Administración del acceso a recursos y aplicaciones con grupos en Azure Active DirectoryManage app and resource access using Azure Active Directory groups

Azure Active Directory (Azure AD) le permite usar grupos para administrar el acceso a las aplicaciones en la nube, las aplicaciones locales y los recursos.Azure Active Directory (Azure AD) lets you use groups to manage access to your cloud-based apps, on-premises apps, and your resources. Sus recursos pueden formar parte de la organización de Azure AD, como los permisos para administrar objetos a través de los roles en Azure AD, o pueden estar fuera de la organización, como las aplicaciones SaaS (software como servicio), los servicios de Azure, los sitios de SharePoint y los recursos locales.Your resources can be part of the Azure AD organization, such as permissions to manage objects through roles in Azure AD, or external to the organization, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Nota

En Azure Portal, puede ver algunos grupos cuyos miembros y detalles de grupo no se pueden administrar en el portal:In the Azure portal, you can see some groups whose membership and group details you can't manage in the portal:

  • Los grupos sincronizados desde Active Directory local solo se pueden administrar en Active Directory local.Groups synced from on-premises Active Directory can be managed only in on-premises Active Directory.
  • Otros tipos de grupos, como las listas de distribución y los grupos de seguridad habilitados para correo, solo se administran en el centro de administración de Exchange o en el centro de administración de Microsoft 365.Other group types such as distribution lists and mail-enabled security groups are managed only in Exchange admin center or Microsoft 365 admin center. Debe iniciar sesión en el centro de administración de Exchange o en el centro de administración de Microsoft 365 para administrar estos grupos.You must sign in to Exchange admin center or Microsoft 365 admin center to manage these groups.

Funcionamiento de la administración de acceso en Azure ADHow access management in Azure AD works

Azure AD le ayuda a proporcionar acceso a los recursos de su organización, ya que proporciona derechos de acceso a un usuario individual o a todo un grupo de Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. El uso de grupos permite al propietario de los recursos (o al propietario del directorio de Azure AD) asignar un conjunto de permisos de acceso a todos los miembros del grupo, en lugar de tener que proporcionar los derechos uno por uno.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. El propietario del recurso o del directorio también puede conceder derechos de administrador para la lista de miembros a otra persona, como por ejemplo, a un director de departamento o a un administrador del departamento de soporte técnico, y dejar que dicha persona agregue y quite miembros, según sea necesario.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. Para más información acerca de cómo administrar propietarios de grupos, consulte Administración de propietarios de gruposFor more information about how to manage group owners, see Manage group owners

Diagrama de administración de acceso de Azure Active Directory

Formas de asignar derechos de accesoWays to assign access rights

Hay cuatro maneras de asignar derechos de acceso a los recursos a los usuarios:There are four ways to assign resource access rights to your users:

  • Asignación directa.Direct assignment. El propietario del recurso asigna directamente el usuario al recurso.The resource owner directly assigns the user to the resource.

  • Asignación de un grupo.Group assignment. El propietario del recurso asigna un grupo de Azure AD al recurso, que automáticamente concede a todos sus miembros acceso al recurso.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. La pertenencia a un grupo la administran el propietario del grupo y el propietario del recurso, lo que permite a ambos propietarios agregar o quitar miembros del grupo.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Para más información acerca de cómo agregar o eliminar miembros del grupo, consulte Procedimiento para cómo agregar o quitar un grupo de otro grupo con Azure Active Directory.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Asignación basada en reglas.Rule-based assignment. El propietario del recurso crea un grupo y usa una regla para definir qué usuarios están asignados a un recurso concreto.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. La regla se basa en atributos que se asignan a usuarios individuales.The rule is based on attributes that are assigned to individual users. El propietario del recurso administra la regla, lo que determina los atributos y valores que son necesarios para permitir el acceso al recurso.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Para más información, consulte Creación de un grupo dinámico y comprobación de su estado.For more information, see Create a dynamic group and check status.

    También puede ver este breve vídeo, donde encontrará para obtener una explicación rápida sobre cómo crear y usar grupos dinámicos:You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Asignación de una autoridad externa.External authority assignment. El acceso procede de un origen externo, como un directorio local o una aplicación SaaS.Access comes from an external source, such as an on-premises directory or a SaaS app. En esta situación, el propietario del recurso asigna al grupo para proporcionar acceso al recurso y, después, el origen externo administra los miembros del grupo.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Información general del diagrama de administración del acceso

¿Pueden los usuarios unirse a grupos sin que se les asignen?Can users join groups without being assigned?

El propietario del grupo puede permitir a los usuarios buscar los grupos a los que se van a unir, en lugar de asignarlos.The group owner can let users find their own groups to join, instead of assigning them. El propietario también puede configurar el grupo para que acepte todos los usuarios que se unan a o para que exija aprobación.The owner can also set up the group to automatically accept all users that join or to require approval.

Cuando un usuario solicita unirse a un grupo, la solicitud se reenvía al propietario del mismo.After a user requests to join a group, the request is forwarded to the group owner. Si es necesario, el propietario puede aprobar la solicitud y se notifica al usuario de la pertenencia al grupo.If it's required, the owner can approve the request and the user is notified of the group membership. Sin embargo, si tiene varios propietarios y uno de ellos la rechaza, el usuario recibe una notificación, pero no se agrega al grupo.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. Para más información e instrucciones acerca de cómo permitir a los usuarios solicitar su unión a grupos, consulte Configuración de Azure AD para que los usuarios puedan solicitar unirse a gruposFor more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Pasos siguientesNext steps

Tras esta introducción a la administración de acceso mediante grupos, empiece a administrar los recursos y aplicaciones.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.