Documentos de Académico
Documentos de Profesional
Documentos de Cultura
e INFORMACIÓN GENERAL
p CONCEPTO
Introducción
f INICIO RÁPIDO
Microsoft Entra ID también les ayuda a acceder a recursos internos, como las
aplicaciones de la red corporativa de intranet, junto con las aplicaciones en la nube
desarrolladas para su propia organización. Para saber cómo crear un inquilino, consulte
Inicio rápido: Creación de un inquilino en Microsoft Entra ID.
Para obtener información sobre las diferencias entre Active Directory y el identificador
de Microsoft Entra, consulte Comparación de Active Directory con Microsoft Entra ID.
También puede consultar los carteles de la serie Microsoft Cloud for Enterprise
Architects para comprender mejor los servicios de identidad principales de Azure, como
Microsoft Entra ID y Microsoft-365.
Los suscriptores de Microsoft 365, Office 365, Azure o Dynamics CRM Online ya
usan Microsoft Entra ID, ya que cada inquilino de Microsoft 365, Office 365, Azure
y Dynamics CRM Online es automáticamente un inquilino de Microsoft Entra.
Puede empezar de inmediato a administrar el acceso a las aplicaciones en la nube
integradas.
7 Nota
Para obtener más información sobre los precios de Microsoft Entra, póngase en
contacto con el Foro de Microsoft Entra .
Microsoft Entra ID P2. Además de las funciones gratuitas y P1, P2 también ofrece
Microsoft Entra ID Protection para ayudar a proporcionar acceso condicional
basado en el riesgo a sus aplicaciones y datos críticos de la empresa y Privileged
Identity Management para ayudar a descubrir, restringir y supervisar a los
administradores y su acceso a los recursos y para proporcionar acceso justo a
tiempo cuando sea necesario.
Para obtener más información sobre cómo asociar una suscripción de Azure a Microsoft
Entra ID, consulte Asociar o agregar una suscripción de Azure a Microsoft Entra ID. Para
obtener más información sobre la asignación de licencias a los usuarios, consulte Cómo:
Asignar o quitar licencias de Microsoft Entra ID .
Category Descripción
Microsoft Entra ID Cree aplicaciones que inicie sesión en todas las identidades de Microsoft,
para desarrolladores obtenga tokens para llamar a Microsoft Graph, otras API de Microsoft API
o API personalizadas. Para obtener más información, consulte Plataforma
de identidad de Microsoft (Microsoft Entra ID para desarrolladores).
Category Descripción
Negocio a negocio Administre los usuarios invitados y los asociados externos sin perder el
(B2B) control sobre sus propios datos corporativos. Para obtener más
información, consulte Microsoft Enters B2B documentation.
Negocio a cliente Personalice y controle la forma en que los usuarios se suscriben, inician
(B2C) sesión y administran sus perfiles al usar sus aplicaciones. Para más
información, consulte Documentación de Azure Active Directory B2C.
Acceso condicional Administre el acceso a sus aplicaciones en la nube. Para obtener más
información, consulte Documentación de Microsoft Entra Conditional
Access .
Identidad híbrida Use Microsoft Entra Connect y Connect Health para proporcionar una
identidad de usuario individual para la autenticación y autorización en
todos los recursos, independientemente de la ubicación (nube o local).
Para más información, consulte Documentación de identidad híbrida.
Supervisión y estado Obtenga información acerca de los patrones de seguridad y de uso del
entorno. Para obtener más información, consulte Supervisión y estado de
Microsoft Entra .
Terminología
Para comprender mejor Microsoft Entra ID y su documentación, recomendamos revisar
los siguientes términos.
Término o Descripción
concepto
Identidad Algo que se puede autenticar. Una identidad puede ser un usuario con un
nombre de usuario y una contraseña. Entre las identidades también se
incluyen aplicaciones u otros servidores que podrían requerir autenticación a
través de claves secretas o certificados.
Cuenta Una identidad que tiene datos asociados a ella. No puede tener una cuenta
sin una identidad.
Propietario Este rol ayuda a administrar todos los recursos de Azure, incluido el acceso.
Este rol se basa en un sistema de autorización más reciente llamado control
de acceso basado en rol de Azure (RBAC de Azure) que proporciona una
administración detallada del acceso a los recursos de Azure. Para obtener
más información, consulte Roles de Azure, roles de Microsoft Entra y roles de
administrador de suscripción clásicos .
Suscripción de Se usa para pagar los servicio en la nube de Azure. Puede tener muchas
Azure suscripciones y están vinculadas a una tarjeta de crédito.
Un solo inquilino Los inquilinos de Azure que acceden a otros servicios en un entorno
dedicado se consideran inquilino individuales.
Multiinquilino Los inquilinos de Azure que tienen acceso a otros servicios en un entorno
compartido, en varias organizaciones, se consideran varios inquilinos.
Dominio Cada nuevo directorio de Microsoft Entra viene con un nombre de dominio
personalizado inicial, por ejemplo, domainname.onmicrosoft.com . Además de ese nombre
inicial, también puede agregar los nombres de dominio de su organización.
Los nombres de dominio de la organización incluyen los nombres que se
usan para hacer negocios y que los usuarios usan para acceder a los recursos
de la organización en la lista. La adición de nombres de dominio
personalizados le ayuda a crear nombres de usuario que resultan familiares a
los usuarios, como alain@contoso.com.
Cuenta Microsoft Cuentas personales que proporcionan acceso a los productos y servicios en
(también la nube de Microsoft orientados al consumidor. Estos productos y servicios
denominada incluyen Outlook, OneDrive, Xbox LIVE o Microsoft 365. Su cuenta Microsoft
MSA)
Término o se crean y almacenan en el sistema de cuentas de identidad de consumidor
Descripción
concepto de Microsoft que ejecuta Microsoft.
Pasos siguientes
Regístrese en Microsoft Entra ID P1 o P2
Puede seguir usando las funcionalidades conocidas de Azure AD a las que puede
acceder a través de Azure Portal, el Centro de administración de Microsoft 365 y el
Centro de administración de Microsoft Entra .
Para que no haya problemas con la transición, todas las direcciones URL de inicio de
sesión, las API, los cmdlets de PowerShell y las bibliotecas de autenticación de Microsoft
(MSAL) permanecen iguales, al igual que las experiencias y herramientas de
desarrollador.
Los nombres para mostrar del plan de servicio cambiaron el 1 de octubre de 2023.
Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2 son los nuevos
nombres de ofertas independientes y todas las funcionalidades incluidas en los planes
actuales de Azure AD seguirán siendo las mismas. Microsoft Entra ID (conocido
anteriormente como Azure AD) seguirá incluido en los planes de licencias de
Microsoft 365, incluidos Microsoft 365 E3 y Microsoft 365 E5. Los detalles sobre los
precios y lo que se incluye están disponibles en la página de precios y pruebas
gratuitas .
Durante 2023, es posible que vea el nombre actual de Azure AD y el nuevo nombre de
Microsoft Entra ID en las rutas de acceso del área de soporte técnico. Para obtener
soporte técnico en modo autoservicio, busque la ruta de acceso del tema de Microsoft
Entra o Azure Active Directory/Microsoft Entra ID .
El nombre del producto y los iconos cambian y las características ahora se marcan como
Microsoft Entra en lugar de Azure AD. Si va a actualizar el nombre a Microsoft Entra id.
en su propio contenido o experiencias, consulte How to: Rename Azure AD (Cómo:
Cambiar el nombre de Azure AD).
Nombre de producto
Microsoft Entra ID es el nuevo nombre de Azure AD. Reemplace los nombres de
producto de Azure Active Directory, Azure AD y AAD por Microsoft Entra ID.
Logotipo o icono
Los iconos de producto de Azure AD se reemplazan por el icono de producto de
identificador de Microsoft Entra.
Iconos de producto de Azure AD Icono del producto de Microsoft Entra ID
Nombres de características
Las funcionalidades o los servicios anteriormente conocidos como “<Nombre de la
característica> de Azure Active Directory" o “<Nombre de la característica> de
Azure AD” se les modificará la marca a características de la familia de productos de
Microsoft Entra. Esto se hace en toda nuestra cartera para evitar la longitud y la
complejidad de la nomenclatura, y porque muchas características funcionan en todos
los productos. Por ejemplo:
Terminología Detalles
correcta
DS)
• Active Directory
• Todas las
características de
Active Directory
Grafo Azure Active Directory (Azure AD) Graph está en desuso. En el futuro, no
realizaremos más inversiones en Azure AD Graph y las API de Azure AD
• Azure Active Graph no tienen ningún Acuerdo de Nivel de Servicio ni compromiso de
Directory Graph mantenimiento más allá de las correcciones relacionadas con la
• Azure AD Graph seguridad. Las inversiones en las nuevas características y funcionalidades
• Microsoft Graph solo se realizarán en Microsoft Graph.
PowerShell Está previsto que Azure AD PowerShell para Graph quede en desuso el 30
de marzo de 2024. Para obtener más información sobre los planes de
• Azure Active desuso, consulta la actualización de desuso. Se recomienda migrar a
Directory PowerShell Microsoft Graph PowerShell, que es el módulo recomendado para
• Azure AD interactuar con Azure AD.
PowerShell
• PowerShell de Microsoft Graph PowerShell: actúa como contenedor de API para las API
Microsoft Graph de Microsoft Graph y ayuda a administrar cada característica de
Microsoft Entra ID que tiene una API en Microsoft Graph.
Cuentas Para los inicios de sesión de usuario final y las experiencias de la cuenta,
siga las instrucciones para las cuentas profesionales y educativas en Inicio
• Cuenta de de sesión con instrucciones de personalización de marca de Microsoft.
Microsoft
Terminología Detalles
• Cuenta profesional
correcta
o educativa
Nombre para mostrar antiguo para el plan de Nombre para mostrar nuevo para el plan de
servicio servicio
Nombre para mostrar anterior para la SKU del Nombre para mostrar nuevo para la SKU
producto del producto
¿Azure AD se retira?
No, solo se retira el nombre de Azure AD. Las funcionalidades siguen siendo las mismas.
Muchos componentes técnicos tienen poca visibilidad para los clientes (por ejemplo,
direcciones URL de inicio de sesión) o no suelen llevar marca, como las API.
Los banners, las alertas y las publicaciones del centro de mensajes notificaron a los
usuarios del cambio de nombre. También se mostró el cambio en la página de
información general del inquilino, en los portales como Azure, Microsoft 365 y el centro
de administración de Microsoft Entra, y Microsoft Learn.
Solo se escriben en mayúsculas los nombres oficiales de los productos, además de las
aplicaciones Acceso condicional y Mis *.
Historial de revisiones
Fecha Descripción del cambio
12 de octubre
de 2023 • Se ha actualizado la declaración sobre la disponibilidad de los planes de
licencia.
• Se han agregado otros tres términos en el glosario: "Conector de Azure AD",
"Licencia de Azure AD" y "Azure AD Premium"
29 de agosto
de 2023 • En el glosario, corrigió la entrada de "Registros de actividad de Azure AD"
para separarlo del "Registro de auditoría de Azure AD", que es un tipo distinto
de registro de actividad.
• Se han agregado Sincronización de Azure AD y DirSync a la sección ¿Qué
nombres no cambian?
Fecha Descripción del cambio
18 de agosto
de 2023 • Se ha actualizado el artículo para incluir una nueva sección Glosario de
terminología actualizada, que incluye la terminología antigua y nueva.
• Se ha actualizado la información y se ha agregado un vínculo al uso del icono
de id. de Microsoft Entra y se actualizan los verbos en algunas secciones.
11 de julio de Publicó las instrucciones originales como parte del momento Microsoft Entra y
2023 el anuncio relacionado .
Pasos siguientes
Cómo: Cambiar el nombre de Azure AD
Mantenerse al día con las novedades de Microsoft Entra ID (anteriormente Azure
AD)
Introducción al uso de Microsoft Entra ID en el Centro de administración de
Microsoft Entra
Más información sobre la familia Microsoft Entra con contenido de Microsoft Learn
Conceptos básicos de la administración
de identidad y acceso (IAM)
Artículo • 25/10/2023
Identidad
Una identidad digital es una colección de identificadores o atributos únicos que
representan a una persona, componente de software, máquina o recurso en un sistema
informático. Un identificador puede ser:
Las identidades se usan para autenticar y autorizar el acceso a los recursos, comunicarse
con otros usuarios, realizar transacciones y otros fines.
