Anterior

Siguientes

Diseño e implementación de roles de administración de aplicaciones

Completado

En este artículo se describe cómo usar los permisos concedidos por roles personalizados de Microsoft Entra ID para satisfacer las necesidades de administración de aplicaciones. En Microsoft Entra ID, puede delegar los permisos de creación y administración de aplicaciones de la siguiente manera:

• Restricción de quién puede crear aplicaciones y administración de las aplicaciones que crean.
• Asignación de uno o varios propietarios a una aplicación. La asignación de propietarios es una manera sencilla de conceder a alguien la posibilidad de administrar todos los aspectos de la configuración de Microsoft Entra ID de una aplicación específica.
• Asignación de un rol administrativo integrado que conceda acceso para administrar la configuración de todas las aplicaciones en Microsoft Entra ID. Los roles integrados son la manera recomendada de conceder a los expertos de TI acceso para administrar amplios permisos de configuración de aplicaciones sin conceder acceso para administrar otras partes de Microsoft Entra ID que no están relacionadas con la configuración de aplicaciones.
• Creación de un rol personalizado que defina permisos específicos y asignación a alguien en el ámbito de una sola aplicación como propietario limitado o en el ámbito de directorio (todas las aplicaciones) como administrador limitado.

Es importante considerar la posibilidad de conceder acceso mediante uno de los métodos anteriores por dos motivos. En primer lugar, la delegación de la capacidad de realizar tareas administrativas reduce la sobrecarga del administrador global. En segundo lugar, el uso de permisos limitados mejora su nivel de seguridad y reduce la posibilidad de accesos no autorizados.

Restricción de quién puede crear aplicaciones

De forma predeterminada, en Microsoft Entra ID, todos los usuarios pueden registrar registros de aplicación y administrar todos los aspectos de las aplicaciones que crean. Todos los usuarios tienen también la posibilidad de dar consentimiento a las aplicaciones para acceder a los datos de la empresa en su nombre. Puede decidir conceder de manera selectiva esos permisos estableciendo los modificadores globales en "No" y agregando los usuarios seleccionados al rol Desarrollador de aplicaciones.

Deshabilitar la capacidad predeterminada de crear registros de aplicación o dar consentimiento a las aplicaciones

1. Inicie sesión en su organización de Microsoft Entra con una cuenta que sea válida para el rol de administrador global en su organización de Microsoft Entra.

2. Establezca uno o los dos valores siguientes:

   • En la página Configuración de usuario de su organización, establezca el valor Los usuarios pueden registrar aplicaciones en No. Esto deshabilita la capacidad predeterminada de los usuarios de crear registros de aplicación.
   • En la configuración de usuario para aplicaciones empresariales, configure si los usuarios pueden agregar aplicaciones de galería a Mi aplicación o si las aplicaciones de Office 365 aparecen en el portal de Office.
   • En la configuración Consentimiento y permisos de las aplicaciones empresariales, establezca el valor Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre en No. Esto deshabilita la capacidad predeterminada de los usuarios de dar su consentimiento a las aplicaciones que acceden a los datos de la compañía en su nombre.

Concesión de permisos individuales para crear y dar consentimiento a las aplicaciones cuando la capacidad predeterminada está deshabilitada

Asigne el rol Desarrollador de aplicaciones para conceder la capacidad de crear registros de aplicación cuando el valor Los usuarios pueden registrar aplicaciones está establecido en No. Esta función también concede permiso para dar consentimiento en nombre propio cuando la opción Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre está establecida en No. Como comportamiento del sistema, cuando un usuario crea un registro de aplicación, se agrega automáticamente como primer propietario. Los permisos de propiedad proporcionan al usuario la posibilidad de administrar todos los aspectos de un registro de aplicación o de una aplicación empresarial de su propiedad.

Asignación de propietarios de la aplicación

La asignación de propietarios es una manera sencilla de conceder la posibilidad de administrar todos los aspectos de la configuración de Microsoft Entra ID para un registro de aplicación o aplicación empresarial específicos. Como comportamiento del sistema, cuando un usuario crea un registro de aplicación, se agrega automáticamente como primer propietario. Los permisos de propiedad proporcionan al usuario la posibilidad de administrar todos los aspectos de un registro de aplicación o de una aplicación empresarial de su propiedad. Se puede eliminar el propietario original y agregar otros propietarios.

Propietarios de aplicaciones empresariales

Como propietario, un usuario puede administrar la configuración de la aplicación empresarial que es específica de la organización, como la configuración del inicio de sesión único, el aprovisionamiento y las asignaciones de usuarios. Un propietario también puede agregar o quitar otros propietarios. A diferencia de los administradores globales, los propietarios solo pueden administrar las aplicaciones empresariales que poseen.

