Agregar una organización conectada en la administración de derechos de Azure ADAdd a connected organization in Azure AD entitlement management

La administración de derechos de Azure Active Directory (Azure AD) le permite colaborar con personas ajenas a la organización.With Azure Active Directory (Azure AD) entitlement management, you can collaborate with people outside your organization. Si colabora con frecuencia con usuarios en un dominio o directorio externo de Azure AD, puede agregarlos como una organización conectada.If you frequently collaborate with users in an external Azure AD directory or domain, you can add them as a connected organization. En este artículo se describe cómo agregar una organización conectada para que pueda permitir que los usuarios ajenos a la organización soliciten recursos en el directorio.This article describes how to add a connected organization so that you can allow users outside your organization to request resources in your directory.

¿Qué es una organización conectada?What is a connected organization?

Una organización conectada es otra organización con la que tiene una relación.A connected organization is another organization that you have a relationship with. Para que los usuarios de esa organización puedan acceder a los recursos, como los sitios o las aplicaciones de SharePoint Online, necesitará una representación de los usuarios de esa organización en ese directorio.In order for the users in that organization to be able to access your resources, such as your SharePoint Online sites or apps, you'll need a representation of that organization's users in that directory. Dado que, en la mayoría de los casos, los usuarios de esa organización no están aún en el directorio de Azure AD, puede usar la administración de derechos para colocarlos en el directorio Azure AD según sea necesario.Because in most cases the users in that organization aren't already in your Azure AD directory, you can use entitlement management to bring them into your Azure AD directory as needed.

Hay tres formas en que la administración de derechos le permite especificar los usuarios que forman una organización conectada.There are three ways that entitlement management lets you specify the users that form a connected organization. Podrían ser:It could be

  • usuarios de otro directorio de Azure AD;users in another Azure AD directory,
  • usuarios de otro directorio que no sea de Azure AD que se haya configurado para la federación directa o;users in another non-Azure AD directory that has been configured for direct federation, or
  • usuarios de otro directorio que no sea de Azure AD, cuyas direcciones de correo electrónico tengan el mismo nombre de dominio en común.users in another non-Azure AD directory, whose email addresses all have the same domain name in common.

Por ejemplo, supongamos que trabaja en Woodgrove Bank y desea colaborar con dos organizaciones externas.For example, suppose you work at Woodgrove Bank and you want to collaborate with two external organizations. Estas dos organizaciones tienen configuraciones diferentes:These two organizations have different configurations:

  • Graphic Design Institute usa Azure AD y sus usuarios tienen un nombre principal de usuario que termina en graphicdesigninstitute.com.Graphic Design Institute uses Azure AD, and their users have a user principal name that ends with graphicdesigninstitute.com.
  • Contoso todavía no usa Azure AD.Contoso does not yet use Azure AD. Los usuarios de Contoso tienen un nombre principal de usuario que termina en contoso.com.Contoso users have a user principal name that ends with contoso.com.

En este caso, puede configurar dos organizaciones conectadas.In this case, you can configure two connected organizations. Crea una organización conectada para Graphic Design Institute y otra para Contoso.You create one connected organization for Graphic Design Institute and one for Contoso. Si después agrega las dos organizaciones conectadas a una directiva, los usuarios de cada organización con un nombre principal de usuario que coincida con la directiva podrán solicitar paquetes de acceso.If you then add the two connected organizations to a policy, users from each organization with a user principal name that matches the policy can request access packages. Los usuarios con un nombre principal de usuario que tenga un dominio de graphicdesigninstitute.com coincidirían con la organización conectada con Graphic Design Institute y podrían enviar solicitudes.Users with a user principal name that has a domain of graphicdesigninstitute.com would match the Graphic Design Institute-connected organization and be allowed to submit requests. Los usuarios con un nombre principal de usuario que tenga un dominio de contoso.com coincidirían con la organización conectada con Contoso y también podrían solicitar paquetes.Users with a user principal name that has a domain of contoso.com would match the Contoso-connected organization and would also be allowed to request packages. Además, dado que Graphic Design Institute usa Azure AD, cualquier usuario con un nombre principal que coincida con un dominio comprobado que se agregue al inquilino, como graphicdesigninstitute.example, también podría solicitar paquetes de acceso mediante la misma directiva.And, because Graphic Design Institute uses Azure AD, any users with a principal name that matches a verified domain that's added to their tenant, such as graphicdesigninstitute.example, would also be able to request access packages by using the same policy.