Authentication
La autenticación es el proceso de desafío de una persona, un componente de software o
un dispositivo de hardware para obtener sus credenciales con el fin de comprobar su
identidad, o demostrar que son quienes o lo que afirman ser. Por lo general, la
autenticación requiere el uso de credenciales (como el nombre de usuario y la
contraseña, las huellas digitales, los certificados o los códigos de acceso de un solo uso).
A veces, la autenticación se abrevia como AuthN.
La autenticación multifactor (MFA) es una medida de seguridad que requiere que los
usuarios proporcionen más de un fragmento de evidencia para comprobar sus
identidades, como:
El inicio de sesión único (SSO) permite que los usuarios autentiquen su identidad una
vez y, después, se autentiquen silenciosamente al acceder a varios recursos que
dependen de la misma identidad. Después de autenticarse, el sistema IAM actúa como
el origen de la verdad de la identidad para los demás recursos disponibles para el
usuario. Este sistema elimina la necesidad de iniciar sesión en varios sistemas de destino
independientes.
Authorization
La autorización valida que se ha concedido acceso al usuario, la máquina o el
componente de software a determinados recursos. A veces, la autorización se acorta a
AuthZ.
Authentication Authorization
Se puede considerar como un portero que permite Se puede considerar como un guardia que
el acceso solo a aquellos que proporcionan asegura que solo aquellos con el permiso
credenciales válidas. adecuado pueden entrar en determinadas
áreas.
Desafía al usuario, la máquina o el software para Determina qué nivel de acceso tiene un
que proporcione las credenciales verificables (por usuario, una máquina o un software.
ejemplo, contraseñas, identificadores biométricos o
certificados).
Suele usar OpenID Connect (OIDC) (que se basa en Suele usar el protocolo OAuth 2.0.
el protocolo OAuth 2.0) o los protocolos SAML.
Las puertas de las habitaciones del hotel y otras áreas tienen sensores que responden a
estas tarjetas llave. La acción de deslizar la tarjeta llave delante de un sensor es el
"proceso de autorización". La tarjeta llave solo le permite abrir las puertas a las
habitaciones a las que tiene permiso para acceder, como su habitación de hotel y el área
de gimnasio del hotel. Si desliza la tarjeta llave para entrar a cualquier otra habitación
de hotel, se le deniega el acceso.
Con la autenticación moderna, quien proporciona todos los servicios, incluidos todos los
servicios de autenticación, es un proveedor de identidades central. El proveedor de
identidades almacena y administra de forma centralizada la información que se usa para
autenticar el usuario en el servidor.
Para obtener información sobre los términos y conceptos básicos, consulte Aspectos
básicos de la identidad.
Control de acceso: el proceso para determinar quién o qué tiene acceso a los
recursos. Esto incluye la definición de roles y permisos de usuario, así como la
configuración de mecanismos de autenticación y autorización. Los controles de
acceso regulan el acceso a sistemas y datos.
Funcionamiento de IAM
En esta sección, se proporciona información general sobre el proceso de autenticación y
autorización y los estándares comunes.
OAuth 2.0
OAuth es un protocolo de administración de identidades de estándares abiertos que
proporciona acceso seguro a sitios web, aplicaciones móviles e Internet de las cosas y
otros dispositivos. Usa tókenes cifrados en tránsito y elimina la necesidad de compartir
credenciales. OAuth 2.0, la última versión de OAuth, es un marco popular utilizado por
las principales plataformas de redes sociales y servicios de consumidor, desde Facebook
y LinkedIn hasta Google, PayPal y Netflix. Para más información, lea el artículo sobre el
protocolo OAuth 2.0.
Pasos siguientes
Para obtener más información, consulte:
En este artículo de inicio rápido, obtendrá información sobre cómo acceder a Azure
Portal y a Microsoft Entra ID y sobre cómo crear un inquilino básico para su
organización.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Luego de iniciar sesión en Azure portal , puede crear un nuevo inquilino para su
organización. El nuevo inquilino representa a su organización y le ayuda a administrar
una instancia específica de Servicios en la nube de Microsoft para los usuarios internos y
externos.
7 Nota
2 Advertencia
Asegúrese de que el directorio tenga al menos dos cuentas que tengan asignados
privilegios de administrador global. Esto le ayudará en caso de que un
administrador global esté bloqueado. Para obtener más información, consulte el
artículo Administración de cuentas de acceso de emergencia en Microsoft
Entra ID.
Limpieza de recursos
Si no va a seguir usando esta aplicación, puede eliminar el inquilino mediante los
siguientes pasos:
Los inquilinos de Microsoft Entra vienen con un nombre de dominio inicial como,
domainname.onmicrosoft.com . No se puede cambiar ni eliminar el nombre de dominio
Antes de empezar
Para poder agregar un nombre de dominio personalizado, cree el nombre de dominio
con un registrador de dominios. Para un registrador de dominios acreditado, consulte
ICANN: Registradores acreditados .
Cree su directorio
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Luego de obtener su nombre de dominio, puede crear su primer directorio. Inicie sesión
en Azure portal para su directorio con una cuenta que tenga el rol Propietario de la
suscripción.
) Importante
Para más información sobre los roles de suscripción, consulte Roles de Azure.
Sugerencia
Si planea federar Windows Server Active Directory local con Microsoft Entra ID,
debe seleccionar Planeo configurar este dominio para el inicio de sesión único
con mi Active Directory local cuando ejecute la herramienta Microsoft Entra
Connect para sincronizar sus directorios.
También debe registrar el mismo nombre de dominio que seleccione para federar
con su directorio local en el paso Microsoft Entra Domain del asistente. Para ver
cómo es esa configuración, consulte Verificar el dominio seleccionado para la
federación. Si no tiene la herramienta Microsoft Entra Connect, puede descargarla
aquí .
) Importante
) Importante
Debe incluir .com, .net o cualquier otra extensión de nivel superior para que
funcione. Al agregar un dominio personalizado, los valores de la Directiva de
Contraseñas se heredarán del dominio inicial.
) Importante
Puede registrar tantos nombres de dominio como desee. Sin embargo, cada
dominio tiene su propio registro TXT o MX. Tenga cuidado al introducir la
información en el registrador de dominios. Si escribe por error información
incorrecta o duplicada, deberá esperar hasta que expire el TTL (60 minutos) antes
de volver a intentarlo.
Comprobación del nombre de dominio
personalizado
Luego de registrar su nombre de dominio personalizado, asegúrese de que es válido en
Microsoft Entra. El tiempo de propagación puede ser instantáneo o tardar unos días,
dependiendo del registrador de su dominio.
Espere al menos una hora y vuelva a intentarlo. Los registros DNS deben
propagarse antes de poder verificar el dominio. Este proceso puede tardar una
hora o más.
Pasos siguientes
Agregue otro Administrador Global a su directorio. Para más información, consulte
Asignación de roles y administradores.
Si tiene versiones locales de Windows Server que desea usar junto con Microsoft
Entra ID, consulte Integrar sus directorios locales con Microsoft Entra ID.
Asociación o adición de una suscripción
de Azure al inquilino de Microsoft Entra
Artículo • 29/11/2023
Todas las suscripciones de Azure tienen una relación de confianza con un inquilino de
Microsoft Entra. Las suscripciones se basan en este inquilino (directorio) para autenticar
y autorizar entidades de seguridad y dispositivos. Cuando expira una suscripción, la
instancia de confianza se conserva, pero las entidades de seguridad pierden el acceso a
los recursos de Azure. Las suscripciones solo pueden confiar en un único directorio,
mientras que un inquilino de Microsoft Entra puede ser de confianza para varias
suscripciones.
Aunque los usuarios solo pueden tener un único directorio principal de autenticación,
los usuarios pueden participar como invitados en varios directorios. Puede ver los
directorios principales e invitados para cada usuario en Microsoft Entra ID.
) Importante
Al asociar una suscripción con otro directorio, los usuarios que tienen roles
asignados mediante el control de acceso basado en rol de Azure pierden el
acceso. Los administradores de suscripciones clásicas, incluidos el administrador y
los coadministradores del servicio, también pierden el acceso.
Antes de empezar
Para poder asociar o agregar la suscripción, debe seguir los pasos siguientes:
2. Vaya a Suscripciones.
Si ha registrado una instancia de Azure Stack que usa esta suscripción, debe volver
a registrarla. Para más información, consulte Registro de Azure Stack Hub con
Azure.
Pasos siguientes
Para crear un nuevo inquilino de Microsoft Entra, consulte Inicio rápido: Creación
de un nuevo inquilino en Microsoft Entra ID.
Para obtener más información sobre cómo controla Microsoft Azure el acceso a los
recursos, vea Roles de Azure, roles de Microsoft Entra y roles de administrador de
la suscripción clásica.
Para más información sobre cómo asignar roles en Microsoft Entra ID, consulte
Asignación de roles de administrador y no administrador a los usuarios con
Microsoft Entra ID.
Agregue la información de privacidad
de su organización a Microsoft Entra
Artículo • 04/12/2023
7 Nota
Para más información sobre cómo ver o eliminar datos personales, consulte
Solicitudes de interesados de datos de Azure para el RGPD. Para más información
sobre RGPD, consulte Información sobre los procedimientos recomendados para
el cumplimiento del RGPD y la sección RGPD del portal de confianza de
servicios .
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
) Importante
Pasos siguientes
Canje de invitación de colaboración de B2B de Microsoft Entra
Incorporación o modificación de la información de perfil de un usuario en
Microsoft Entra ID
Configuración de la personalización de
marca de la compañía
Artículo • 29/11/2023
7 Nota
Requisitos previos
La adición de personalización de marca requiere una de las siguientes licencias:
Microsoft Entra ID P1 o P2
Microsoft Entra ID P1 o P2
Office 365 (para aplicaciones de Office)
Para obtener más información sobre las licencias y las ediciones, consulte el artículo
Registrarse para Microsoft Entra ID P1 o P2.
Las ediciones de Microsoft Entra ID P1 o P2 están disponibles para los clientes de China
mediante la instancia mundial de Microsoft Entra ID. Las ediciones de Microsoft Entra ID
P1 o P2 no se admiten actualmente en el servicio de Azure administrado por 21Vianet
en China.
Las imágenes tienen requisitos de tamaño de archivo e imagen diferentes. Tome nota
de los requisitos de imagen de cada opción. Puede que necesite usar un editor de
fotografía para crear imágenes con el tamaño adecuado. El tipo de imagen preferido
para todas las imágenes es PNG, pero se acepta JPG.
1. Favicono: icono pequeño que aparece en el lado izquierdo de la pestaña del
explorador.
2. Encabezado: espacio en la parte superior de la página de inicio de sesión, detrás
del registro de encabezado.
3. Logotipo de encabezado: logotipo que aparece en la esquina superior izquierda
de la página de inicio de sesión.
4. Imagen de fondo: Todo el espacio detrás del cuadro de inicio de sesión.
5. Color de fondo de la página: Todo el espacio detrás del cuadro de inicio de sesión.
6. Logotipo de banner: logotipo que aparece en la parte superior del cuadro de
inicio de sesión
7. Título de la página de inicio de sesión: texto más grande que aparece debajo del
logotipo de banner.
8. Descripción de la página de inicio de sesión: texto que describe la página de
inicio de sesión.
9. Sugerencia de nombre de usuario y texto: texto que aparece antes de que un
usuario escriba su información.
10. Autoservicio de restablecimiento de contraseña: un vínculo que puede agregar
debajo del texto de la página de inicio de sesión para restablecer la contraseña.
11. Texto de la página de inicio de sesión: texto que puede agregar debajo del campo
de nombre de usuario.
12. Vínculo de pie de página: Privacidad & Cookies: vínculo que puede agregar a la
esquina inferior derecha para obtener información de privacidad.
13. Pie de página: Términos de uso: texto en la esquina inferior derecha de la página
donde puede añadir información sobre los términos de uso.
