Delegación de permisos de registro de aplicaciones en Azure Active Directory

En este artículo se describe cómo usar los permisos concedidos por roles personalizados de Azure Active Directory (Azure AD) para satisfacer las necesidades de administración de aplicaciones. En Azure AD puede delegar los permisos de creación y administración de aplicaciones de las siguientes maneras:

  • Restricción de quién puede crear aplicaciones y administración de las aplicaciones que crean. De manera predeterminada, en Azure AD, todos los usuarios pueden registrar aplicaciones y administrar todos los aspectos de las aplicaciones que crean. Esto se puede restringir para permitir que solo los usuarios seleccionados tengan permiso.
  • Asignación de uno o varios propietarios a una aplicación. Esta es una manera sencilla de conceder a alguien la posibilidad de administrar todos los aspectos de la configuración de Azure AD de una aplicación específica.
  • Asignación de un rol administrativo integrado que conceda acceso para administrar la configuración de todas las aplicaciones en Azure AD. Esta es la manera recomendada de conceder a los expertos de TI acceso para administrar amplios permisos de configuración de aplicaciones sin conceder acceso para administrar otras partes de Azure AD no relacionadas con la configuración de aplicaciones.
  • Creación de un rol personalizado que defina permisos muy específicos y asignación a alguien en el ámbito de una sola aplicación como propietario limitado o en el ámbito de directorio (todas las aplicaciones) como administrador limitado.

Es importante considerar la posibilidad de conceder acceso mediante uno de los métodos anteriores por dos motivos. En primer lugar, la delegación de la capacidad de realizar tareas administrativas reduce la sobrecarga del administrador global. En segundo lugar, el uso de permisos limitados mejora su nivel de seguridad y reduce la posibilidad de accesos no autorizados. Para obtener instrucciones sobre el planeamiento de la seguridad de roles, consulte Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD.

Restricción de quién puede crear aplicaciones

De manera predeterminada, en Azure AD, todos los usuarios pueden registrar aplicaciones y administrar todos los aspectos de las aplicaciones que crean. Todos los usuarios tienen también la posibilidad de dar consentimiento a las aplicaciones para acceder a los datos de la empresa en su nombre. Puede decidir conceder de manera selectiva esos permisos estableciendo los modificadores globales en "No" y agregando los usuarios seleccionados al rol Desarrollador de aplicaciones.

  1. Inicie sesión en la organización de Azure AD con una cuenta que sea válida para el rol de administrador global de esa organización.

  2. Establezca uno o los dos valores siguientes:

    • En la página Configuración de usuario de su organización, establezca el valor Los usuarios pueden registrar aplicaciones en No. Esto deshabilitará la capacidad predeterminada de los usuarios de crear registros de aplicación.
    • En la configuración de usuario de las aplicaciones empresariales, establezca el valor Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre en No. Esto deshabilitará la capacidad predeterminada de los usuarios de dar su consentimiento a las aplicaciones que acceden a los datos de la compañía en su nombre.

Asigne el rol Desarrollador de aplicaciones para conceder la capacidad de crear registros de aplicación cuando el valor Los usuarios pueden registrar aplicaciones está establecido en No. Esta función también concede permiso para dar consentimiento en nombre propio cuando la opción Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre está establecida en No.

Asignación de propietarios de la aplicación

La asignación de propietarios es una manera sencilla de conceder la posibilidad de administrar todos los aspectos de la configuración de Azure AD para un registro de aplicación o aplicación empresarial específicos. Para más información, consulte Asignación de propietarios de aplicaciones empresariales.

Asignación de roles de administrador de aplicaciones integrados

Azure AD dispone de un conjunto de roles de administrador integrados para conceder acceso para administrar en Azure AD la configuración de todas las aplicaciones. Estos roles son la manera recomendada de conceder a los expertos de TI acceso para administrar amplios permisos de configuración de aplicaciones sin conceder acceso para administrar otras partes de Azure AD no relacionadas con la configuración de aplicaciones.

  • Administrador de aplicaciones: los usuarios con este rol pueden crear y administrar todos los aspectos de las aplicaciones empresariales, los registros de aplicaciones y la configuración del proxy de aplicación. Este rol también proporciona la capacidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, excepto Microsoft Graph. Los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.
  • Administrador de aplicaciones en la nube: los usuarios con este rol tienen los mismos permisos que el rol de administrador de la aplicación, excluida la capacidad de administrar el proxy de aplicación. Los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.

Para más información y para ver la descripción de esos roles, consulte Roles integrados de Azure AD.

Siga las instrucciones de la guía paso a paso Asignación de roles a usuarios con Azure Active Directory para asignar los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube.

Importante

Los administradores de aplicaciones y los administradores de aplicaciones en la nube pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. La aplicación puede tener permisos que sean una elevación de privilegios con respecto a los permisos del rol de administrador. Un administrador de este rol podría crear o actualizar usuarios u otros objetos durante la suplantación de la aplicación, según los permisos de la aplicación. Ningún rol concede la capacidad para administrar la configuración de acceso condicional.

Creación y asignación de un rol personalizado (versión preliminar)

La creación y la asignación de roles personalizados son pasos independientes:

Esta separación le permite crear una definición de roles única y, a continuación, asignarla muchas veces en ámbitos diferentes. Un rol personalizado se puede asignar en un ámbito de toda la organización o en un ámbito de objeto en caso de que exista un único objeto de Azure AD. Un ejemplo de un ámbito de objeto es un registro de aplicación único. Mediante el uso de diferentes ámbitos, se puede asignar la misma definición de roles a Sally en todos los registros de aplicaciones de la organización y, a continuación, a Naveen solo en el registro de aplicación de informes de gastos de Contoso.

Sugerencias para crear y usar roles personalizados para delegar la administración de aplicaciones:

  • Los roles personalizados solo conceden acceso en las hojas de registro de aplicaciones más actuales de Azure Portal. No conceden acceso a las hojas de registros de aplicaciones heredadas.
  • Los roles personalizados no conceden acceso a Azure Portal si la opción de usuario Restringir el acceso al portal de administración de Azure AD está establecida en Sí.
  • Los registros de aplicaciones a los que el usuario tiene acceso mediante las asignaciones de roles solo aparecen en la pestaña "Todas las aplicaciones" de la página Registro de aplicación. No aparecen en la pestaña "Aplicaciones propias".

Para más información sobre los aspectos básicos de los roles personalizados, consulte la introducción sobre los roles personalizados, y también cómo crear un rol personalizado y cómo asignar un rol.

Pasos siguientes