Estas son algunas preguntas comunes y sugerencias de solución de problemas para asignar roles de Microsoft Entra a grupos de Microsoft Entra.
Soy administrador de grupos, pero no veo el modificador "Los roles de Microsoft Entra pueden ser asignados al grupo".
Solo los administradores de roles con privilegios o los administradores globales pueden crear un grupo apto para la asignación de roles. Solo los usuarios de esos roles ven este control.
¿Quién puede modificar la pertenencia de grupos asignados a roles de Microsoft Entra?
de forma predeterminada, solo los administradores de roles con privilegios y los administradores globales administran la pertenencia de un grupo al que se pueden asignar roles, pero puede delegar la administración de grupos a los que se pueden asignar roles agregando propietarios del grupo.
Soy administrador del departamento de soporte técnico en mi organización, pero no puedo actualizar la contraseña de un usuario que sea lector del directorio. ¿Por qué ocurre eso?
El usuario podría haber conseguido un lector del directorio por medio de un grupo al que se pueden asignar roles. Todos los miembros y propietarios de grupos a los que se pueden asignar roles están protegidos. Solo los usuarios de los roles Administrador de autenticación con privilegios o Administrador global pueden restablecer las credenciales de un usuario protegido.
no puedo actualizar la contraseña de un usuario. No se les ha asignado ningún rol con privilegios superior. ¿Por qué está sucediendo?
el usuario podría ser propietario de un grupo al que se pueden asignar roles. Protegemos a los propietarios de grupos a los que se pueden asignar roles para evitar la elevación de privilegios. Un ejemplo podría ser si se asigna un grupo Contoso_Security_Admins al rol Administrador de seguridad, donde Bob es el propietario del grupo y Alice es el administrador de contraseñas de la organización. Si no estuviera presente esta protección, Alice podría restablecer las credenciales de Bob y asumir su identidad. A continuación, Alice podría agregarse a sí misma o a cualquier persona al grupo Contoso_Security_Admins para convertirse en Administrador de seguridad de la organización. Para averiguar si un usuario es el propietario de un grupo, obtenga la lista de objetos pertenecientes a dicho usuario y compruebe si alguno de los grupos tiene isAssignableToRole establecido en true. En caso afirmativo, ese usuario está protegido y el comportamiento es por diseño. Consulte estos documentos para obtener objetos en propiedad:
¿Puedo crear una revisión de acceso en grupos que puedan asignarse a roles de Microsoft Entra (específicamente, grupos con la propiedad isAssignableToRole establecida en verdadero)?
Sí, puede hacerlo. Los administradores globales y los administradores que tengan un rol con privilegios pueden crear revisiones de acceso en grupos asignables de rol.
¿Puedo crear un paquete de acceso e incluir en él grupos que puedan asignarse a roles de Microsoft Entra?
Sí, puede hacerlo. El administrador global y el administrador de usuarios tienen la capacidad de incluir cualquier grupo en un paquete de acceso. En el caso del administrador global, no se produce ningún cambio. Sin embargo, hay un ligero cambio en los permisos del rol Administrador de usuarios. Para incluir un grupo asignable del rol en un paquete de acceso, debe ser administrador de usuarios y también propietario del grupo asignable del rol. Esta es la tabla completa donde se muestra quién puede crear un paquete de acceso en la administración de licencias Enterprise:
| Rol de directorio de Microsoft Entra | Rol de administración de derechos | Puede agregar grupos de seguridad* | Puede agregar grupos de Microsoft 365* | Puede agregar aplicaciones | Puede agregar sitios de SharePoint Online |
|---|---|---|---|---|---|
| Administrador global | N/D | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrador de usuarios | N/D | ✔️ | ✔️ | ✔️ | |
| Administrador de Intune | Propietario del catálogo | ✔️ | ✔️ | ||
| Administrador de Exchange | Propietario del catálogo | ✔️ | |||
| Administrador del servicio Teams | Propietario del catálogo | ✔️ | |||
| Administrador de SharePoint | Propietario del catálogo | ✔️ | ✔️ | ||
| Administrador de aplicaciones | Propietario del catálogo | ✔️ | |||
| Administrador de aplicaciones en la nube | Propietario del catálogo | ✔️ | |||
| Usuario | Propietario del catálogo | Solo si es propietario del grupo | Solo si es propietario del grupo | Solo si es propietario de la aplicación |
* Al grupo no se le pueden asignar roles; es decir, isAssignableToRole = false. Si a un grupo se le pueden asignar roles, la persona que crea el paquete de acceso también debe ser propietaria del grupo asignable del rol.
no encuentro la opción "Quitar asignación" en "Roles asignados". ¿Cómo elimino la asignación de roles a un usuario?
Esta respuesta solo es aplicable a las organizaciones Microsoft Entra ID P1.
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione un usuario.
- Seleccione Roles asignados.
- Seleccione una asignación de roles que desee quitar.
- Seleccione Quitar asignaciones para quitar asignaciones de roles directas.
Para quitar la asignación indirecta de roles, quite el usuario del grupo al que se le ha asignado el rol.
¿cómo veo todos los grupos a los que se pueden asignar roles?
Siga estos pasos:
- Inicie sesión en el centro de administración de Microsoft Entra.
- Vaya aIdentidad>Grupos>Todos los grupos.
- Seleccione Agregar filtros.
- Filtre para Rol asignable.
¿cómo sabe qué rol se asigna directa o indirectamente a una entidad de seguridad?
Siga estos pasos:
- Inicie sesión en el centro de administración de Microsoft Entra.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione un usuario.
- Seleccione Roles asignados.
- Si tiene una licencia de Microsoft Entra ID P1, consulte la columnaRuta de acceso de asignación.
- Si tiene una licencia de Microsoft Entra ID P2, consulte la columna Pertenencia.
¿Por qué exigimos la creación de un nuevo grupo para asignarlo al rol?
si asigna un grupo existente a un rol, el propietario del grupo existente podría agregar otros miembros a este grupo sin saber los nuevos miembros que tendrán el rol. Dado que los grupos a los que se pueden asignar roles son eficaces, ponemos muchas restricciones para protegerlos. No quiere cambios en el grupo inesperados para la persona que administra el grupo.