14. Pie de página: espacio en la parte inferior de la página para obtener información
de privacidad y los términos de uso.
15. Plantilla: diseño de la página y los cuadros de inicio de sesión.
Para Microsoft, software como servicio (SaaS) y las aplicaciones multiinquilino como
https://myapps.microsoft.com o https://outlook.com , la página de inicio de sesión
personalizada solo aparece después de que el usuario escriba su correo electrónico o
número de teléfono y seleccione el botón Siguiente.
Para los clientes que acceden a las aplicaciones desde una dirección URL personalizada,
el parámetro de cadena de consulta whr o una variable de dominio, puede utilizarse
para aplicar la personalización de marca de la empresa en la pantalla de inicio de sesión
inicial, y no solo después de agregar el correo electrónico o el número de teléfono. Por
ejemplo, whr=contoso.com aparecería en la dirección URL personalizada de la aplicación.
Con el parámetro de detección del dominio de inicio y el dominio incluido, la
personalización de marca de la empresa aparece inmediatamente en el primer paso de
inicio de sesión. Se pueden incluir otras sugerencias de dominio.
En el caso de los usuarios finales de colaboración B2B que realizan inicios de sesión
entre inquilinos, aparece su personalización de marca de inquilino principal, incluso si
no se especifica la personalización de marca personalizada.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Aspectos básicos
Favicon: seleccione un PNG o JPG del logotipo que aparece en la pestaña del
explorador web.
Imagen de fondo: seleccione un PNG o JPG para mostrarlo como imagen principal
en la página de inicio de sesión. Esta imagen se escala y recorta según el tamaño
de la ventana, pero la solicitud de inicio de sesión puede bloquearla parcialmente.
Layout
Plantillas visuales: personalice el diseño de la página de inicio de sesión mediante
plantillas o un archivo CSS personalizado.
Elija una de las dos plantillas: fondo de pantalla completa o parcial. El fondo de
pantalla completa podría ocultar la imagen de fondo, así que elija el fondo de
pantalla parcial si la imagen de fondo es importante.
Los detalles de las opciones Encabezado y Pie de página se establecen en las
dos secciones siguientes del proceso.
Encabezado
Si no ha habilitado el encabezado, vaya a la sección Diseño y seleccione Mostrar
encabezado. Una vez habilitado, seleccione un PNG o JPG para mostrarlo en el
encabezado de la página de inicio de sesión.
Pie de página
Si no ha habilitado el pie de página, vaya a la sección Diseño y seleccione Mostrar pie
de página. Una vez habilitado, ajuste la siguiente configuración.
) Importante
Para comenzar un párrafo nuevo, use la tecla Intro dos veces. También puede
cambiar el formato del texto para incluir negrita, cursiva, un subrayado o un enlace
en el que se pueda hacer clic. Use la siguiente sintaxis para agregar formato al
texto:
Hipervínculo: [text](link)
Negrita: **text** o __text__
Cursiva: *text* o _text_
Subrayado: ++text++
) Importante
Revisar
Todas las opciones disponibles aparecen en una lista para que pueda revisar todo lo que
ha personalizado o dejado en la configuración predeterminada. Cuando haya
terminado, seleccione el botón Crear.
Requisitos previos
Antes de cambiar las instancias de Azure AD a Microsoft Entra ID en la documentación o
el contenido, familiarícese con las instrucciones de Nuevo nombre para Azure AD para:
Busque los términos siguientes: Azure Active Directory (Azure AD) , Azure Active
Directory , Azure AD y AAD
Evalúe y priorice en función del uso futuro. Tenga en cuenta qué contenido debe
actualizarse en función de si está orientado al usuario o tiene una amplia visibilidad
dentro de su organización, audiencia o base de clientes. Puede decidir que algún código
o contenido no necesita actualizarse si tiene una exposición limitada a los usuarios
finales.
Decida si el contenido con fecha existente, como vídeos o blogs, merece la pena
actualizarse para futuros espectadores. Está bien no cambiar el nombre del contenido
antiguo. Para ayudar a los usuarios finales, es posible que quiera agregar una
declinación de responsabilidades, como "Azure AD ahora es Microsoft Entra ID".
Actualización de la nomenclatura en el
contenido
Actualice el contenido y las experiencias de la organización mediante las herramientas
pertinentes.
2. Use "buscar y reemplazar" para buscar las cadenas Azure Active Directory (Azure
AD) , Azure Active Directory , Azure AD y AAD .
2. Si una marca de puntuación sigue a Azure Active Directory (Azure AD) , Azure
Active Directory , Azure AD , o AAD , reemplace con Microsoft Entra ID porque es
3. Si Azure Active Directory (Azure AD) , Azure Active Directory , Azure AD o AAD ,
va seguido de for , Premium , Plan , P1 , o P2 , reemplace por Microsoft Entra ID
porque hace referencia a un nombre de SKU o a un plan de servicio.
5. Si Azure Active Directory (Azure AD) , Azure Active Directory , Azure AD , o AAD
va seguido de un adjetivo o nombre no en los pasos anteriores, reemplace por
Microsoft Entra porque es un nombre de característica. Por ejemplo, Azure AD
Conditional Access se convierte en Microsoft Entra Conditional Access y Azure
Examina los archivos .resx dentro de una carpeta especificada y todas las
carpetas anidadas.
Edita los archivos reemplazando las referencias a Azure Active Directory (Azure
AD) , Azure Active Directory , Azure AD o AAD por la terminología correcta según
Edite el script de línea de base según sus necesidades y el ámbito de los archivos que
necesite actualizar. Es posible que tenga que tener en cuenta los casos perimetrales y
modificar el script según cómo haya definido los mensajes en los archivos de origen. El
script no está totalmente automatizado. Si se usa el script tal cual, se deben revisar las
salidas y es posible que se tengan que realizar ajustes adicionales para seguir las
instrucciones de Nuevo nombre para Azure AD.
PowerShell
$postTransforms = @(
@{ Key = 'Microsoft Entra ID B2C'; Value = 'Azure AD B2C' },
@{ Key = 'Microsoft Entra ID B2B'; Value = 'Microsoft Entra B2B' },
@{ Key = 'ME-ID B2C'; Value = 'AAD B2C' },
@{ Key = 'ME-ID B2B'; Value = 'Microsoft Entra B2B' },
@{ Key = 'ME-IDSTS'; Value = 'AADSTS' },
@{ Key = 'ME-ID Connect'; Value = 'Microsoft Entra Connect' }
@{ Key = 'Microsoft Entra ID tenant'; Value = 'Microsoft Entra tenant' }
@{ Key = 'Microsoft Entra ID organization'; Value = 'Microsoft Entra
tenant' }
@{ Key = 'Microsoft Entra ID account'; Value = 'Microsoft Entra account'
}
@{ Key = 'Microsoft Entra ID resources'; Value = 'Microsoft Entra
resources' }
@{ Key = 'Microsoft Entra ID admin'; Value = 'Microsoft Entra admin' }
@{ Key = ' an Microsoft Entra'; Value = ' a Microsoft Entra' }
@{ Key = '>An Microsoft Entra'; Value = '>A Microsoft Entra' }
@{ Key = ' an ME-ID'; Value = ' a ME-ID' }
@{ Key = '>An ME-ID'; Value = '>A ME-ID' }
@{ Key = 'Microsoft Entra ID administration portal'; Value = 'Microsoft
Entra administration portal' }
@{ Key = 'Microsoft Entra ID Advanced Threat'; Value = 'Azure Advanced
Threat' }
@{ Key = 'Entra ID hybrid join'; Value = 'Entra hybrid join' }
@{ Key = 'Microsoft Entra ID join'; Value = 'Microsoft Entra join' }
@{ Key = 'ME-ID join'; Value = 'Microsoft Entra join' }
@{ Key = 'Microsoft Entra ID service principal'; Value = 'Microsoft
Entra service principal' }
@{ Key = 'Download Microsoft Entra Connector'; Value = 'Download
connector' }
@{ Key = 'Microsoft Microsoft'; Value = 'Microsoft' }
)
# Get all resx files in the current directory and its subdirectories,
ignoring .gitignored files.
Write-Host "Getting all resx files in the current directory and its
subdirectories, ignoring .gitignored files."
$gitIgnoreFiles = Get-ChildItem -Path . -Filter .gitignore -Recurse
$targetFiles = Get-ChildItem -Path . -Include *.resx -Recurse
$filteredFiles = @()
foreach ($file in $targetFiles) {
$ignoreFile = $gitIgnoreFiles | Where-Object { $_.DirectoryName -eq
$file.DirectoryName }
if ($ignoreFile) {
$excludedPatterns = Get-Content $ignoreFile.FullName | Select-String
-Pattern '^(?!#).*' | ForEach-Object { $_.Line }
if ($excludedPatterns -notcontains $file.Name) {
$filteredFiles += $file
}
}
else {
$filteredFiles += $file
}
}
$scriptPath = $MyInvocation.MyCommand.Path
$filteredFiles = $filteredFiles | Where-Object { $_.FullName -ne $scriptPath
}
# This command will get all the files with the extensions .resx in the
current directory and its subdirectories, and then filter out those that
match the patterns in the .gitignore file. The Resolve-Path cmdlet will find
the full path of the .gitignore file, and the Get-Content cmdlet will read
its content as a single string. The -notmatch operator will compare the full
name of each file with the .gitignore content using regular expressions, and
return only those that do not match.
Write-Host "Found $($filteredFiles.Count) files."
function Update-Terminology {
param (
[Parameter(Mandatory = $true)]
[ref]$Content,
[Parameter(Mandatory = $true)]
[object[]]$Terminology
)
Comentarios
¿Le ha resultado útil esta página? Sí No
Privilegio mínimo
A medida que la organización comienza a administrar Microsoft Entra, la
documentación orienta a los administradores sobre el uso de un concepto denominado
"privilegios mínimos", por el que los administradores solo usan el rol necesario para
realizar el trabajo en cuestión. Este concepto es uno de los tres principios rectores de
una estrategia de confianza cero de:
Comprobación explícita
Uso del acceso con privilegios mínimos
Asunción de que hay brechas
Verá que este concepto aparece en el primer paso del contenido resaltado como en el
ejemplo siguiente con un vínculo a la definición de los roles con privilegios mínimos:
En algunos casos extremos, sigue siendo necesario el rol de Administrador global, un rol
con grandes privilegios, y así lo indicamos.
Microsoft recomienda que los administradores no trabajen a diario con una asignación
de roles con privilegios activa. Para combatir estos malos hábitos, las organizaciones
pueden usar características como:
Privileged Identity Management para elevar los privilegios de sus cuentas de forma
limitada temporalmente a estos roles de administrador con privilegios elevados.
Administración de permisos de Microsoft Entra para identificar y corregir los
usuarios con privilegios excesivos en infraestructuras de varias nubes en Microsoft
Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).
Navegación en el portal
Hay muchas maneras de encontrar características y varios portales que puede usar,
incluidos los ejemplos siguientes:
Pasos siguientes
Mejorar la posición de seguridad
¿Qué es la Confianza cero?
Recursos de seguridad
Cómo crear, invitar y eliminar usuarios
Artículo • 30/11/2023
Este artículo explica cómo crear un nuevo usuario, invitar a un invitado externo y
eliminar un usuario en su inquilino.
7 Nota
Antes de empezar
Antes de crear o invitar a un nuevo usuario, tómese un tiempo para revisar los tipos de
usuarios, sus métodos de autenticación y su acceso dentro del inquilino de Microsoft
Entra. Por ejemplo, ¿necesita crear un invitado interno, un usuario interno o un invitado
externo? ¿El nuevo usuario necesita privilegios de invitado o miembro?
Miembro interno: es más probable que estos usuarios sean empleados a tiempo
completo de su organización.
Invitado interno: estos usuarios tienen una cuenta en el inquilino, pero tienen
privilegios de nivel de invitado. Es posible que se hayan creado en el inquilino
antes de la disponibilidad de la colaboración B2B.
Miembro externo: estos usuarios se autentican mediante una cuenta externa, pero
tienen acceso de miembro al inquilino. Estos tipos de usuarios son comunes en
organizaciones multiinquilino.