Ejemplo de una organización conectada

La forma en que los usuarios del directorio de Azure AD o el dominio se autentican depende del tipo de autenticación.How users from the Azure AD directory or domain authenticate depends on the authentication type. Los tipos de autenticación para las organizaciones conectadas son:The authentication types for connected organizations are:

Para ver una demostración de cómo agregar una organización conectada, vea el vídeo siguiente:For a demonstration of how to add a connected organization, watch the following video:

Adición de una organización conectadaAdd a connected organization

Para agregar un directorio o dominio externo de Azure AD como organización conectada, siga las instrucciones de esta sección.To add an external Azure AD directory or domain as a connected organization, follow the instructions in this section.

Rol necesario: administrador global o administrador de usuarios.Prerequisite role: Global administrator or User administrator

  1. En Azure Portal, seleccione Azure Active Directory y, a continuación, Gobernanza de identidades.In the Azure portal, select Azure Active Directory, and then select Identity Governance.

  2. En el panel de la izquierda, seleccione Organizaciones conectadas y, a continuación, Agregar organización conectada.In the left pane, select Connected organizations, and then select Add connected organization.

    El botón "Agregar organización conectada"

  3. Seleccione la pestaña Aspectos básicos y, a continuación, escriba un nombre para mostrar y una descripción para la organización.Select the Basics tab, and then enter a display name and description for the organization.

    Panel Aspectos básicos de "Agregar organización conectada"

  4. El estado se establecerá automáticamente en Configurada al crear una nueva organización conectada.The state will automatically be set to Configured when you create a new connected organization. Para más información acerca de las propiedades de estado, consulte Propiedades de estado de las organizaciones conectadas.For more information about state properties, see State properties of connected organizations

  5. Seleccione la pestaña Directorio y dominio y, a continuación, Agregar directorio y dominio.Select the Directory + domain tab, and then select Add directory + domain.

    Se abre el panel Seleccionar directorios y dominios.The Select directories + domains pane opens.

  6. En el cuadro de búsqueda, escriba un nombre de dominio para buscar el directorio o el dominio de Azure AD.In the search box, enter a domain name to search for the Azure AD directory or domain. Asegúrese de escribir el nombre de dominio completo.Be sure to enter the entire domain name.

  7. Compruebe que el nombre de la organización y el tipo de autenticación son correctos.Verify that the organization name and authentication type are correct. El modo en que los usuarios inician sesión depende del tipo de autenticación.How users sign in depends on the authentication type.

    Panel "Seleccionar directorios y dominios"

  8. Seleccione Agregar para agregar el directorio o dominio de Azure AD.Select Add to add the Azure AD directory or domain. Actualmente, solo puede agregar un directorio o dominio de Azure AD por organización conectada.Currently, you can add only one Azure AD directory or domain per connected organization.

    Nota

    Todos los usuarios del directorio o dominio de Azure AD podrán solicitar este paquete de acceso.All users from the Azure AD directory or domain will be able to request this access package. Esto incluye a los usuarios de Azure AD de todos los subdominios asociados con el directorio, a menos que los dominios estén bloqueados en la lista de permitidos o denegados de B2B de Azure AD.This includes users in Azure AD from all subdomains associated with the directory, unless those domains are blocked by the Azure AD business to business (B2B) allow or deny list. Para obtener más información, consulte Allow or block invitations to B2B users from specific organizations (Permitir o bloquear invitaciones a usuarios de B2B procedentes de determinadas organizaciones).For more information, see Allow or block invitations to B2B users from specific organizations.

  9. Después de agregar el directorio o dominio de Azure AD, elija Seleccionar.After you've added the Azure AD directory or domain, select Select.

    La organización aparece en la lista.The organization appears in the list.

    Panel Directorio y dominio

  10. Seleccione la pestaña Patrocinadores y, a continuación, agregue patrocinadores opcionales para esta organización conectada.Select the Sponsors tab, and then add optional sponsors for this connected organization.

