Gobernanza del acceso de los usuarios externos en la administración de derechos de Azure ADGovern access for external users in Azure AD entitlement management

La administración de derechos de Azure AD emplea Azure AD de negocio a negocio (B2B) para colaborar con personas ajenas a su organización en otro directorio.Azure AD entitlement management utilizes Azure AD business-to-business (B2B) to collaborate with people outside your organization in another directory. Con Azure AD B2B, los usuarios externos se autentican en su directorio particular, pero están representados en el directorio.With Azure AD B2B, external users authenticate to their home directory, but have a representation in your directory. La representación en el directorio permite asignar al usuario acceso a los recursos.The representation in your directory enables the user to be assigned access to your resources.

En este artículo se describen los valores que puede especificar para controlar el acceso de los usuarios externos.This article describes the settings you can specify to govern access for external users.

Cómo puede ayudar la administración de derechosHow entitlement management can help

Cuando utilice la experiencia de invitación de Azure AD B2B, ya debe conocer las direcciones de correo electrónico de los usuarios invitados externos que desea incorporar al directorio de recursos y con los que desea trabajar.When using the Azure AD B2B invite experience, you must already know the email addresses of the external guest users you want to bring into your resource directory and work with. Esto funciona muy bien cuando está trabajando en un proyecto más pequeño o a corto plazo y ya conoce a todos los participantes, pero es más difícil de administrar si tiene muchos usuarios con los que quiere trabajar o si los participantes cambian con el tiempo.This works great when you're working on a smaller or short-term project and you already know all the participants, but this is harder to manage if you have lots of users you want to work with or if the participants change over time. Por ejemplo, puede estar trabajando con otra organización y tener un punto de contacto con ella, pero con el tiempo otros usuarios de esa organización también necesitarán acceso.For example, you might be working with another organization and have one point of contact with that organization, but over time additional users from that organization will also need access.

Con la administración de derechos, puede definir una directiva que permita a los usuarios de las organizaciones que especifique poder solicitar un paquete de acceso.With entitlement management, you can define a policy that allows users from organizations you specify to be able to self-request an access package. Puede especificar si se requiere aprobación y una fecha de expiración para el acceso.You can specify whether approval is required and an expiration date for the access. Si se requiere aprobación, también puede invitar a uno o varios usuarios de la organización externa a su directorio y designarlos como aprobadores, ya que es probable que sepan qué usuarios externos de su organización necesitan tener acceso.If approval is required, you can also invite one or more users from the external organization to your directory and designate them as approvers - since they are likely to know which external users from their organization need access. Una vez configurado el paquete de acceso, puede enviar el vínculo a su persona de contacto (patrocinador) en la organización externa.Once you have configured the access package, you can send the access package's link to your contact person (sponsor) at the external organization. Ese contacto puede compartirlo con otros usuarios de la organización externa y pueden usar este vínculo para solicitar el paquete de acceso.That contact can share with other users in the external organization, and they can use this link to request the access package. Los usuarios de esa organización que ya han recibido la invitación a su directorio también pueden usar ese vínculo.Users from that organization who have already been invited into your directory can also use that link.

Cuando se aprueba una solicitud, la administración de derechos proporciona al usuario el acceso necesario, que puede incluir invitar al usuario si aún no está en el directorio.When a request is approved, entitlement management will provision the user with the necessary access, which may include inviting the user if they're not already in your directory. Azure AD creará automáticamente una cuenta de invitado B2B para ellos.Azure AD will automatically create a B2B guest account for them. Tenga en cuenta que un administrador puede haber limitado previamente qué organizaciones están permitidas para la colaboración, mediante el establecimiento de una lista de permitidos y denegados de B2B para permitir o bloquear las invitaciones a otras organizaciones.Note that an administrator may have previously limited which organizations are permitted for collaboration, by setting a B2B allow or deny list to allow or block invites to other organizations. Si el usuario no está autorizado por la lista de permitidos o bloqueados, no se le invitará.If the user is not permitted by the allow or block list, then they will not be invited.