Invitado externo: estos usuarios son invitados verdaderos del inquilino, que se
autentican mediante un método externo y que tienen privilegios de nivel de
invitado.
Para obtener más información sobre las diferencias entre invitados internos y externos y
miembros, consulte Propiedades de colaboración B2B.
Los métodos de autenticación varían en función del tipo de usuario que cree. Los
invitados internos y los miembros tienen credenciales en su inquilino de Microsoft Entra
que pueden ser administrados por los administradores. Estos usuarios también pueden
restablecer su propia contraseña. Los miembros externos se autentican en su inquilino
de Microsoft Entra de origen y su inquilino de Microsoft Entra autentica al usuario a
través de un inicio de sesión federado con el inquilino de Microsoft Entra del miembro
externo. Si los miembros externos olvidan su contraseña, el administrador de su
inquilino de Microsoft Entra puede restablecerla. Los invitados externos configuran su
propia contraseña mediante el vínculo que reciben por correo electrónico cuando se
crea su cuenta.
Roles necesarios
El rol requerido de menor privilegio varía según el tipo de usuario que esté agregando y
si necesita asignar roles de Microsoft Entra al mismo tiempo. El administrador global
puede crear usuarios y asignar roles, pero siempre que sea posible debe usar el rol con
privilegios mínimos.
ノ Expandir tabla
Tarea Role
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Conceptos básicos
La pestaña Aspectos básicos contiene los campos principales necesarios para crear un
nuevo usuario.
Propiedades
Hay seis categorías de propiedades de usuario que puede proporcionar. Estas
propiedades se pueden agregar o actualizar después de crear el usuario. Para gestionar
estos detalles, vaya a Identidad>Usuarios>Todos los usuarios y seleccione un usuario
para actualizar.
Assignments
Puede asignar el usuario a una unidad administrativa, grupo o rol de Microsoft Entra
cuando se crea la cuenta. Puede asignar al usuario hasta 20 grupos o roles. Solo puede
asignar el usuario a una unidad administrativa. Las asignaciones se pueden agregar
después de crear el usuario.
Revisar y crear
La pestaña final captura varios detalles clave del proceso de creación del usuario. Revise
los detalles y seleccione el botón Crear si todo está correcto.
Si tiene un entorno con Microsoft Entra ID (nube) y Windows Server Active Directory
(local), puede agregar nuevos usuarios mediante la sincronización de los datos de la
cuenta de usuario existentes. Para obtener más información sobre entornos híbridos y
usuarios, consulte Integración de directorios locales con Microsoft Entra ID.
Eliminación de usuarios
Puede eliminar un usuario existente mediante el Centro de administración de
Microsoft Entra .
7 Nota
Muchos servicios de Microsoft Entra exigen que asigne licencias a cada uno de los
usuarios o grupos (y los miembros asociados) para ese servicio. Solo los usuarios con
licencias activas podrán acceder y usar los servicios de Microsoft Entra licenciados que
presentan este requisito. Las licencias se aplican a cada inquilino y no se transfieren a
otros inquilinos.
Para obtener información específica acerca de cada plan de licencia y los detalles de
licencias asociados, consulte ¿Qué licencia necesito? Para suscribirse a los planes de
licencia de Microsoft Entra ID P1 o P2, consulte aquí.
No todos los servicios de Microsoft están disponibles en todas las ubicaciones. Antes de
poder asignar una licencia a un grupo, tiene que especificar la Ubicación de uso para
todos los miembros. Puede establecer este valor Microsoft Entra yendo a
Identidad>Usuarios>Todos los usuarios>seleccione un usuario>Propiedades.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
2. Vaya a Identidad>Facturación>Licencias.
3. Seleccione Todos los productos para ver la página Todos los productos y ver los
números en Asignado, Disponible y Expira próximamente para los planes de
licencias.
7 Nota
4. Seleccione un nombre de plan para ver sus usuarios y grupos con licencias.
2. Vaya a Identidad>Facturación>Licencias.
7 Nota
7. Seleccione Asignar.
El usuario se agrega a la lista de usuarios con licencia y tiene acceso a los servicios
de Microsoft Entra incluidos.
7 Nota
2. Vaya a Identidad>Facturación>Licencias.
7. Seleccione Asignar.
El grupo se agrega a la lista de grupos con licencias, y todos los miembros tienen
acceso a los servicios de Microsoft Entra incluidos.
Eliminación de una licencia
Puede quitar una licencia desde la página de usuario de Microsoft Entra de un usuario,
desde la página de información general del grupo en una asignación de grupo o
empezando desde la página Licencias de Microsoft Entra ID para ver los usuarios y
grupos de una licencia.
) Importante
Cuando una cuenta de usuario local sincronizada con Microsoft Entra no está
en el ámbito de la sincronización, o si la sincronización se quita, el usuario se
eliminará de forma temporal en Microsoft Entra ID. Cuando esto ocurre, las
licencias asignadas directamente a ese usuario o a través de licencias basadas
en grupos se marcarán como suspendidas en lugar de como eliminadas.
Pasos siguientes
Después de haber asignado las licencias, puede seguir los procesos a continuación:
Antes de asignar roles a los usuarios, revise los siguientes artículos de Microsoft Learn:
Asignación de roles
Hay dos pasos principales para el proceso de asignación de roles. En primer lugar, debe
seleccionar el rol que se va a asignar. A continuación, debe ajustar la configuración y la
duración del rol.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Los roles asignados aparecen en la sección asociada al usuario, por lo que los roles
aptos y activos se muestran por separado.
Actualizar roles
Puede cambiar la configuración de una asignación de roles, por ejemplo, para cambiar
un rol de activo a apto.
3. Vaya a la página Roles asignados y seleccione el vínculo Actualizar para el rol que
debe cambiarse.
Quitar roles
Puede quitar asignaciones de roles de la página Roles administrativos de un usuario
seleccionado.
3. Vaya a la página Roles asignados y seleccione el vínculo Quitar para el rol que
debe quitarse. Confirme el cambio en el mensaje emergente.
Pasos siguientes
Adición o eliminación de usuarios
En este artículo se explica cómo funciona el proceso de KMSI, cómo habilitarlo para los
clientes y cómo solucionar problemas de KMSI.
¿Cómo funciona?
Si un usuario responde Sí al mensaje "¿Desea mantener la sesión iniciada?" mensaje, se
emitirá una cookie de autenticación persistente. La cookie deberá almacenarse en sesión
para que KMSI funcione. KMSI no funciona con cookies almacenadas localmente. Si
KMSI no está habilitado, se emitirá una cookie no persistente y durará 24 horas o hasta
que se cierra el explorador.
Microsoft Entra ID P1 o P2
Office 365 (para aplicaciones de Office)
Microsoft 365
Debe tener el rol Administrador global para habilitar la opción "¿Desea mantener la
sesión iniciada?". .
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Los detalles sobre el error de inicio de sesión se encuentran en los registros de inicio de
sesión. Seleccione el usuario afectado de la lista y localice los siguientes detalles en la
sección Información básica.
Para evitar que los usuarios vean la interrupción, establezca Mostrar la opción para
mantener la sesión iniciada en No en la configuración de usuario. Este valor deshabilita
el mensaje de KMSI para todos los usuarios del directorio.
También puede usar los controles persistentes de sesión del explorador con el acceso
condicional para impedir que los usuarios vean el mensaje de KMSI. Esta opción le
permite deshabilitar el mensaje de KMSI para un grupo de usuarios seleccionado (por
ejemplo, los administradores globales) sin que ello afecte al comportamiento de inicio
de sesión del resto de usuarios del directorio.
Para asegurar que el aviso de KMSI se muestre sólo cuando pueda beneficiar al usuario,
el aviso de KMSI no se muestra intencionadamente en los siguientes escenarios:
Pasos siguientes
Aprenda a personalizar la personalización de marca para las experiencias de inicio
de sesión
Administrar la configuración de usuario Microsoft Entra ID
Incorporación o actualización de la
configuración y la información de perfil
de un usuario
Artículo • 01/12/2023
En este artículo se explica cómo agregar información de perfil de usuario, como una
imagen de perfil e información específica del trabajo. También puede optar por permitir
que los usuarios conecten sus cuentas de LinkedIn o restrinjan el acceso al portal de
administración de Microsoft Entra. Es posible que algunas configuraciones se
administren en más de un área. Para obtener más información acerca de la adición de
nuevos usuarios, vea cómo agregar o eliminar usuarios en Microsoft Entra ID.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
4. Hay dos maneras de editar los detalles del perfil de usuario. Seleccione Editar
propiedades en la parte superior de la página o seleccione Propiedades.
Local: las cuentas sincronizadas desde Windows Server Active Directory incluyen
valores adicionales no aplicables a las cuentas de Microsoft Entra.
7 Nota
7 Nota
Pasos siguientes
Adición o eliminación de usuarios
Asignación de roles a usuarios
Creación de un grupo básico e incorporación de miembros
Vea la documentación sobre administración de usuarios empresariales de
Microsoft Entra
Restablecer la contraseña de un usuario
Artículo • 25/10/2023
7 Nota
Si el usuario tiene una fuente de autoridad como Windows Server Active Directory,
solo podrá restablecer la contraseña si ha activado la escritura diferida de
contraseñas y el dominio del usuario está administrado. En el caso de los dominios
federados, no se admite el cambio de contraseña del usuario. En este caso, debe
cambiar la contraseña de usuario en el Active Directory local.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
7 Nota
7 Nota
) Importante
Pasos siguientes
Después de restablecer la contraseña del usuario, puede realizar los siguientes procesos
básicos:
O bien, puede realizar otros escenarios de usuario complejos, como asignar delegados,
usar directivas y compartir cuentas de usuario. Para obtener más información acerca de
otras acciones disponibles, consulte la documentación de administración de usuarios en
Microsoft Entra.
Restauración o eliminación de un
usuario recientemente eliminado
Artículo • 01/12/2023
Puede ver a los usuarios que se pueden restaurar, restaurar un usuario eliminado o
eliminar permanentemente a un usuario con el Centro de administración de
Microsoft Entra.
) Importante
Permisos necesarios
Debe tener uno de los roles siguientes para restaurar y eliminar permanentemente a los
usuarios.
Administrador global
Soporte para asociados de nivel 1
Soporte para asociados de nivel 2
Administrador de usuarios
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
7 Nota
Una vez que se restaura un usuario, también se restauran las licencias que se
asignaron al usuario en el momento de la eliminación aunque no haya puestos
disponibles para esas licencias. Si a partir de ese momento consumes más licencias
de las que adquiriste, tu organización podría incumplir temporalmente todo lo
relativo al uso de licencias.
Para restaurar a un usuario
1. En la página Usuarios eliminados, busque y seleccione uno de los usuarios
disponibles. Por ejemplo, Mary Parker.
7 Nota
Pasos siguientes
Después de haber restaurado o eliminado los usuarios, puede hacer lo siguiente:
En Microsoft Entra ID, a todos los usuarios se les concede un conjunto de permisos
predeterminados. El acceso de un usuario consta del tipo de usuario, sus asignaciones de roles
y su propiedad de objetos individuales.
Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios, los
grupos y otros objetos de directorio. Los invitados se pueden agregar a los roles de
administrador, que les conceden permisos completos de lectura y escritura. Los invitados
también pueden invitar a otros usuarios.
Administrar la
configuración de
pertenencia
dinámica
Eliminar los grupos
que se poseen
Restaurar los
grupos de
Microsoft 365 que
se poseen
Administrar todas
las propiedades de
los dispositivos que
se poseen
Puede restringir los permisos predeterminados de los usuarios miembros de las maneras
siguientes:
U Precaución
Registrar aplicaciones Si se selecciona No en esta opción, se impide que los usuarios creen
registros de aplicaciones. Después, puede devolver la capacidad a personas
concretas agregándolas al rol de desarrollador de aplicaciones.
Permitir a los usuarios Si se selecciona No en esta opción, se impide que los usuarios conecten su
conectar su cuenta cuenta profesional o educativa con su cuenta de LinkedIn. Para más
profesional o educativa información, consulte Consentimiento y uso compartido de datos de
con LinkedIn conexiones de cuentas de LinkedIn.