En algunos casos, las aplicaciones empresariales creadas desde la galería de aplicaciones incluyen una aplicación empresarial y un registro de aplicación. Cuando esto es así, al agregar un propietario a la aplicación empresarial, se agrega automáticamente el propietario al registro de aplicación correspondiente como propietario.

Para asignar un propietario a una aplicación empresarial

1. Inicie sesión en su organización de Microsoft Entra con una cuenta que sea válida para el administrador de aplicaciones o el administrador de aplicaciones en la nube de la organización.
2. En la página Registros de aplicaciones de la organización, seleccione una aplicación para abrir su página Información general.
3. Seleccione Propietarios para ver la lista de los propietarios de la aplicación.
4. Seleccione Agregar para seleccionar uno o varios propietarios para agregar a la aplicación.

Importante

Los usuarios y las entidades de servicio pueden ser propietarios de registros de aplicaciones. Solo los usuarios pueden ser propietarios de aplicaciones empresariales. No se pueden asignar grupos como propietarios en ninguno de los dos casos.

Los propietarios pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. La aplicación tiene más permisos que el propietario y, por tanto, se trataría de una elevación de privilegios con respecto a lo que el propietario tiene acceso como usuario o entidad de servicio. En función de los permisos de la aplicación, el propietario de la aplicación podría crear o actualizar usuarios u otros objetos mientras suplanta la aplicación.

Asignación de roles de administrador de aplicaciones integrados

Microsoft Entra ID dispone de un conjunto de roles de administrador integrados para conceder acceso para administrar en Microsoft Entra ID la configuración de todas las aplicaciones. Estos roles son la manera recomendada de conceder a los expertos de TI acceso para administrar amplios permisos de configuración de aplicaciones sin conceder acceso para administrar otras partes de Microsoft Entra ID que no están relacionadas con la configuración de aplicaciones.

• Administrador de aplicaciones: los usuarios con este rol pueden crear y administrar todos los aspectos de las aplicaciones empresariales, los registros de aplicaciones y la configuración del proxy de aplicación. Este rol también proporciona la capacidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, excepto Microsoft Graph. Los usuarios asignados a este rol se agregan como propietarios al crear registros de aplicaciones o aplicaciones empresariales.

• Administrador de aplicaciones en la nube: los usuarios con este rol tienen los mismos permisos que el rol de administrador de la aplicación, excluida la capacidad de administrar el proxy de aplicación. Los usuarios asignados a este rol se agregan como propietarios al crear registros de aplicaciones o aplicaciones empresariales.

  Importante

  Los administradores de aplicaciones y los administradores de aplicaciones en la nube pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. La aplicación tiene permisos que son una elevación de privilegios con respecto a los permisos del rol de administrador. En función de los permisos de la aplicación, un administrador de uno de estos roles podría crear o actualizar usuarios u otros objetos mientras suplanta la aplicación. Ningún rol concede la capacidad para administrar la configuración de acceso condicional.

Crear y asignar un rol personalizado

La creación y la asignación de roles personalizados son pasos independientes:

• Cree una definición de rol personalizada y agréguele permisos a partir de una lista preestablecida. Estos son los mismos permisos que se usan en los roles integrados.
• Cree una asignación de roles para asignar el rol personalizado.

Esta separación permite crear una definición de roles única y, a continuación, asignarla muchas veces en ámbitos diferentes. Un rol personalizado se puede asignar en el ámbito de toda la organización o en el ámbito de un único objeto de Microsoft Entra. Un ejemplo de un ámbito de objeto es un registro de aplicación único. Aun así, cuando un administrador usa ámbitos diferentes, se puede asignar la misma definición de roles a una persona en todos los registros de aplicaciones de la organización y, después, a otra en una sola aplicación o en registros de aplicaciones específicos.

Sugerencias para crear y usar roles personalizados para delegar la administración de aplicaciones:

• Los roles personalizados solo conceden acceso en las pantallas de registro de aplicaciones más actuales del Centro de administración Microsoft Entra. No conceden acceso a las pantallas de registros de aplicaciones heredadas.
• Los roles personalizados no conceden acceso al portal de Microsoft Entra ID si la opción de usuario del portal Restringir el acceso a la administración de Microsoft Entra ID está establecida en Sí.
• Los registros de aplicaciones a los que el usuario tiene acceso mediante las asignaciones de roles solo aparecen en la pestaña Todas las aplicaciones de la página Registro de aplicación. No aparecen en la pestaña Aplicaciones propias.

Continuar