Puesto que no desea que el acceso del usuario externo dure para siempre, especifique una fecha de expiración en la directiva, por ejemplo 180 días.Since you do not want the external user's access to last forever, you specify an expiration date in the policy, such as 180 days. Después de 180 días, si no se amplía el acceso, la administración de derechos eliminará todo el acceso asociado con ese paquete de acceso.After 180 days, if their access is not extended, entitlement management will remove all access associated with that access package. De forma predeterminada, si el usuario invitado a través de la administración de derechos no tiene ninguna otra asignación de paquetes de acceso, cuando pierda la última asignación, la cuenta de invitado se bloqueará durante 30 días y posteriormente se eliminará.By default, if the user who was invited through entitlement management has no other access package assignments, then when they lose their last assignment, their guest account will be blocked from signing in for 30 days, and subsequently removed. Esto evita la proliferación de cuentas innecesarias.This prevents the proliferation of unnecessary accounts. Tal y como se describe en las secciones siguientes, estos valores se pueden configurar.As described in the following sections, these settings are configurable.

Cómo funciona el acceso para los usuarios externosHow access works for external users

En el diagrama y los pasos siguientes se proporciona información general sobre cómo conceder acceso a los usuarios externos a un paquete de acceso.The following diagram and steps provide an overview of how external users are granted access to an access package.

Diagrama que muestra el ciclo de vida de los usuarios externos

  1. Agrega una organización conectada para el directorio de Azure AD o el dominio con el que desea colaborar.You add a connected organization for the Azure AD directory or domain you want to collaborate with.

  2. Se crea un paquete de acceso en el directorio que incluye una directiva Para usuarios que no están en el directorio.You create an access package in your directory that includes a policy For users not in your directory.

  3. Envía un vínculo al portal Mi acceso a su contacto en la organización externa que pueden compartir con sus usuarios para solicitar el paquete de acceso.You send a My Access portal link to your contact at the external organization that they can share with their users to request the access package.

  4. Un usuario externo (Solicitante A en este ejemplo) usa el vínculo al portal Mi acceso para solicitar acceso al paquete de acceso.An external user (Requestor A in this example) uses the My Access portal link to request access to the access package. La forma en que el usuario inicia sesión depende del tipo de autenticación del directorio o dominio definido en la organización conectada.How the user signs in depends on the authentication type of the directory or domain defined in the connected organization.

  5. Un aprobador aprueba la solicitud (o se aprueba automáticamente).An approver approves the request (or the request is auto-approved).

  6. La solicitud entra en el estado en entrega.The request goes into the delivering state.

  7. El proceso de invitación B2B crea una cuenta de usuario invitado en el directorio, Solicitante A (invitado) en este ejemplo.Using the B2B invite process, a guest user account is created in your directory (Requestor A (Guest) in this example). Si se define una lista de permitidos o denegados, se aplicará la configuración de la lista.If an allow list or a deny list is defined, the list setting will be applied.

  8. Al usuario invitado se le asigna acceso a todos los recursos del paquete de acceso.The guest user is assigned access to all of the resources in the access package. Los cambios pueden tardar algún tiempo en realizarse en Azure AD y en otros servicios en línea de Microsoft o en aplicaciones de SaaS conectadas.It can take some time for changes to be made in Azure AD and to other Microsoft Online Services or connected SaaS applications. Para más información, consulte Cuándo se aplican los cambios.For more information, see When changes are applied.

  9. El usuario externo recibe un correo electrónico que indica que el acceso se ha entregado.The external user receives an email indicating that their access was delivered.

  10. Para tener acceso a los recursos, el usuario externo puede hacer clic en el vínculo del correo electrónico o intentar acceder a cualquiera de los recursos del directorio directamente para completar el proceso de invitación.To access the resources, the external user can either click the link in the email or attempt to access any of the directory resources directly to complete the invitation process.

  11. En función de la configuración de la directiva, la asignación de paquetes de acceso para el usuario externo expira con el tiempo y se quita el acceso del usuario externo.Depending on the policy settings, as time passes, the access package assignment for the external user expires, and the external user's access is removed.

  12. En función del ciclo de vida de la configuración de usuarios externos, cuando el usuario externo ya no tenga ninguna asignación de paquete de acceso, no podrá iniciar sesión y la cuenta de usuario invitado se quitará de su directorio.Depending on the lifecycle of external users settings, when the external user no longer has any access package assignments, the external user is blocked from signing in and the guest user account is removed from your directory.