Crear grupos de Si se selecciona No en esta opción, se impide que los usuarios creen grupos
seguridad de seguridad. Tanto los administradores globales como los administradores
de usuarios pueden seguir creando grupos de seguridad. Para obtener más
información, consulte Microsoft Enters cmdlets for configuring group
settings.
Crear grupos de Si esta opción se establece en No, se impide que los usuarios creen grupos
Microsoft 365 de Microsoft 365. Si esta opción se establece en Algunos, se permite que un
conjunto de usuarios creen grupos de Microsoft 365. Tanto los
administradores globales como los administradores de usuarios pueden
seguir creando grupos de Microsoft 365. Para obtener más información,
consulte Microsoft Enters cmdlets for configuring group settings.
Impedir que los usuarios Los usuarios pueden crear inquilinos en el ID de Microsoft Entra y en el
que no sean portal de administración de Microsoft Entra en Administrar inquilino. La
administradores creen creación de un inquilino se registra en el registro de auditoría bajo la
inquilinos categoría DirectoryManagement y la actividad Create Company (Crear
empresa). Cualquier persona que cree un inquilino se convierte en el
administrador global de ese inquilino. El inquilino recién creado no hereda
ningún ajuste ni configuración.
Leer a otros usuarios Esta configuración solo está disponible en Microsoft Graph y PowerShell. Si
establece esta marca en $false , se impide que quienes no son
administradores lean la información de los usuarios desde el directorio. Esta
marca no impide que puedan leer la información de los usuarios en otros
servicios de Microsoft, como Exchange Online.
7 Nota
Restricciones de Establecer esta opción en Los usuarios invitados tienen el mismo acceso que los
acceso de miembros concede de manera predeterminada todos los permisos de usuario
usuarios miembro a los usuarios invitados.
invitados
Establecer esta opción en El acceso de los usuarios invitados está restringido a las
propiedades y pertenencias de sus propios objetos de directorio restringe de
manera predeterminada el acceso de un invitado solo a su propio perfil de usuario.
Ya no se permite el acceso a otros usuarios ni siquiera al buscar por nombre
principal de usuario, Id. de objeto o nombre para mostrar. Además, ya no se permite
el acceso a la información de grupos, incluidas las pertenencias a grupos.
Los invitados Establecer esta opción en Sí permite que los invitados inviten a otros usuarios. Para
pueden invitar más información, consulte Configuración de la colaboración externa.
Permisos de propiedad
Las siguientes tablas describen los permisos específicos en Microsoft Entra ID que los usuarios
miembros tienen sobre los objetos de su propiedad. Los usuarios solo tienen estos permisos
en los objetos que poseen.
Acción Descripción
Acción Descripción
Acción Descripción
7 Nota
Acción Descripción
Pasos siguientes
Para obtener más información sobre la configuración de Restricciones de acceso de
usuario invitado , consulte Restringir permisos de acceso de invitado en Microsoft Entra
ID.
Para obtener más información sobre cómo asignar roles de administrador de Microsoft
Entra, consulte Asignar un usuario a roles de administrador en Microsoft Entra ID.
Para más información sobre cómo se controla el acceso a los recursos en Microsoft
Azure, consulte Descripción de acceso a los recursos de Azure.
Para obtener más información sobre cómo se relaciona Microsoft Entra ID con su
suscripción de Azure, consulte Cómo se asocian las suscripciones de Azure con Microsoft
Entra ID.
Administración de usuarios.
Comentarios
¿Le ha resultado útil esta página? Sí No
En este artículo se proporciona información general sobre cómo se pueden usar juntos
los grupos y los derechos de acceso para facilitar la administración de los usuarios de
Microsoft Entra, a la vez que se aplican los procedimientos recomendados de seguridad.
Microsoft Entra ID permite usar grupos para administrar el acceso a aplicaciones, datos
y recursos. Los recursos pueden:
Los grupos sincronizados desde Active Directory local solo se pueden administrar
en Active Directory local.
Las listas de distribución y los grupos de seguridad habilitados para correo, solo se
administran en el centro de administración de Exchange o en el centro de
administración de Microsoft 365. Debe iniciar sesión en el centro de
administración de Exchange o en el centro de administración de Microsoft 365
para administrar estos grupos.
Por ejemplo, puede crear un grupo de seguridad para que todos los miembros del
grupo tengan el mismo conjunto de permisos de seguridad. Entre los miembros de un
grupo de seguridad pueden incluirse usuarios, dispositivos, otros grupos y entidades de
servicio, que definen la directiva de acceso y los permisos. Entre los propietarios de un
grupo de seguridad pueden incluirse usuarios y entidades de servicio.
Tipos de pertenencia:
Asignado: permite agregar usuarios específicos como miembros de un grupo y
que tengan permisos exclusivos.
) Importante
Asignación basada en reglas. El propietario del recurso crea un grupo y usa una
regla para definir qué usuarios están asignados a un recurso concreto. La regla se
basa en atributos que se asignan a usuarios individuales. El propietario del recurso
administra la regla, lo que determina los atributos y valores que son necesarios
para permitir el acceso al recurso. Para más información, consulte Creación de un
grupo dinámico y comprobación de su estado.
Pasos siguientes
Creación y administración de grupos y pertenencia a grupos de Microsoft Entra
Más información sobre la concesión de licencias por grupos en Microsoft Entra ID
Administrar el acceso a las aplicaciones SaaS mediante grupos
Administrar reglas dinámicas de los usuarios de un grupo
Obtenga información sobre Privileged Identity Management para los roles de
Microsoft Entra
Inicio rápido: Creación de un grupo con
miembros y vista de todos los grupos y
miembros
Artículo • 13/12/2023
Puede ver los grupos existentes en la organización y los miembros de los grupos
mediante el centro de administración de Microsoft Entra. Los grupos se usan para
administrar usuarios que necesitan el mismo acceso y permisos para servicios y
aplicaciones potencialmente restringidos.
En este inicio rápido, configurará un nuevo grupo y asignar miembros a dicho grupo. A
continuación, verá el grupo de la organización y los miembros asignados. En esta guía,
creará un usuario y un grupo que podrá usar en otros tutoriales e inicios rápidos.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Requisitos previos
Antes de comenzar, deberá:
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
5. Seleccione Crear.
Aparecerá la página Todos los grupos con todos los grupos activos.
búsqueda de un grupo
Use la página Todos los grupos para buscar el grupo MDM policy - West.
Limpieza de recursos
El grupo que acaba de crear se usa en otros artículos de esta documentación. Si prefiere
no usar este grupo, puede eliminarlo junto con sus miembros asignados mediante los
siguientes pasos:
4. Seleccione Eliminar.
Pasos siguientes
Avance al siguiente artículo para obtener información sobre cómo asociar una
suscripción a su directorio.
Los grupos de Microsoft Entra se usan para administrar usuarios que necesitan todos el
mismo acceso y permisos a recursos, como aplicaciones y servicios potencialmente
restringidos. En lugar de agregar permisos especiales a usuarios individuales, puede
crear un grupo que aplique los permisos especiales a cada miembro de ese grupo.
En este artículo se tratan los escenarios de grupos básicos en los que se agrega un
único grupo a un único recurso y los usuarios se agregan como miembros de ese grupo.
Para escenarios más complejos, como membresías dinámicas y creación de reglas,
consulte la Documentación sobre administración de usuarios de Microsoft Entra.
Antes de agregar grupos y miembros, obtenga información sobre los grupos y los tipos
de pertenencia para ayudarle a decidir qué opciones usar cuando cree un grupo.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Puede crear un grupo básico y agregar los miembros al mismo tiempo mediante el
centro de administración de Microsoft Entra. Los roles de Microsoft Entra que pueden
administrar grupos incluyen Administrador de grupos, Administrador de usuarios,
Administrador de roles con privilegios o Administrador global. Revisión de los roles
apropiados de Microsoft Entra para la administración de grupos
5. Introduzca un Nombre de grupo. Elija un nombre que sea fácil de recordar y que
tenga sentido para el grupo. Se realizará una comprobación para determinar si el
nombre ya está en uso. Si el nombre del grupo ya está en uso, se le pedirá que lo
modifique.
6. Dirección de correo electrónico del grupo: solo está disponible para los tipos de
grupo de Microsoft 365. Escriba manualmente una dirección de correo electrónico
o use la que se creó a partir del nombre de grupo que proporcionó.
8. Cambie el Ajuste de los roles de Microsoft Entra pueden ser asignados al grupo a
sí para usar este grupo para asignar roles de Microsoft Entra a los miembros.
9. Seleccione un tipo de pertenencia. Para obtener más información sobre los tipos
de grupos, consulte el artículo Información sobre los grupos y los tipos de
pertenencia.
11. Seleccione Crear. Se ha creado el grupo y está listo para que administre otras
configuraciones.
Desactivación del correo electrónico de bienvenida al
grupo
Cuando los usuarios se agregan a un nuevo grupo de Microsoft 365, se envía una
notificación de bienvenida a todos, independientemente del tipo de pertenencia.
Cuando cambian los atributos de un usuario o dispositivo, se procesan todas las reglas
de grupo dinámico de la organización para comprobar si hay posibles cambios de
pertenencia. Los usuarios que se agregan también reciben la notificación de bienvenida.
Este comportamiento se puede desactivar en Exchange PowerShell.
5. Active la casilla que está junto a un nombre de la lista y seleccione el botón Quitar.
Actualmente, no se admite:
3. En la página Todos los grupos, busque y seleccione el grupo que quiera que se
convierta en miembro de otro grupo.
7 Nota
Solo puede agregar su grupo como miembro a otro grupo a la vez. Los
caracteres comodín no se admiten en el cuadro de búsqueda Seleccionar
grupo.
4. En la página Información general del grupo, seleccione Pertenencias a grupos en
el menú lateral.
6. Busque el grupo del que quiere que su grupo sea miembro y elija Seleccionar.
Ahora puede revisar la página "MDM policy - West - Group memberships" para
consultar la relación entre el grupo y el miembro.
Para obtener una vista detallada de la relación entre el grupo y el miembro, seleccione
el nombre del grupo primario (Directiva de MDM - Todas las organizaciones) y observe
los detalles de la página "Directiva de MDM - Oeste".
1. En la página Todos los grupos, busque y seleccione el grupo que necesita quitar
como miembro de otro grupo.
En este ejercicio, ahora vamos a quitar "Directiva de MDM - Oeste" del grupo
"Directiva MDM - Todas las organizaciones".
Eliminar un grupo
Puede eliminar un grupo para infinidad de motivos, pero normalmente será porque:
4. Seleccione Eliminar.
Pasos siguientes
Obtenga más información sobre los grupos y la asignación de derechos de acceso
a grupos
Administrar grupos mediante los comandos de PowerShell
Administrar reglas dinámicas de los usuarios de un grupo
Escenarios, limitaciones y problemas conocidos del uso de grupos para administrar
las licencias en Microsoft Entra ID
Asociación o adición de una suscripción de Azure al Microsoft Entra ID
¿Qué es la concesión de licencias por
grupos en Microsoft Entra ID?
Artículo • 25/10/2023
Los servicios en la nube de pago de Microsoft, como Microsoft 365, Enterprise Mobility
+ Security, Dynamics 365 y otros productos similares, requieren licencias. Estas licencias
se asignan a cada usuario que necesita acceso a estos servicios. Para administrar las
licencias, los administradores usan uno de los portales de administración (ya sea Office
o Azure) y los cmdlets de PowerShell. Microsoft Entra ID es la infraestructura subyacente
que admite la administración de identidades para todos los servicios en la nube de
Microsoft. Microsoft Entra ID almacena información sobre los estados de asignación de
licencias de los usuarios.
Microsoft Entra ID incluye licencias basadas en grupos, lo que le permite asignar una o
varias licencias de producto a un grupo. Microsoft Entra ID garantiza que las licencias se
asignen a todos los miembros del grupo. A todos los miembros nuevos que se unan al
grupo se les asignarán las licencias correspondientes. Cuando salen del grupo, se quitan
esas licencias. La administración de licencias elimina la necesidad de automatizar la
administración de licencias a través de PowerShell para reflejar los cambios que se
producen en la organización y en la estructura de departamento por cada usuario.