    Los patrocinadores son usuarios internos o externos ya existentes en el directorio que son el punto de contacto para la relación con esta organización conectada.Sponsors are internal or external users already in your directory that are the point of contact for the relationship with this connected organization. Los patrocinadores internos son usuarios miembros de su directorio.Internal sponsors are member users in your directory. Los patrocinadores externos son usuarios invitados de la organización conectada a los que se ha invitado previamente y que ya están en el directorio.External sponsors are guest users from the connected organization that were previously invited and are already in your directory. Los patrocinadores se pueden usar como aprobadores cuando los usuarios de esta organización conectada soliciten acceso a este paquete de acceso.Sponsors can be utilized as approvers when users in this connected organization request access to this access package. Para obtener información sobre cómo traer a un usuario invitado a su directorio, consulte Agregar usuarios de colaboración de Azure Active Directory B2B en el Azure Portal.For information about how to invite a guest user to your directory, see Add Azure Active Directory B2B collaboration users in the Azure portal.

    Al seleccionar Agregar o quitar, se abre un panel en el que puede elegir patrocinadores internos o externos.When you select Add/Remove, a pane opens in which you can choose internal or external sponsors. El panel muestra una lista sin filtrar de usuarios y grupos en el directorio.The pane displays an unfiltered list of users and groups in your directory.

    Panel Patrocinadores

  11. Seleccione la pestaña Revisar y crear, revise la configuración de la organización y, luego, elija Crear.Select the Review + create tab, review your organization settings, and then select Create.

    Panel Revisar y crear

Actualización de una organización conectadaUpdate a connected organization

Si la organización conectada cambia a otro dominio, el nombre de la organización cambia o quiere cambiar los patrocinadores, puede seguir las instrucciones de esta sección para actualizar la organización conectada.If the connected organization changes to a different domain, the organization's name changes, or you want to change the sponsors, you can update the connected organization by following the instructions in this section.

Rol necesario: administrador global o administrador de usuarios.Prerequisite role: Global administrator or User administrator

  1. En Azure Portal, seleccione Azure Active Directory y, a continuación, Gobernanza de identidades.In the Azure portal, select Azure Active Directory, and then select Identity Governance.

  2. En el panel de la izquierda, seleccione Organizaciones conectadas y, a continuación, seleccione la organización conectada para abrirla.In the left pane, select Connected organizations, and then select the connected organization to open it.

  3. En el panel de información general de la organización conectada, seleccione Editar para cambiar el nombre, la descripción o el estado de la organización.In the connected organization's overview pane, select Edit to change the organization name, description, or state.

  4. En el panel Directorio y dominio, seleccione Actualizar directorio y dominio para cambiar a otro directorio o dominio.In the Directory + domain pane, select Update directory + domain to change to a different directory or domain.

  5. En el panel Patrocinadores, seleccione Agregar patrocinadores internos o Agregar patrocinadores externos para agregar un usuario como patrocinador.In the Sponsors pane, select Add internal sponsors or Add external sponsors to add a user as a sponsor. Para quitar un patrocinador, selecciónelo y, en el panel derecho, seleccione Eliminar.To remove a sponsor, select the sponsor and, in the right pane, select Delete.

Eliminar una organización conectadaDelete a connected organization

Si ya no tiene una relación con un dominio o directorio externo de Azure AD, puede eliminar la organización conectada.If you no longer have a relationship with an external Azure AD directory or domain, you can delete the connected organization.

Rol necesario: administrador global o administrador de usuarios.Prerequisite role: Global administrator or User administrator

  1. En Azure Portal, seleccione Azure Active Directory y, a continuación, Gobernanza de identidades.In the Azure portal, select Azure Active Directory, and then select Identity Governance.

  2. En el panel de la izquierda, seleccione Organizaciones conectadas y, a continuación, seleccione la organización conectada para abrirla.In the left pane, select Connected organizations, and then select the connected organization to open it.

  3. En el panel de información general de la organización conectada, seleccione Eliminar para eliminarla.In the connected organization's overview pane, select Delete to delete it.