Configuración de usuarios externosSettings for external users

Para asegurarse de que los usuarios ajenos a la organización puedan solicitar paquetes de acceso y obtener acceso a los recursos de estos, hay algunas opciones de configuración que debe comprobar que se han configurado correctamente.To ensure people outside of your organization can request access packages and get access to the resources in those access packages, there are some settings that you should verify are properly configured.

Habilitar un catálogo para usuarios externosEnable catalog for external users

  • De forma predeterminada, al crear un nuevo catálogo, este se habilita para permitir que los usuarios externos soliciten los paquetes de acceso que contiene.By default, when you create a new catalog, it is enabled to allow external users to request access packages in the catalog. Asegúrese de que la opción Habilitado para los usuarios externos se haya establecido en .Make sure Enabled for external users is set to Yes.

    Edición de la configuración del catálogo

Configurar las opciones de colaboración externa de Azure AD B2BConfigure your Azure AD B2B external collaboration settings

  • Permitir a los invitados invitar a otros invitados a su directorio significa que las invitaciones se pueden producir fuera de la administración de derechos.Allowing guests to invite other guests to your directory means that guest invites can occur outside of entitlement management. Se recomienda establecer la opción Los invitados pueden invitar en No para permitir solo invitaciones controladas correctamente.We recommend setting Guests can invite to No to only allow for properly governed invitations.

  • Si usa la lista de elementos permitidos de B2B, debe asegurarse de que todos los dominios con los que desee asociarse mediante la administración de derechos se agreguen a la lista.If you are using the B2B allow list, you must make sure any domain you want to partner with using entitlement management is added to the list. Como alternativa, si usa la lista de denegación de elementos de B2B, debe asegurarse de que el dominio con el que desee asociar no se agregue a la lista.Alternatively, if you are using the B2B deny list, you must make sure any domain you want to partner with is not added to the list.

  • Si crea una directiva de administración de derechos para Todos los usuarios (todas las organizaciones conectadas + cualquier usuario externo nuevo) y un usuario no pertenece a una organización conectada del directorio, se creará automáticamente una organización conectada para ellos cuando soliciten el paquete.If you create an entitlement management policy for All users (All connected organizations + any new external users), and a user doesn’t belong to a connected organization in your directory, a connected organization will automatically be created for them when they request the package. Todas las opciones de configuración de la lista de permitidos o denegados de B2B tendrán prioridad.Any B2B allow or deny list settings you have will take precedence. Por lo tanto, asegúrese de incluir en la lista de elementos permitidos los dominios que desea incluir en esta directiva si usa uno y excluirlos de la lista de elementos denegados si usa este tipo de lista.Therefore, be sure to include the domains you intend to include in this policy to your allow list if you are using one, and exclude them from your deny list if you are using a deny list.

  • Si desea crear una directiva de administración de derechos que incluya todos los usuarios (todas las organizaciones conectadas y cualquier usuario externo nuevo), primero debe habilitar la autenticación de código de acceso de un solo uso de correo electrónico para su directorio.If you want to create an entitlement management policy that includes All users (All connected organizations + any new external users), you must first enable email one-time passcode authentication for your directory. Para obtener más información, consulte Autenticación con código de acceso de un solo uso de correo electrónico (versión preliminar).For more information, see Email one-time passcode authentication (preview).

  • Para obtener más información sobre la configuración de colaboración externa de Azure AD B2B, consulte Habilitación de la colaboración externa B2B y administración de quién puede invitar a otros usuarios.For more information about Azure AD B2B external collaboration settings, see Enable B2B external collaboration and manage who can invite guests.

