from other users to join their groups.

También puede usar Propietarios que pueden asignar miembros como propietarios de grupos en los portales de Azure y Propietarios que pueden asignar miembros como propietarios de grupos en los portales de Azure para lograr un control de acceso más pormenorizado sobre la administración de grupos de autoservicio para los usuarios.You can also use Owners who can assign members as group owners in Azure portals and Owners who can assign members as group owners in Azure portals to achieve more granular access control over self-service group management for your users.

Cuando los usuarios puedan crear grupos, todos los usuarios de su organización podrán crear nuevos grupos y, a continuación, podrán, como propietarios predeterminados, agregarles miembros.When users can create groups, all users in your organization are allowed to create new groups and then can, as the default owner, add members to these groups. No puede especificar a personas que puedan crear sus propios grupos.You can't specify individuals who can create their own groups. Solo puede especificar a personas para convertir a otro miembro del grupo en propietario del grupo.You can specify individuals only for making another group member a group owner.

Nota

Se requiere una licencia de Azure Active Directory Premium (P1 o P2) para que los usuarios puedan solicitar unirse a un grupo de seguridad o a un grupo de Microsoft 365 y para que los propietarios puedan aprobar o denegar las solicitudes de pertenencia.An Azure Active Directory Premium (P1 or P2) license is required for users to request to join a security group or Microsoft 365 group and for owners to approve or deny membership requests. Sin una licencia de Azure Active Directory Premium, los usuarios todavía pueden administrar sus grupos en el Panel de acceso, pero no pueden crear un grupo que requiera la aprobación del propietario en el Panel de acceso y no podrán solicitar unirse a un grupo.Without an Azure Active Directory Premium license, users can still manage their groups in the Access Panel, but they can't create a group that requires owner approval in the Access Panel, and they can't request to join a group.

Pasos siguientesNext steps

Estos artículos proporcionan información adicional sobre Azure Active Directory.These articles provide additional information on Azure Active Directory.