Características
A continuación se indican las características principales de las licencias basadas en
grupos:
Se pueden asignar licencias a todos los grupos de seguridad en Microsoft Entra ID.
Los grupos de seguridad se pueden sincronizar desde el entorno local mediante
Microsoft Entra Connect. También puede crear grupos de seguridad directamente
en Microsoft Entra ID (también denominados grupos solo de nube) o de forma
automática, a través de la característica de grupo dinámico de Microsoft Entra ID.
Pasos siguientes
Para más información sobre otros escenarios de administración de licencias basadas en
grupos, consulte:
Microsoft puede lanzar versiones preliminares por fases para dar a Microsoft y a los
clientes la oportunidad de evaluar y comprender las nuevas características potenciales.
7 Nota
No todas las características que están en versión preliminar están disponibles con
carácter general. Aunque no es la norma, es posible que Microsoft cancele las
características durante la versión preliminar.
2. Versión preliminar pública: durante esta fase, se permite que cualquier cliente con
la licencia de Microsoft Entra adecuada evalúe la nueva característica. Las versiones
preliminares públicas pueden incluir asistencia al cliente limitada y los contratos de
nivel de servicio normales no se aplicarán. En el caso de las nuevas características
expuestas en el Centro de administración de Microsoft Entra, los clientes pueden
esperar ver banners de información en la interfaz de usuario que lleven su atención
a la nueva experiencia disponible durante la versión preliminar. Al hacer clic en el
banner de información, los clientes pueden participar en la experiencia de la
versión preliminar.
Comentarios
¿Le ha resultado útil esta página? Sí No
En este artículo se describen las licencias de los servicios de Microsoft Entra. Está
pensado para responsables de la toma de decisiones de TI, administradores de TI y
profesionales de TI que están considerando el uso de los servicios de Microsoft Entra
para sus organizaciones. Este artículo no es para usuarios finales.
) Importante
Aprovisionamiento de aplicaciones
Azure AD Application Proxy requiere licencias de Azure AD Premium P1 o P2. Para
obtener más información sobre licencias, consulte la página de precios de
Azure Active Directory .
Autenticación
En la siguiente tabla se enumeran las características disponibles para la autenticación en
las distintas versiones de Microsoft Entra ID. Planee sus necesidades para proteger el
inicio de sesión de usuario y determine qué enfoque cumple esos requisitos. Por
ejemplo, aunque Microsoft Entra ID Free proporciona valores predeterminados de
seguridad con autenticación multifactor, solo se puede utilizar Microsoft Authenticator
para la solicitud de autenticación, incluidas las llamadas de voz y texto. Este enfoque
puede ser una limitación si no puede asegurarse de que Authenticator está instalado en
el dispositivo personal de un usuario.
ノ Expandir tabla
Característica Microsoft Entra ID Microsoft Entra ID Office Entra ID Entra ID
Free: valores Free: solo 365 Premium Premium
predeterminados administradores P1 P2
de seguridad globales
(habilitados para
todos los usuarios)
Aplicación móvil ✅ ✅ ✅ ✅ ✅
como segundo
factor
Llamada de ✅ ✅ ✅
teléfono como
segundo factor
SMS como ✅ ✅ ✅ ✅
segundo factor
Control ✅ ✅ ✅ ✅
administrativo
sobre métodos
de comprobación
Alerta de fraude ✅ ✅
Informes de MFA ✅ ✅
Saludos ✅ ✅
personalizados
para las llamadas
de teléfono
Identificador de ✅ ✅
llamada
personalizado
para llamadas
telefónicas
IP de confianza ✅ ✅
Recordar MFA ✅ ✅ ✅ ✅
para dispositivos
de confianza
Característica Microsoft Entra ID Microsoft Entra ID Office Entra ID Entra ID
Free: valores Free: solo 365 Premium Premium
predeterminados administradores P1 P2
de seguridad globales
(habilitados para
todos los usuarios)
MFA para ✅ ✅
aplicaciones
locales
Acceso ✅ ✅
condicional
Acceso ✅
condicional
basado en
riesgos
Autoservicio de ✅ ✅ ✅ ✅ ✅
restablecimiento
de contraseña
(SSPR)
SSPR con ✅ ✅
escritura diferida
Los clientes con licencias de Microsoft 365 Empresa Premium también tienen acceso a
características de acceso condicional.
Las directivas basadas en riesgo requieren acceso a Identity Protection, que es una
característica de Microsoft Entra ID P2.
Otros productos y características que podrían interactuar con las directivas de acceso
condicional requieren licencias adecuadas para esos productos y características.
Cuando las licencias necesarias para el acceso condicional expiran, las directivas no se
deshabilitan ni eliminan automáticamente. Esto permite a los clientes migrar de las
directivas de acceso condicional sin un cambio repentino en su posición de seguridad.
Las directivas restantes se pueden ver y eliminar, pero ya no se actualizan.
ノ Expandir tabla
Aprovisionamiento ✅ ✅ ✅
controlado por
API
Aprovisionamiento ✅ ✅ ✅
controlado por
recursos humanos
Aprovisionamiento ✅ ✅ ✅ ✅
automático de
usuarios en
aplicaciones SaaS
Aprovisionamiento ✅ ✅ ✅
de grupos
Característica Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra
ID Governance
automatizado para
aplicaciones SaaS
Aprovisionamiento ✅ ✅ ✅
automático en
aplicaciones
locales
Acceso ✅ ✅ ✅
condicional:
atestación de los
Términos de uso
Administración de ✅ ✅
derechos:
administración de
derechos básica
Administración de ✅ ✅
derechos: ámbito
del acceso
condicional
Administración de ✅ ✅
derechos
MyAccess Search
Administración de ✅
derechos con el id.
comprobado
Administración de ✅
derechos +
Extensiones
personalizadas
(Logic Apps)
Administración de ✅
derechos +
Directivas de
asignación
automática
Administración de ✅
derechos: asignar
directamente
cualquier usuario
Característica Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra
ID Governance
(versión
preliminar)
Administración de ✅
derechos: API de
conversión de
invitado
Administración de ✅ ✅
derechos: período
de gracia (versión
preliminar)
Portal Mi acceso ✅ ✅
Administración de ✅
derechos: directiva
de patrocinadores
(versión
preliminar)
Privileged Identity ✅ ✅
Management
(PIM)
Controles de ✅ ✅
acceso condicional
de PIM
Revisiones de ✅ ✅
acceso:
certificaciones y
revisiones de
acceso básicas
Revisiones de ✅
acceso: PIM For
Groups(Preview)
Revisiones de ✅
acceso: revisiones
de usuarios
inactivos
Revisiones de ✅ ✅
acceso:
recomendaciones
Característica Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra
ID Governance
de usuarios
inactivos
Revisiones de ✅
acceso:
certificación y
revisiones de
acceso asistido
por aprendizaje
automático
Flujos de trabajo ✅
de ciclo de vida
(LCW)
LCW + ✅
Extensiones
personalizadas
(Logic Apps)
Panel de ✅ ✅ ✅
gobernanza de
identidad (versión
preliminar)
Información e ✅
informes: cuentas
de invitado
inactivas (versión
preliminar)
Administración de derechos
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft
Entra para los usuarios de la organización. Algunas funcionalidades de esta característica
pueden funcionar con una suscripción de Microsoft Entra ID P2.
ノ Expandir tabla
Escenario Cálculo Número
de
licencias
Revisiones de acceso
El uso de esta característica requiere suscripciones a Gobierno de id. de Microsoft Entra
para los usuarios de su organización, incluyendo a todos los empleados que estén
revisando el acceso o que tengan su acceso revisado. Algunas funcionalidades de esta
característica podrían funcionar con una suscripción de Microsoft Entra ID P2.
ノ Expandir tabla
Un administrador crea una revisión de acceso 500 licencias para usuarios y 3 503
del Grupo B con 500 usuarios y 3 propietarios licencias para cada propietario
de grupo, y asigna los 3 propietarios de grupo de grupo como revisores.
como revisores.
Un administrador crea una revisión de acceso 500 licencias para cada usuario 500
del Grupo B con 500 usuarios. Realiza una como revisores
autorrevisión.
ノ Expandir tabla
Escenario Cálculo Número
de
licencias
ノ Expandir tabla
Directivas de Directivas No No Sí
riesgo de riesgo
de inicio de
sesión y de
usuario
(mediante
Identity
Protection
o el acceso
condicional)
Informes de Información No No Sí
seguridad general
Notificaciones Alertas No No Sí
detectadas
sobre
usuarios en
riesgo
Notificaciones Resumen No No Sí
semanal
Directiva de No No Sí
registro de
MFA
Identidades administradas
No hay requisitos de licencia para usar identidades administradas para recursos de
Azure. Las identidades administradas son una característica de Microsoft Entra ID (Entra
ID) que proporciona una identidad administrada automáticamente para que las
aplicaciones la usen al conectarse a recursos que admiten la autenticación de Azure AD.
Una de las ventajas de usar identidades administradas es que no es necesario
administrar credenciales y se pueden usar sin costo adicional. Para más información,
consulte ¿Qué es Managed Identities for Azure Resources?
Organizaciones multiinquilino
En el inquilino de origen: necesita licencias de Azure AD Premium P1 para usar esta
característica. Cada usuario que se sincroniza con la sincronización entre inquilinos debe
tener una licencia P1 en su inquilino de inicio u origen. A fin de obtener la licencia
correcta para sus requisitos, consulte Comparación de las características con
disponibilidad general de Azure AD .
ノ Expandir tabla
Roles
Unidades administrativas
El uso de unidades administrativas requiere una licencia de Azure AD Premium P1 para
cada administrador de unidad administrativa que tenga asignados roles de directorio en
el ámbito de la unidad administrativa y una licencia de Azure AD Free para cada
miembro de las unidades administrativas. La creación de unidades administrativas está
disponible con una licencia de Azure AD Free. Si usa reglas de pertenencia dinámica
para las unidades administrativas, cada miembro de unidad administrativa requiere una
licencia de Azure AD Premium P1. Para obtener la licencia correcta para sus requisitos,
consulte Comparación de las características con disponibilidad general de las ediciones
Gratis y Prémium .
ノ Expandir tabla
*El nivel de acceso y funcionalidades de Identity Protection varía con el rol y la licencia.
Para más información, consulte los requisitos de licencia de Identity Protection.
Id. verificada por Microsoft Entra
La Id. verificada se incluye actualmente con cualquier suscripción de Azure
Active Directory, incluido Azure AD Free, sin costo adicional. Para obtener información
sobre la Id. verificada y cómo habilitarlo, consulte Introducción a Id. verificada por
Microsoft Entra.
Pasos siguientes
Precios de Microsoft Entra
Precios de Azure AD B2C
Suscríbase a las ediciones P1 o P2 de
Microsoft Entra ID
Artículo • 30/11/2023
Opciones de registro
El registro con su suscripción de Azure con licencias de Microsoft Entra ID activadas y
adquiridas previamente activa automáticamente las licencias en el mismo directorio. Si
no fuera así, aún deberá activar el plan de licencias y el acceso a Microsoft Entra ID. Para
más información sobre la activación del plan de licencias, vea Activación del plan de
licencias. Para obtener más información sobre cómo activar el acceso de Microsoft Entra
ID, consulte Activar el acceso de Microsoft Entra ID.
Para más información sobre las opciones de compra de licencias por volumen, vea
Cómo comprar mediante el programa de licencias por volumen .
Pasos siguientes
Ahora que tiene las ediciones P1 o P2 de Microsoft Entra ID, podrá personalizar su
dominio, agregar la personalización de marca corporativa, crear un inquilino y agregar
grupos y usuarios.
Características y licencias para la
autenticación multifactor de Microsoft Entra
Artículo • 27/10/2023
) Importante
Microsoft 365 Business EMS E3, Microsoft 365 E3 y Microsoft 365 Empresa Premium incluyen
Premium y EMS o Microsoft Entra ID P1. EMS E5 o Microsoft 365 E5 incluyen Microsoft Entra
Microsoft 365 E3 y E5 ID P2. Puede usar las mismas características de acceso condicional que se
indican en las siguientes secciones para proporcionar autenticación
multifactor a los usuarios.
