Administración del acceso a recursos y aplicaciones con grupos en Azure Active DirectoryManage app and resource access using Azure Active Directory groups

Azure Active Directory (Azure AD) le ayuda a administrar aplicaciones en la nube de su organización, aplicaciones locales y recursos locales mediante los grupos de su organización.Azure Active Directory (Azure AD) helps you to manage your cloud-based apps, on-premises apps, and your resources using your organization's groups. Sus recursos pueden formar parte del directorio, como los permisos para administrar objetos a través de los roles del directorio, o puede estar fuera del directorio, como las aplicaciones SaaS (software como servicio), los servicios de Azure, los sitios de SharePoint y los recursos locales.Your resources can be part of the directory, such as permissions to manage objects through roles in the directory, or external to the directory, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Nota

Para usar Azure Active Directory, necesita una cuenta de Azure.To use Azure Active Directory, you need an Azure account. Si aún no tiene ninguna, puede registrarse para obtener una cuenta de Azure gratuita.If you don't have an account, you can sign up for a free Azure account.

¿Cómo funciona la administración de acceso en Azure AD?How does access management in Azure AD work?

Azure AD le ayuda a proporcionar acceso a los recursos de su organización, ya que proporciona derechos de acceso a un usuario individual o a todo un grupo de Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. El uso de grupos permite al propietario de los recursos (o al propietario del directorio de Azure AD) asignar un conjunto de permisos de acceso a todos los miembros del grupo, en lugar de tener que proporcionar los derechos uno por uno.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. El propietario del recurso o del directorio también puede conceder derechos de administrador para la lista de miembros a otra persona, como por ejemplo, a un director de departamento o a un administrador del departamento de soporte técnico, y dejar que dicha persona agregue y quite miembros, según sea necesario.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. Para más información acerca de cómo administrar propietarios de grupos, consulte Administración de propietarios de gruposFor more information about how to manage group owners, see Manage group owners

Diagrama de administración de acceso de Azure Active Directory

Formas de asignar derechos de accesoWays to assign access rights

Hay cuatro maneras de asignar derechos de acceso a los recursos a los usuarios:There are four ways to assign resource access rights to your users:

  • Asignación directa.Direct assignment. El propietario del recurso asigna directamente el usuario al recurso.The resource owner directly assigns the user to the resource.

  • Asignación de un grupo.Group assignment. El propietario del recurso asigna un grupo de Azure AD al recurso, que automáticamente concede a todos sus miembros acceso al recurso.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. La pertenencia a un grupo la administran el propietario del grupo y el propietario del recurso, lo que permite a ambos propietarios agregar o quitar miembros del grupo.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Para más información acerca de cómo agregar o eliminar miembros del grupo, consulte Procedimiento para cómo agregar o quitar un grupo de otro grupo con Azure Active Directory.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Asignación basada en reglas.Rule-based assignment. El propietario del recurso crea un grupo y usa una regla para definir qué usuarios están asignados a un recurso concreto.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. La regla se basa en atributos que se asignan a usuarios individuales.The rule is based on attributes that are assigned to individual users. El propietario del recurso administra la regla, lo que determina los atributos y valores que son necesarios para permitir el acceso al recurso.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Para más información, consulte Creación de un grupo dinámico y comprobación de su estado.For more information, see Create a dynamic group and check status.

    También puede ver este breve vídeo, donde encontrará para obtener una explicación rápida sobre cómo crear y usar grupos dinámicos:You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Asignación de una autoridad externa.External authority assignment. El acceso procede de un origen externo, como un directorio local o una aplicación SaaS.Access comes from an external source, such as an on-premises directory or a SaaS app. En esta situación, el propietario del recurso asigna al grupo para proporcionar acceso al recurso y, después, el origen externo administra los miembros del grupo.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Información general del diagrama de administración del acceso

¿Pueden los usuarios unirse a grupos sin que se les asignen?Can users join groups without being assigned?

El propietario del grupo puede permitir a los usuarios buscar los grupos a los que se van a unir, en lugar de asignarlos.The group owner can let users find their own groups to join, instead of assigning them. El propietario también puede configurar el grupo para que acepte todos los usuarios que se unan a o para que exija aprobación.The owner can also set up the group to automatically accept all users that join or to require approval.

Cuando un usuario solicita unirse a un grupo, la solicitud se reenvía al propietario del mismo.After a user requests to join a group, the request is forwarded to the group owner. Si es necesario, el propietario puede aprobar la solicitud y se notifica al usuario de la pertenencia al grupo.If it's required, the owner can approve the request and the user is notified of the group membership. Sin embargo, si tiene varios propietarios y uno de ellos la rechaza, el usuario recibe una notificación, pero no se agrega al grupo.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. Para más información e instrucciones acerca de cómo permitir a los usuarios solicitar su unión a grupos, consulte Configuración de Azure AD para que los usuarios puedan solicitar unirse a gruposFor more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Pasos siguientesNext steps

Tras esta introducción a la administración de acceso mediante grupos, empiece a administrar los recursos y aplicaciones.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.