    Comprobación de la configuración de colaboración externa de Azure AD

Revisar las directivas de acceso condicionalReview your Conditional Access policies

  • Asegúrese de excluir los invitados de las directivas de acceso condicional que los nuevos usuarios invitados no podrán cumplir, ya que esto les impedirá que puedan iniciar sesión en su directorio.Make sure to exclude guests from any Conditional Access policies that new guest users will not be able to meet as this will block them from being able to sign in to your directory. Por ejemplo, es probable que los invitados no tengan un dispositivo registrado, que no estén en una ubicación conocida y no deseen volver a registrarse para la autenticación multifactor (MFA), por lo que agregar estos requisitos en una directiva de acceso condicional impedirá que los invitados usen la administración de derechos de administración.For example, guests likely don't have a registered device, aren't in a known location, and don't want to re-register for multi-factor authentication (MFA), so adding these requirements in a Conditional Access policy will block guests from using entitlement management. Para más información, consulte ¿Qué son las condiciones en el acceso condicional de Azure Active Directory?.For more information, see What are conditions in Azure Active Directory Conditional Access?.

    Configuración de la exclusión de directiva de acceso condicional de Azure AD

Revisar la configuración de uso compartido externo de SharePoint OnlineReview your SharePoint Online external sharing settings

  • Si desea incluir sitios de SharePoint Online en los paquetes de acceso para usuarios externos, asegúrese de que la configuración de uso compartido externo en el nivel de la organización se haya establecido en Cualquiera (los usuarios no necesitan iniciar sesión) o Invitados nuevos y existentes (los invitados deben iniciar sesión o proporcionar un código de verificación).If you want to include SharePoint Online sites in your access packages for external users, make sure that your organization-level external sharing setting is set to Anyone (users don't require sign in) or New and existing guests (guests must sign in or provide a verification code). Para más información, consulta Activar o desactivar el uso compartido externo.For more information, see Turn external sharing on or off.

  • Si desea restringir el uso compartido externo fuera de la administración de derechos, puede establecer la configuración de uso compartido externo en Invitados existentes.If you want to restrict any external sharing outside of entitlement management, you can set the external sharing setting to Existing guests. Luego, solo los nuevos usuarios que se invitan a través de la administración de derechos podrán obtener acceso a estos sitios.Then, only new users that are invited through entitlement management will be able to gain access to these sites. Para más información, consulta Activar o desactivar el uso compartido externo.For more information, see Turn external sharing on or off.

  • Asegúrese de que la configuración de nivel de sitio habilite el acceso de invitado (las mismas selecciones que se muestran anteriormente).Make sure that the site-level settings enable guest access (same option selections as previously listed). Para más información, consulte Activar o desactivar el uso compartido externo de un sitio.For more information, see Turn external sharing on or off for a site.

Revisión de la configuración de uso compartido de grupos de Microsoft 365Review your Microsoft 365 group sharing settings

  • Si quiere incluir grupos de Microsoft 365 en los paquetes de acceso para usuarios externos, asegúrese de que la opción Permitir que los usuarios agreguen nuevos invitados a la organización se haya establecido en Activado para permitir el acceso de invitado.If you want to include Microsoft 365 groups in your access packages for external users, make sure the Let users add new guests to the organization is set to On to allow guest access. Para más información, consulte [Administrar el acceso de invitado a grupos de Microsoft 365](/Microsoft 365/admin/create-groups/manage-guest-access-in-groups?view=Microsoft 365-worldwide#manage-groups-guest-access).For more information, see [Manage guest access to Microsoft 365 Groups](/Microsoft 365/admin/create-groups/manage-guest-access-in-groups?view=Microsoft 365-worldwide#manage-groups-guest-access).

  • Si quiere que los usuarios externos puedan acceder al sitio de SharePoint Online y a los recursos asociados a un grupo de Microsoft 365, asegúrese de activar el uso compartido externo de SharePoint Online.If you want external users to be able to access the SharePoint Online site and resources associated with a Microsoft 365 group, make sure you turn on SharePoint Online external sharing. Para más información, consulta Activar o desactivar el uso compartido externo.For more information, see Turn external sharing on or off.

  • Para obtener información sobre cómo establecer la directiva de invitado para los grupos de Microsoft 365 en el nivel de directorio de PowerShell, consulte Ejemplo: Configuración de la directiva de invitado para grupos en el nivel de directorio.For information about how to set the guest policy for Microsoft 365 groups at the directory level in PowerShell, see Example: Configure Guest policy for groups at the directory level.