Si es usuario de Funcionalidades y casos de uso
Microsoft Entra ID P1 Puede usar el Acceso condicional de Microsoft Entra para solicitar a los
usuarios la autenticación multifactor en determinados escenarios o eventos
y adaptarlo así a los requisitos empresariales.
Todos los planes de La autenticación multifactor de Microsoft Entra puede habilitarse para todos
Microsoft 365 los usuarios con los valores predeterminados de seguridad. La
administración de la autenticación multifactor de Microsoft Entra se realiza a
través del portal de Microsoft 365. Para mejorar la experiencia del usuario,
actualice a Microsoft Entra ID P1 o P2 y use el acceso condicional. Para
obtener más información, consulte el artículo sobre la protección de los
recursos de Microsoft 365 con la autenticación multifactor.
Office 365 gratis Puede usar los valores predeterminados de seguridad para solicitar a los
Microsoft Entra ID Free usuarios la autenticación multifactor según sea necesario y, aunque no tiene
un control pormenorizado de los usuarios o escenarios habilitados, sí se
proporciona ese paso de seguridad adicional.
Incluso cuando no se usan los valores predeterminados de seguridad para
habilitar la autenticación multifactor para todos los usuarios, se puede
configurar el rol de Administrador global de Microsoft Entra para usar la
autenticación multifactor. Esta característica del nivel de servicio gratuito
garantiza que las cuentas de administrador críticas estén protegidas por la
autenticación multifactor.
Aplicación ● ● ● ● ●
móvil como
segundo
factor
Llamada de ● ● ●
teléfono como
segundo
factor
Mensaje de ● ● ● ●
texto como
segundo
factor
Control ● ● ● ●
administrativo
sobre
métodos de
comprobación
Alerta de ● ●
fraude
Informes de ● ●
MFA
Saludos ● ●
personalizados
para las
llamadas de
teléfono
Identificador ● ●
de llamada
personalizado
para llamadas
telefónicas
Característica Microsoft Entra Microsoft Entra Office Microsoft Entra ID P1 Microsoft Entra ID P2
ID Gratis: Valores ID Gratis: Solo 365
predeterminados administradores
de seguridad globales
(habilitados para
todos los
usuarios)
IP de ● ●
confianza
Recordar MFA ● ● ● ●
para
dispositivos de
confianza
MFA para ● ●
aplicaciones
locales
Acceso ● ●
condicional
Acceso ●
condicional
basado en
riesgos
Administración
Flexibilidad de configuración ●
Funcionalidad
Directiva de Valores predeterminados Acceso MFA por
Exención de usuarios de la directiva de seguridad ●
condicional ●
usuario
La edición Free se incluye con una suscripción de Azure. Consulte la sección siguiente para
obtener información sobre cómo usar los valores predeterminados de seguridad o cómo
proteger las cuentas con el rol de Administrador global de Microsoft Entra.
Si no quiere habilitar la autenticación multifactor de Microsoft Entra para todos los usuarios,
puede optar por proteger solo las cuentas de usuario con el rol de Administrador global de
Microsoft Entra. Este enfoque proporciona más solicitudes de autenticación para las cuentas de
administrador críticas. Puede habilitar la autenticación multifactor de Microsoft Entra de una de
las siguientes maneras, según el tipo de cuenta que use:
Pasos siguientes
Para más información sobre los precios, vea Precios de Microsoft Entra .
¿Qué es el acceso condicional?
¿Qué es Identity Protection?
La autenticación multifactor (MFA) también se puede habilitar por usuario.
Comentarios
¿Le ha resultado útil esta página? Sí No
¿Cómo funciona?
Cada 24 horas, examinamos la configuración de seguridad y comparamos los valores
con los procedimientos recomendados. En función del resultado de esta evaluación, se
calcula una nueva puntuación para el directorio. Es posible que la configuración de
seguridad no esté completamente alineada con la guía del procedimiento recomendado
y que las acciones de mejora solo se cumplan parcialmente. En estos casos, se le
premiará con una parte de la puntuación máxima disponible para el control.
Para abordar una recomendación de puntuación segura, selecciónela en la lista para ver
los detalles y el plan de acción. Si realiza la acción adecuada, el estado cambia
automáticamente la próxima vez que se ejecute el servicio. También puede marcar la
recomendación como descartada o pospuesta. Para obtener más información sobre
cómo trabajar con recomendaciones, consulte Uso de recomendaciones.
¿Cómo me ayuda?
La puntuación segura le ayuda a:
Administrador global
Administrador de seguridad
Administrador de Exchange
Administrador de SharePoint
Con el acceso de solo lectura, no puede editar el estado de una acción de mejora.
Identidad
data
Dispositivos
Infraestructura
Aplicaciones
Requisitos previos
En esta guía se da por supuesto que ya se han establecido en Microsoft Entra ID las
identidades híbridas o en la nube. Para obtener ayuda para elegir un tipo de identidad,
consulte el artículo Selección del método de autenticación adecuado para su solución
de identidad híbrida de Microsoft Entra.
Tutorial guiado
Para ver un tutorial guiado de muchas de las recomendaciones de este artículo, consulte
la guía Configuración de Microsoft Entra ID al iniciar sesión en el Centro de
Administración de Microsoft 365. Para revisar los procedimientos recomendados sin
iniciar sesión y activar las características de configuración automatizadas, vaya al portal
de instalación de M365 .
Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
Microsoft 365 (Empresa Básico, Aplicaciones para negocios, Empresa Estándar,
Empresa Premium, A1)
Microsoft Entra ID Free (incluido con Azure, Dynamics 365, Intune y Power
Platform)
ノ Expandir tabla
Integrar aplicaciones SaaS Microsoft Entra ID incluye una galería que contiene miles de
compatibles de la galería con aplicaciones previamente integradas. Algunas de las
Microsoft Entra ID y habilitar el aplicaciones que su organización usa probablemente estén
inicio de sesión único en la galería y se pueda acceder a ellas desde Azure Portal.
Proporcione acceso a las aplicaciones SaaS empresariales de
forma remota y segura mediante una experiencia de usuario
mejorada (SSO).
Usar roles con privilegios mínimos Asigne a los administradores solo el acceso que necesitan a
siempre que sea posible las áreas a las que necesitan acceso. No todos los
administradores deben ser administradores globales.
Habilitar la experiencia de registro Permita que los usuarios se registren para una de las
combinada para Microsoft Entra experiencias comunes: Microsoft Entra Multi-Factor
MFA y SSPR para simplificar la Authentication o el autoservicio de restablecimiento de
experiencia de registro del usuario contraseña.
Configurar MFA para su Asegúrese de que las cuentas están protegidas frente a los
organización riesgos de la autenticación multifactor.
Crear y habilitar directivas de MFA para que los administradores protejan las cuentas a las
acceso condicional que se asignan derechos administrativos.
Habilitar el acceso remoto a las Habilite Microsoft Entra Application Proxy e intégrela con
aplicaciones heredadas locales con aplicaciones heredadas para que los usuarios tengan acceso
Application Proxy seguro a aplicaciones locales, iniciando sesión con su cuenta
de Microsoft Entra.
Integrar aplicaciones SaaS Microsoft Entra ID incluye una galería que contiene miles de
compatibles de la galería con aplicaciones previamente integradas. Algunas de las
Microsoft Entra ID y habilitar el aplicaciones que su organización usa probablemente estén
inicio de sesión único en la galería y se pueda acceder a ellas desde Azure Portal.
Proporcione acceso a las aplicaciones SaaS empresariales de
forma remota y segura mediante una experiencia de usuario
mejorada (SSO).
Habilitación de la protección con Proteja a los usuarios del uso de contraseñas poco seguras y
contraseña fáciles de adivinar.
Acción recomendada Detalle
Usar roles con privilegios mínimos Asigne a los administradores solo el acceso que necesitan a
siempre que sea posible las áreas a las que necesitan acceso. No todos los
administradores deben ser administradores globales.
Creación de una lista de Evite que los usuarios creen contraseñas que incluyan
contraseñas prohibidas palabras o frases comunes de su organización o zona.
personalizada específica de la
organización
Creación de un plan para el acceso Colabore con los usuarios invitados y permítales iniciar
de usuarios invitados sesión en sus aplicaciones y servicios con sus propias
identidades profesionales, educativas o sociales.
Microsoft Entra ID P2
Enterprise Mobility + Security (EMS E5)
Microsoft 365 (E5, A5)
ノ Expandir tabla
Habilitar la experiencia de registro Permita que los usuarios se registren para una de las
combinada para Microsoft Entra experiencias comunes: Microsoft Entra Multi-Factor
MFA y SSPR para simplificar la Authentication o el autoservicio de restablecimiento de
experiencia de registro del usuario contraseña.
Acción recomendada Detalle
Configurar MFA para su Asegúrese de que las cuentas están protegidas frente a los
organización riesgos de la autenticación multifactor.
Habilitar las directivas de riesgo de Habilite las directivas de inicio de sesión y de usuario de
inicio de sesión y de usuario de Identity Protection. La directiva de inicio de sesión
Identity Protection recomendada está dirigida a los inicios de sesión de riesgo
medio y requiere de MFA. En el caso de las directivas de
usuario, debe dirigirse a los usuarios de alto riesgo que
necesitan la acción de cambio de contraseña.
Crear y habilitar directivas de MFA para que los administradores protejan las cuentas a las
acceso condicional que se asignan derechos administrativos.
Habilitar el acceso remoto a las Habilite Microsoft Entra Application Proxy e intégrela con
aplicaciones heredadas locales con aplicaciones heredadas para que los usuarios tengan acceso
Application Proxy seguro a aplicaciones locales, iniciando sesión con su cuenta
de Microsoft Entra.
Integrar aplicaciones SaaS Microsoft Entra ID incluye una galería que contiene miles de
compatibles de la galería con aplicaciones previamente integradas. Algunas de las
Microsoft Entra ID y habilitar el aplicaciones que su organización usa probablemente estén
inicio de sesión único en la galería y se pueda acceder a ellas desde Azure Portal.
Proporcione acceso a las aplicaciones SaaS empresariales de
forma remota y segura mediante una experiencia de usuario
mejorada (SSO).
Habilitación de la protección con Proteja a los usuarios del uso de contraseñas poco seguras y
contraseña fáciles de adivinar.
Usar roles con privilegios mínimos Asigne a los administradores solo el acceso que necesitan a
siempre que sea posible las áreas a las que necesitan acceso. No todos los
administradores deben ser administradores globales.
Acción recomendada Detalle
Creación de una lista de Evite que los usuarios creen contraseñas que incluyan
contraseñas prohibidas palabras o frases comunes de su organización o zona.
personalizada específica de la
organización
Creación de un plan para el acceso Colabore con los usuarios invitados y permítales iniciar
de usuarios invitados sesión en sus aplicaciones y servicios con sus propias
identidades profesionales, educativas o sociales.
Completar una revisión de acceso Trabaje con los equipos de seguridad y dirección para crear
para los roles de directorio de una directiva de revisión de acceso para revisar el acceso de
Microsoft Entra en PIM los administradores de conformidad con las directivas de la
organización.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres
principios rectores de una arquitectura de Confianza cero:
Comprobación explícita
Usar privilegios mínimos
Presunción de intrusiones al sistema
Para obtener más información sobre Confianza cero y otras formas de alinear su
organización con los principios rectores, consulte el Centro de instrucciones de
Confianza cero.
Pasos siguientes
Para obtener instrucciones de implementación detalladas para las características
individuales del identificador de Microsoft Entra, revise los planes de
implementación del proyecto de identificador de Microsoft Entra ID.
Las organizaciones pueden usar la puntuación segura de la identidad para
supervisar su progreso en lo que respecta a otras recomendaciones de Microsoft.
Cinco pasos para integrar las
aplicaciones con el identificador de
Microsoft Entra ID
Artículo • 25/10/2023
Descubra cómo integrar las aplicaciones con Microsoft Entra ID, que es un servicio de
administración de identidades y acceso basado en la nube. Las organizaciones usan
Microsoft Entra ID para la autenticación y autorización seguras, de modo que los
clientes, asociados y empleados pueden acceder a las aplicaciones.