    Botón Eliminar de la organización conectada

Administración de una organización conectada mediante programaciónManaging a connected organization programmatically

También puede crear, enumerar, actualizar y eliminar organizaciones conectadas mediante Microsoft Graph.You can also create, list, update, and delete connected organizations using Microsoft Graph. Un usuario de un rol adecuado con una aplicación con el permiso EntitlementManagement.ReadWrite.All delegado puede llamar a la API para administrar objetos connectedOrganization y establecer patrocinadores para ellos.A user in an appropriate role with an application that has the delegated EntitlementManagement.ReadWrite.All permission can call the API to manage connectedOrganization objects and set sponsors for them.

Propiedades de estado de las organizaciones conectadasState properties of connected organizations

Actualmente, existen dos tipos diferentes de propiedades de estado para las organizaciones conectadas en la administración de derechos de Azure AD, configurada y propuesta:There are two different types of state properties for connected organizations in Azure AD entitlement management currently, configured and proposed:

  • Una organización conectada configurada es una organización conectada totalmente funcional que permite a los usuarios de esa organización acceder a los paquetes de acceso.A configured connected organization is a fully functional connected organization that allows users within that organization access to access packages. Cuando un administrador crea una nueva organización conectada en Azure Portal, tendrá el estado Configurada de forma predeterminada, ya que el administrador ha creado y desea usar esta organización conectada.When an admin creates a new connected organization in the Azure portal, it will be in the configured state by default since the administrator created and wants to use this connected organization. Además, cuando se crea una organización conectada mediante programación con la API, el estado predeterminado debe ser Configurada a menos que se establezca en otro estado explícitamente.Additionally, when a connected org is created programmatically via the API, the default state should be configured unless set to another state explicitly.

    Las organizaciones conectadas configuradas se mostrarán en los selectores de organizaciones conectadas y estarán en el ámbito de las directivas que tengan como destino "todas" las organizaciones conectadas.Configured connected organizations will show up in the pickers for connected organizations and will be in scope for any policies that target “all” connected organizations.

  • Una organización conectada propuesta es una organización conectada que se ha creado automáticamente, pero que un administrador no ha creado ni aprobado la organización.A proposed connected organization is a connected organization that has been automatically created, but hasn't had an administrator create or approve the organization. Cuando un usuario se suscribe a un paquete de acceso fuera de una organización conectada configurada, todas las organizaciones conectadas creadas automáticamente estarán en estado Propuesta, ya que ningún administrador del inquilino ha configurado esa asociación.When a user signs up for an access package outside of a configured connected organization, any automatically created connected organizations will be in the proposed state since no administrator in the tenant set-up that partnership.

    Las organizaciones conectadas propuestas no están en el ámbito de la configuración "todas la organizaciones conectadas configuradas" de ninguna directiva, pero se pueden utilizar en directivas solo para directivas que tienen como destino organizaciones específicas.Proposed connected organizations are not in scope for the “all configured connected organizations” setting on any policies but can be used in policies only for policies targeting specific organizations.

Solo los usuarios de las organizaciones conectadas configuradas pueden solicitar paquetes de acceso que estén disponibles para los usuarios de todas las organizaciones configuradas.Only users from configured connected organizations can request access packages that are available to users from all configured organizations. Los usuarios de las organizaciones conectadas propuestas tienen una experiencia como si no hubiera ninguna organización conectada para ese dominio; solo pueden ver y solicitar paquetes de acceso en el ámbito de su organización específica o en el ámbito de cualquier usuario.Users from proposed connected organizations have an experience as if there is no connected organization for that domain; can only see and request access packages scoped to their specific organization or scoped to any user.

Nota

Como parte de la implementación de esta nueva característica, todas las organizaciones conectadas creadas antes del 09/09/20 se consideran configuradas.As part of rolling out this new feature, all connected organizations created before 09/09/20 were considered configured. Si tiene un paquete de acceso que permitía registrarse a los usuarios de cualquier organización, debe revisar la lista de las organizaciones conectadas que se crearon antes de esa fecha para asegurarse de que ninguna está clasificada de forma incorrecta como Configurada.If you had an access package that allowed users from any organization to sign up, you should review your list of connected organizations that were created before that date to ensure none are miscategorized as configured. Un administrador puede actualizar la propiedad Estado según corresponda.An admin can update the State property as appropriate. Para obtener instrucciones, consulte Actualización de una organización conectada.For guidance, see Update a connected organization.

Pasos siguientesNext steps