Requisitos previos de la cuenta de invitado

  • Artículo

Microsoft Managed Desktop requiere la siguiente configuración en la organización de Microsoft Entra para el acceso a la cuenta de invitado. Puede ajustar esta configuración en el Azure Portal en Identidades externas o Colaboración externa:

  • Los administradores y los usuarios con el rol de invitador invitado pueden establecer la invitación en .
  • En Restricciones de colaboración, elija cualquiera de las opciones siguientes:
    • Si selecciona Permitir que las invitaciones se envíen a cualquier dominio (la más inclusiva), no se requiere ninguna otra configuración.
    • Si selecciona Denegar invitaciones a los dominios especificados, asegúrese de que Microsoft.com no aparezca en los dominios de destino.
    • Si selecciona Permitir invitaciones solo a los dominios especificados (más restrictivo), asegúrese de que Microsoft.com aparezca en los dominios de destino.

Creación de roles y grupos durante la inscripción

Cuando el inquilino está inscrito en el servicio, Microsoft crea un grupo por rol en la organización Microsoft Entra.

Ejemplo del proceso de acceso a la cuenta de invitado

  1. El equipo de Centros de operaciones seguras de Escritorio administrado (SOC) de Microsoft recibe una notificación de alerta.
  2. Un ingeniero de SOC envía una solicitud de acceso única para el rol de administrador de seguridad.
  3. En función del requisito de tarea, es posible que el equipo tenga que solicitar acceso único con aprobación o aprobación automática.
    1. Una vez completada la solicitud específica del rol, el ingeniero de servicios de SOC inicia sesión en el portal de Microsoft Defender del inquilino e investiga la alerta. Las acciones de investigación principales durante una investigación de alerta típica podrían incluir elementos como:
      1. Revise los detalles específicos de la alerta rellenados por Defender.
      2. Clasifique, establezca el estado o comente el incidente o la alerta.
      3. Revisión de la escala de tiempo del dispositivo y los detalles de la página de incidentes.
      4. Aprobar o denegar acciones correctivas.
      5. Inicie investigaciones automatizadas.
    2. Use funcionalidades de búsqueda avanzada .
  4. Cuando se completan estas acciones, el ingeniero de SOC cierra la sesión del inquilino y cierra la solicitud.

Configuración de la colaboración externa

Microsoft Managed Desktop recomienda la siguiente configuración en la organización de Microsoft Entra para el acceso a la cuenta de invitado. Puede ajustar estas configuraciones en el portal deAzure en Identidades externas / Configuración de colaboración externa:

Configuración Descripción
Acceso de invitado Los invitados tienen acceso limitado a las propiedades y pertenencias de objetos de directorio.
Configuración de invitaciones para usuarios invitados Usuarios miembros y usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados, incluidos los invitados con permisos de miembro

Microsoft Managed Desktop requiere la siguiente configuración en la organización de Microsoft Entra para el acceso a la cuenta de invitado. Puede ajustar esta configuración en el portal deAzure en Identidades externas / Configuración de colaboración externa:

Configuración Opción
Restricciones de colaboración Seleccione cualquiera de estas opciones:
  • Si selecciona Permitir que las invitaciones se envíen a cualquier dominio (más inclusivo), no se requiere ninguna otra configuración.
  • Si selecciona Denegar invitaciones a los dominios especificados, asegúrese de que Microsoft.com no aparezca en los dominios de destino.
  • Si selecciona Permitir invitaciones solo a los dominios especificados (más restrictivo), asegúrese de que Microsoft.com aparezca en los dominios de destino.

    Si establece restricciones que interactúan con esta configuración, asegúrese de excluir la Microsoft Entra id. Cuentas de servicio modernas de Workplace. Por ejemplo, si tiene una directiva de acceso condicional que impide que las cuentas de invitado accedan al portal de Intune, excluya el grupo cuentas de servicio de Modern Workplace de esta directiva.

    Para más información, consulte Habilitar la colaboración externa B2B y gestionar quién puede invitar a los invitados.

    Administrador de Intune sin licencia

    La configuración Permitir el acceso a administradores sin licencia debe estar habilitada. Sin esta configuración habilitada, se pueden producir errores al intentar acceder a la organización de Microsoft Entra para el servicio. Puede habilitar esta configuración de forma segura sin preocuparse por las implicaciones de seguridad. El ámbito de acceso se define mediante los roles asignados a los usuarios, incluido nuestro personal de operaciones.

    Para habilitar esta configuración:

    1. Vaya al centro de administración de Microsoft Intune.
    2. Vaya a Administración de inquilinos y seleccione Roles. A continuación, seleccione Licencias de administrador.
    3. En la sección Permitir el acceso a administradores sin licencia, seleccione .

    Importante

    No puede deshacer esta configuración después de seleccionar .

    Para obtener más información, consulteAdministradores sin licencia en Microsoft Intune.