Creación y administración de grupos

  • 8 minutos

Un grupo de Microsoft Entra ayuda a organizar a los usuarios, lo que facilita la administración de permisos. El uso de grupos permite al propietario del recurso (o al propietario del directorio de Microsoft Entra) asignar un conjunto de permisos de acceso a todos los miembros del grupo en lugar de tener que proporcionar los derechos uno a uno. Los grupos permiten definir un límite de seguridad y, después, agregar y quitar usuarios concretos para concederles o denegarles el acceso con una cantidad mínima de esfuerzo. Pero aún hay más, Microsoft Entra ID admite la posibilidad de definir la pertenencia en función de reglas, como el departamento en el que trabaja un usuario o el puesto que tiene.

Microsoft Entra ID permite definir dos tipos diferentes de grupos.

  1. Grupos de seguridad: son los más comunes y se usan para administrar el acceso de miembros y del equipo a los recursos compartidos de un grupo de usuarios. Por ejemplo, puede crear un grupo de seguridad relativo a una directiva de seguridad específica. De esta forma, puede conceder una serie de permisos a todos los miembros a la vez, en lugar de tener que agregarlos a cada miembro individualmente. Esta opción requiere un administrador de Microsoft Entra.

  2. Grupos de Microsoft 365: estos grupos brindan oportunidades de colaboración al conceder acceso a los miembros a un buzón compartido, calendarios, archivos, un sitio de SharePoint y mucho más. Esta opción también permite ofrecer acceso al grupo a personas de fuera de la organización. Esta opción está disponible para los usuarios, así como para los administradores.

Ver grupos disponibles

Puede ver todos los grupos seleccionando Grupos en la sección Administrar en el panel de Microsoft Entra. Una nueva instalación de Microsoft Entra ID no tendrá ningún grupo definido.

Screenshot that depicts all the existing groups.

Agregar grupos a Microsoft Entra ID

Las mismas opciones que vimos con los usuarios están disponibles para crear grupos en Microsoft Entra ID. Azure Portal es la forma más fácil de crear grupos. Debe seleccionar el tipo de grupo (Seguridad o Microsoft 365) y asignar un nombre de grupo único, una descripción y un tipo de pertenencia.

Screenshot of the Create Group feature in the Azure portal.

El campo Tipo de pertenencia puede tener uno de tres valores:

  1. Asignado (estático). El grupo contendrá los usuarios o grupos específicos que se hayan seleccionado.

  2. Usuario dinámico. Puede crear reglas basadas en peculiaridades para habilitar la pertenencia dinámica basada en atributos de los grupos. así, por ejemplo, si el departamento de un usuario es Ventas, ese usuario se asignará dinámicamente al grupo Ventas.

    Puede usar grupos de seguridad para los dispositivos o los usuarios, pero solo puede usar grupos de Microsoft 365 para los grupos de usuarios. Si el departamento del usuario cambia en el futuro, dicho usuario se quitará del grupo automáticamente. Esta característica requiere una licencia P1 de Microsoft Entra ID.

  3. Dispositivo dinámico. Puede crear reglas basadas en peculiaridades para habilitar la pertenencia dinámica basada en atributos de los grupos. Por ejemplo, si el dispositivo de un usuario está asociado al departamento Servicio, ese dispositivo se asigna dinámicamente al grupo Servicio.

    Puede usar grupos de seguridad para los dispositivos o los usuarios, pero solo puede usar grupos de Microsoft 365 para los grupos de usuarios. Si la asociación del dispositivo con un departamento determinado cambia en el futuro, se quita automáticamente del grupo. Esta característica requiere una licencia P1 de Microsoft Entra ID.

Por último, puede seleccionar los propietarios del grupo que pueden administrar dicho grupo y los miembros que van a pertenecer al grupo. Ambos pueden contener otros grupos, así como usuarios individuales.

Creación de grupos mediante scripts

También puede usar PowerShell de Microsoft Graph para agregar un grupo mediante el comando New-MgGroup, como se muestra aquí:

New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False

Cambio de la pertenencia de un grupo

Una vez creado un grupo, puede agregar o quitar usuarios (o grupos) de él editando su pertenencia. Seleccione el grupo y use las opciones de la sección Administrar.

Screenshot showing the group-management options.