Configuración de la administración de grupos de autoservicio en Azure Active DirectorySet up self-service group management in Azure Active Directory

Puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Office 365 en Azure Active Directory (Azure AD).You can enable users to create and manage their own security groups or Office 365 groups in Azure Active Directory (Azure AD). El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos.The owner of the group can approve or deny membership requests, and can delegate control of group membership. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución.Self-service group management features are not available for mail-enabled security groups or distribution lists.

Valores predeterminados de pertenencia a grupos de autoservicioSelf-service group membership defaults

Cuando se crean grupos de seguridad en Azure Portal o con Azure AD PowerShell, solo los propietarios del grupo pueden actualizar pertenencia.When security groups are created in the Azure portal or using Azure AD PowerShell, only the group's owners can update membership. Los grupos de seguridad creados en el Panel de acceso y todos los grupos de Office 365 están disponibles para que se unan todos los usuarios, tanto los aprobados por el propietario como los aprobados automáticamente.Security groups created in the Access panel and all Office 365 groups are available to join for all users, whether owner-approved or auto-approved. En el Panel de acceso, puede cambiar las opciones de pertenencia al crear el grupo.In the Access panel, you can change membership options when you create the group.

Grupos creados enGroups created in Comportamiento predeterminado del grupo de seguridadSecurity group default behavior Comportamiento predeterminado del grupo de Office 365Office 365 group default behavior
Azure AD PowerShellAzure AD PowerShell Solo los propietarios pueden agregar miembrosOnly owners can add members
Visible pero no está disponible para unión en el Panel de accesoVisible but not available to join in Access panel
Abierto para unirse todos los usuariosOpen to join for all users
Azure PortalAzure portal Solo los propietarios pueden agregar miembrosOnly owners can add members
Visible pero no está disponible para unión en el Panel de accesoVisible but not available to join in Access panel
El propietario no se asigna automáticamente durante la creación del grupoOwner is not assigned automatically at group creation
Abierto para unirse todos los usuariosOpen to join for all users
Panel de accesoAccess panel Abierto para unirse todos los usuariosOpen to join for all users
Las opciones de pertenencia se pueden cambiar cuando se crea el grupoMembership options can be changed when the group is created
Abierto para unirse todos los usuariosOpen to join for all users
Las opciones de pertenencia se pueden cambiar cuando se crea el grupoMembership options can be changed when the group is created

Escenarios de administración de grupos de autoservicioSelf-service group management scenarios

  • Administración de grupos delegados Por ejemplo, un administrador que administra el acceso a una aplicación SaaS que su compañía usa.Delegated group management An example is an administrator who is managing access to a SaaS application that the company is using. La administración de estos derechos de acceso se está volviendo compleja, por lo que este administrador solicita al propietario de la empresa la creación de un nuevo grupo.Managing these access rights is becoming cumbersome, so this administrator asks the business owner to create a new group. El administrador asigna al nuevo grupo acceso a la aplicación y le agrega todas las personas que ya acceden a la aplicación.The administrator assigns access for the application to the new group, and adds to the group all people already accessing the application. Luego, el propietario de la empresa puede agregar más usuarios, y dichos usuarios se aprovisionan automáticamente en la aplicación.The business owner then can add more users, and those users are automatically provisioned to the application. No es preciso que el propietario espere a que el administrador administre el acceso de los usuarios.The business owner doesn't need to wait for the administrator to manage access for users. Si el administrador concede el mismo permiso a un administrador de otro grupo de negocios, dicha persona también puede administrar el acceso de sus propios usuarios.If the administrator grants the same permission to a manager in a different business group, then that person can also manage access for their own group members. Ni el propietario de una empresa ni el administrador pueden ver o administrar las pertenencias al grupo del otro.Neither the business owner nor the manager can view or manage each other’s group memberships. El administrador podrá seguir viendo todos los usuarios que tienen acceso a la aplicación y bloquear los derechos de acceso si fuera necesario.The administrator can still see all users who have access to the application and block access rights if needed.
  • Administración de grupos de autoservicio Por ejemplo, dos usuarios tienen sitios de SharePoint Online configurados de forma independiente.Self-service group management An example of this scenario is two users who both have SharePoint Online sites that they set up independently. Ellos desean que los equipos del otro puedan acceder a sus sitios.They want to give each other’s teams access to their sites. Para ello, pueden crear un grupo en Azure AD, y en SharePoint Online cada uno de ellos selecciona dicho grupo para proporcionar acceso a sus sitios.To accomplish this, they can create one group in Azure AD, and in SharePoint Online each of them selects that group to provide access to their sites. Cuando alguien desea tener acceso, lo solicita en el Panel de acceso, y tras la aprobación obtiene acceso a ambos sitios de SharePoint Online automáticamente.When someone wants access, they request it from the Access Panel, and after approval they get access to both SharePoint Online sites automatically. Posteriormente, uno de ellos decide que todas las personas que accedan a su sitio también deben obtener acceso a una aplicación SaaS concreta.Later, one of them decides that all people accessing the site should also get access to a particular SaaS application. El administrador de la aplicación SaaS puede agregar derechos de acceso a la aplicación en el sitio de SharePoint Online.The administrator of the SaaS application can add access rights for the application to the SharePoint Online site. Desde ese momento, todas las solicitudes aprobadas darán acceso tanto a los dos sitios de SharePoint Online como a la aplicación SaaS.From then on, any requests that get approved gives access to the two SharePoint Online sites and also to this SaaS application.