Revisar la configuración de uso compartido de TeamsReview your Teams sharing settings

Administración del ciclo de vida de los usuarios externosManage the lifecycle of external users

Puede seleccionar lo que ocurre cuando un usuario externo, invitado a su directorio mediante una solicitud de paquete de acceso aprobada, ya no tiene ningún paquete de acceso asignado.You can select what happens when an external user, who was invited to your directory through an access package request being approved, no longer has any access package assignments. Esto puede ocurrir si el usuario renuncia a todas sus asignaciones de paquetes de acceso o la asignación del último paquete de acceso expira.This can happen if the user relinquishes all their access package assignments, or their last access package assignment expires. De forma predeterminada, cuando un usuario externo ya no tiene un paquete de acceso asignado, se le impide iniciar sesión en el directorio.By default, when an external user no longer has any access package assignments, they are blocked from signing in to your directory. Después de 30 días, la cuenta de usuario invitado se quitará del directorio.After 30 days, their guest user account is removed from your directory.

Rol necesario: administrador global o administrador de usuarios.Prerequisite role: Global administrator or User administrator

  1. En Azure Portal, haga clic en Azure Active Directory y, luego, en Gobernanza de identidades.In the Azure portal, click Azure Active Directory and then click Identity Governance.

  2. En el menú izquierdo, en la sección Administración de derechos, haga clic en Configuración.In the left menu, in the Entitlement management section, click Settings.

  3. Haga clic en Editar.Click Edit.

    Configuración para administrar el ciclo de vida de los usuarios externos

  4. En la sección Administración del ciclo de vida de los usuarios externos, seleccione las diferentes opciones para los usuarios externos.In the Manage the lifecycle of external users section, select the different settings for external users.

  5. Cuando un usuario externo pierde la última asignación de un paquete de acceso, si desea bloquearlos para que no inicien sesión en este directorio, establezca Impedir que los usuarios externos inicien sesión en este directorio en .Once an external user loses their last assignment to any access packages, if you want to block them from signing in to this directory, set the Block external user from signing in to this directory to Yes.

    Nota

    Si un usuario tiene bloqueada la capacidad de iniciar sesión en este directorio, el usuario no podrá volver a solicitar el paquete de acceso ni solicitar acceso adicional en este directorio.If a user is blocked from signing in to this directory, then the user will be unable to re-request the access package or request additional access in this directory. No configure el bloqueo de inicio de sesión si posteriormente necesitará solicitar acceso a otros paquetes de acceso.Do not configure blocking them from signing in if they will subsequently need to request access to other access packages.

  6. Cuando un usuario externo pierde la última asignación de un paquete de acceso, si quiere quitar su cuenta de usuario invitado de este directorio, establezca Quitar usuario externo en .Once an external user loses their last assignment to any access packages, if you want to remove their guest user account in this directory, set Remove external user to Yes.

    Nota

    La administración de derechos solo quita las cuentas a las que se ha invitado mediante la administración de derechos.Entitlement management only removes accounts that were invited through entitlement management. Tenga en cuenta también que se impedirá que el usuario inicie sesión y se eliminará del directorio aunque dicho usuario se haya agregado a recursos del directorio que no eran asignaciones de paquetes de acceso.Also, note that a user will be blocked from signing in and removed from this directory even if that user was added to resources in this directory that were not access package assignments. Si el invitado estaba presente en este directorio antes de recibir las asignaciones de paquetes de acceso, se mantendrá.If the guest was present in this directory prior to receiving access package assignments, they will remain. Sin embargo, si se le invitó mediante una asignación de paquete de acceso y, después de invitarlo, se ha asignado a un sitio de OneDrive para la Empresa o SharePoint Online, se quitará.However, if the guest was invited through an access package assignment, and after being invited was also assigned to a OneDrive for Business or SharePoint Online site, they will still be removed.

  7. Si quiere quitar la cuenta de usuario invitado de este directorio, puede establecer el número de días antes de que se quite.If you want to remove the guest user account in this directory, you can set the number of days before it is removed. Si desea quitar la cuenta de usuario invitado en cuanto pierda la última asignación a cualquier paquete de acceso, establezca Número de días antes de que se quite el usuario externo de este directorio en 0.If you want to remove the guest user account as soon as they lose their last assignment to any access packages, set Number of days before removing external user from this directory to 0.

  8. Haga clic en Save(Guardar).Click Save.

Pasos siguientesNext steps