Puesta a disposición de un grupo para el autoservicio del usuarioMake a group available for user self-service

  1. Inicie sesión en el Centro de administración de Azure AD con una cuenta que tenga el rol de administrador global en el directorio.Sign in to the Azure AD admin center with an account that's a global admin for the directory.
  2. Seleccione Usuarios y grupos y, luego, Todos los usuarios.Select Users and groups, and then select Group settings.
  3. Establezca Administración de grupos de autoservicio habilitada en .Set Self-service group management enabled to Yes.
  4. Establezca Los usuarios pueden crear grupos de seguridad o Los usuarios pueden crear grupos de Office 365 en .Set Users can create security groups or Users can create Office 365 groups to Yes.
    • Si estas opciones están habilitadas, todos los usuarios del directorio pueden crear nuevos grupos de seguridad y agregarles miembros.When these settings are enabled, all users in your directory are allowed to create new security groups and add members to these groups. Estos grupos nuevos también se muestran en el Panel de acceso para los restantes usuarios.These new groups would also show up in the Access Panel for all other users. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos.If the policy setting on the group allows it, other users can create requests to join these groups.
    • Si están deshabilitadas, los usuarios no pueden crear grupos ni pueden cambiar los grupos existentes de los que sean propietarios.When these settings are disabled, users can't create groups and can't change existing groups for which they are an owner. Sin embargo, pueden administrar la pertenencia a dichos grupos y aprobar las solicitudes de otros usuarios para unirse a ellos.However, they can still manage the memberships of those groups and approve requests from other users to join their groups.

También puede utilizar la opción Usuarios que pueden administrar los grupos de seguridad y Usuarios que pueden administrar los grupos de Office 365 para conseguir un control de acceso más específico sobre la administración de grupos de autoservicio para los usuarios.You can also use Users who can manage security groups and Users who can manage Office 365 groups to achieve more granular access control over self-service group management for your users. Cuando la opción Los usuarios pueden crear grupos esté habilitada, todos los usuarios de su inquilino podrán crear nuevos grupos y agregarles miembros.When Users can create groups is enabled, all users in your tenant are allowed to create new groups and add members to these groups. No puede especificar a personas que puedan crear sus propios grupos.You can't specify individuals who can create their own groups. Solo puede especificar a personas para convertir a otro miembro del grupo en propietario del grupo.You can specify individuals only for making another group member a group owner.

Si en Usuarios que pueden utilizar el autoservicio para grupos de seguridad y Usuarios que pueden administrar grupos de Office 365 se selecciona , se permite que todos los usuarios del inquilino creen grupos.By setting Users who can use self-service for security groups and Users who can manage Office 365 groups to Yes, you enable all users in your tenant to create new groups.

También puede usar Grupo que puede administrar los grupos de seguridad o Grupo que puede administrar los grupos de Office 365 para especificar un único grupo cuyos miembros pueden utilizar el autoservicio.You can also use Group that can manage security groups or Group that can manage Office 365 groups to specify a single group whose members can use self-service.

Pasos siguientesNext steps

Estos artículos proporcionan información adicional sobre Azure Active Directory.These articles provide additional information on Azure Active Directory.