Más información:
Si su empresa tiene una suscripción de Microsoft 365, es probable que use Microsoft
Entra id. Sin embargo, puede usar Microsoft Entra id. para las aplicaciones. Si centraliza
la administración de aplicaciones, las características de administración de identidades,
las herramientas y las directivas para la cartera de aplicaciones. La ventaja es una
solución unificada que mejora la seguridad, reduce los costos, aumenta la productividad
y permite garantizar el cumplimiento. Además, dispone de acceso remoto a las
aplicaciones locales.
Más información:
Microsoft Entra ID tiene una galería de aplicaciones integradas para facilitar el inicio.
Agregue una aplicación de la galería a la organización de Microsoft Entra (vea el vínculo
anterior) y obtenga información sobre la integración de tutoriales de software como
servicio (SaaS).
Tutoriales de integración
Use los tutoriales siguientes para descubrir cómo integrar herramientas comunes con el
inicio de sesión único (SSO) de Microsoft Entra.
Más información:
Más información:
Además, use Servicios de federación de Active Directory (AD FS) en Azure Portal para
detectar aplicaciones de AD FS en su organización. Descubra usuarios únicos que han
iniciado sesión en las aplicaciones y vea información sobre la compatibilidad de la
integración.
Migración de aplicaciones
Después de detectar aplicaciones en su entorno, priorice las aplicaciones que quiere
migrar e integrar. Tenga en cuenta los parámetros siguientes:
Más información:
Una vez que Microsoft Entra ID es el IdP central, es posible que pueda interrumpir ADFS.
Puede migrar aplicaciones que utilizan otro IdP basado en la nube. Su organización
puede tener varias soluciones de Administración de identidad y acceso (IAM). La
migración a una infraestructura de Microsoft Entra puede reducir las dependencias de
las licencias de IAM y los costos de infraestructura. Si ha pagado Microsoft Entra ID con
licencias de Microsoft 365, es probable que no tenga que comprar otra solución de IAM.
Consulte: Uso de Microsoft Entra proxy de aplicación para publicar aplicaciones locales
para usuarios remotos
Más información:
Más información:
Paso siguiente
Recursos para migrar aplicaciones a Microsoft Entra ID
Valores predeterminados de seguridad
en Microsoft Entra ID
Artículo • 07/11/2023
Para ayudar a proteger las organizaciones, siempre estamos trabajando para mejorar la
seguridad de los servicios de cuentas de Microsoft. Como parte de esta protección, se
notifica periódicamente a los clientes sobre la habilitación automática de los valores
predeterminados de seguridad si:
Cuando los usuarios inician sesión y se les pide que realicen la autenticación multifactor
(MFA), ven una pantalla que les proporciona un número para escribir en la aplicación
Microsoft Authenticator. Esta medida ayuda a evitar que los usuarios caigan en ataques
de fatiga de MFA.
Exigir que los administradores realicen la autenticación
multifactor
Los administradores tienen un mayor acceso a su entorno. Dadas las facultades de estas
altamente privilegiadas cuentas, debe tratarlas con un cuidado especial. Un método
común para mejorar la protección de las cuentas con privilegios es exigir una forma de
verificación de la cuenta más estricta para iniciar sesión, como requerir la autenticación
multifactor.
Sugerencia
Una vez finalizado el registro, los roles de administrador siguientes deberán realizar una
autenticación multifactor adicional cada vez que inicien sesión:
Administrador global
Administrador de aplicaciones
Administrador de autenticación
Administrador de directivas de autenticación
Administrador de facturación
Administrador de aplicaciones en la nube
Administrador de acceso condicional
Administrador de Exchange
Administrador del departamento de soporte técnico
Administrador de Identity Governance
Administrador de contraseñas
Administrador de autenticación con privilegios
Administrador de roles con privilegios
Administrador de seguridad
Administrador de SharePoint
Administrador de usuarios
Una vez que estos atacantes obtienen acceso, pueden solicitar acceso a información
privilegiada en nombre del titular de la cuenta original. Incluso pueden descargar todo
el directorio para realizar un ataque de suplantación de identidad (phishing) en toda la
organización.
Un método común para mejorar la protección de todos los usuarios es exigir a todos
una forma más estricta de verificación de cuentas, como la autenticación multifactor.
Cuando los usuarios finalicen el registro, se les solicitará otra autenticación siempre que
sea necesario. Microsoft decide cuándo se solicita a un usuario que realice la
autenticación multifactor en función de factores como la ubicación, el dispositivo, el rol
y la tarea. Esta funcionalidad protege todas las aplicaciones registradas, incluidas las
aplicaciones SaaS.
7 Nota
Hoy en día, la mayoría de los intentos de inicio de sesión que ponen en peligro la
seguridad proceden de la autenticación heredada. La autenticación heredada no admite
la autenticación multifactor. Incluso si tiene una directiva de autenticación multifactor
habilitada en el directorio, un atacante puede autenticarse mediante un protocolo
antiguo y omitir la autenticación multifactor.
Después de habilitar los valores de seguridad predeterminados en el inquilino, se
bloquearán todas las solicitudes de autenticación realizadas con un protocolo antiguo.
Los valores predeterminados de seguridad bloquean la autenticación básica de
Exchange Active Sync.
2 Advertencia
Azure Portal
Centro de administración de Microsoft Entra
Azure PowerShell
Azure CLI
El uso de Azure Resource Manager para administrar los servicios es una acción con
privilegios elevados. Azure Resource Manager puede modificar las configuraciones de
todo el inquilino, como la configuración del servicio y la facturación de la suscripción. La
autenticación de factor único es vulnerable a una variedad de ataques, como la
suplantación de identidad (phishing) y la difusión de contraseñas.
Azure portal
Centro de administración de Microsoft Entra
Azure PowerShell
Azure CLI
Esta directiva se aplica a todos los usuarios que acceden a los servicios de
Azure Resource Manager, independientemente de si son administradores o usuarios.
Esto se aplica a las API de Azure Resource Manager, como el acceso a la suscripción, las
máquinas virtuales, las cuentas de almacenamiento, etc. Esto no incluye Microsoft Entra
ID ni Microsoft Graph.
7 Nota
7 Nota
Consideraciones de la implementación
Métodos de autenticación
Los usuarios con los valores predeterminados de seguridad deben registrar y usar la
autenticación multifactor mediante las Notificaciones de la aplicación Microsoft
Authenticator. Los usuarios pueden utilizar códigos de verificación de la aplicación
Microsoft Authenticator, pero solo pueden registrarse mediante la opción de
notificación. Los usuarios también pueden usar cualquier aplicación de terceros
mediante OATH TOTP para generar códigos.
2 Advertencia
Usuarios B2B
Los usuarios invitados B2B o los usuarios de conexión directa B2B que acceden al
directorio se tratan igual que los usuarios de la organización.
Las organizaciones que quieran probar las características del acceso condicional pueden
registrarse para obtener una evaluación gratuita para comenzar.
Se recomienda excluir al menos una cuenta de las directivas de acceso condicional Estas
cuentas de acceso de emergencia o de emergencia excluidas ayudan a evitar el
bloqueo de cuentas de todo el inquilino. En el improbable caso de que todos los
administradores estén bloqueados fuera del inquilino, se puede usar la cuenta
administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar
los pasos para recuperar el acceso. Para más información, consulte Administración de
cuentas de acceso de emergencia.
Pasos siguientes
Blog: Presentación de los valores predeterminados de seguridad
Para más información sobre las licencias, consulte la página de precios de
Microsoft Entra .
Comentarios
¿Le ha resultado útil esta página? Sí No
Para brindar a los usuarios un acceso sencillo a las aplicaciones en la nube, Microsoft
Entra ID admite una amplia variedad de protocolos de autenticación, incluyendo la
autenticación heredada. No obstante, la autenticación heredada no admite cosas como
la autenticación multifactor (MFA). MFA es un requisito común para mejorar la posición
de seguridad en las organizaciones.
7 Nota
En este artículo se explica cómo configurar las directivas de acceso condicional que
bloquean la autenticación heredada para todas las cargas de trabajo en el inquilino.
Requisitos previos
En este artículo se supone que está familiarizado con los conceptos básicos del acceso
condicional de Microsoft Entra.
7 Nota
¿Cómo se puede evitar que las aplicaciones que usan la autenticación heredada accedan
a los recursos del inquilino? La recomendación es simplemente bloquearlas con una
directiva de acceso condicional. Si es necesario, puede permitir que solo ciertos usuarios
y ubicaciones de red específicas usen aplicaciones basadas en la autenticación
heredada.
Implementación
En esta sección se explica cómo configurar una directiva de acceso condicional para
bloquear la autenticación heredada.
Para obtener más información sobre estos protocolos de autenticación y servicios, vea
Informes de actividad de inicio de sesión.
Estos registros indicarán la ubicación en la que los usuarios usan los clientes que
dependen todavía de la autenticación heredada. En el caso de los usuarios que no
aparecen en estos registros y se confirme que no usan la autenticación heredada,
implemente una directiva de acceso condicional solo para ellos.
Consideraciones importantes
Muchos clientes que anteriormente solo admitían la autenticación heredada ahora
admiten la autenticación moderna. Los clientes que admiten la autenticación heredada y
moderna pueden requerir una actualización de la configuración para pasar de la
autenticación heredada a la moderna. Si ve un móvil moderno, un cliente de escritorio
o un explorador para un cliente en los registros de inicio de sesión, significa que está
usando una autenticación moderna. Si tiene un nombre de cliente o protocolo
específico, como Exchange ActiveSync, está usando la autenticación heredada. Los tipos
de cliente en Acceso condicional, Registros de inicio de sesión y el libro de trabajo de
autenticación heredada distinguen entre clientes de autenticación modernos y
heredados.
) Importante
Al implementar Exchange Active Sync (EAS) con CBA, configure los clientes para
que usen una autenticación moderna. Los clientes que no usen la autenticación
moderna para EAS con CBA no están bloqueados con el desuso de la
autenticación básica en Exchange Online. Sin embargo, las directivas de acceso
condicional configuradas para bloquear la autenticación heredada bloquean estos
clientes.
Para obtener más información sobre cómo implementar la compatibilidad con CBA
con Microsoft Entra ID y la autenticación moderna, consulte Cómo configurar la
autenticación basada en certificados de Microsoft Entra ID (versión preliminar).
Como otra opción, la autenticación basada en certificados realizada en un servidor
de federación se puede usar con la autenticación moderna.
Si usa Microsoft Intune, es posible que pueda cambiar el tipo de autenticación mediante
el perfil de correo electrónico que inserte o implemente en los dispositivos. Si usa
dispositivos iOS (iPhone y iPad), debería echar un vistazo al artículo sobre cómo agregar
la configuración de correo electrónico para dispositivos iOS y iPadOS en Microsoft
Intune.
La configuración de una directiva para otros clientes bloquea toda la organización ante
determinados clientes como SPConnect. Este bloqueo se produce porque clientes más
antiguos se autentican de formas inesperadas. Este problema no aplica a las
aplicaciones principales de Office, como los clientes de Office anteriores.
Puede seleccionar todos los controles de concesión disponibles para la condición Otros
clientes, pero la experiencia del usuario final siempre es la misma: el acceso bloqueado.
Pasos siguientes
Determinación del impacto mediante el modo de solo informe de acceso
condicional
Si todavía no sabe cómo configurar las directivas de acceso condicional, consulte
Exigir MFA para aplicaciones específicas con el acceso condicional de Microsoft
Entra para ver un ejemplo.
Para más información sobre la compatibilidad con la autenticación moderna,
consulte Cómo funciona la autenticación moderna para las aplicaciones de cliente
de Office
Configuración de una aplicación o un dispositivo multifunción para enviar correos
electrónicos mediante Microsoft 365
Habilitación de la autenticación moderna en Exchange Online
Habilitación de la autenticación moderna para Office 2013 en dispositivos
Windows
Cómo configurar Exchange Server local para usar la autenticación moderna híbrida
Cómo usar la autenticación moderna con Skype Empresarial
Comentarios
¿Le ha resultado útil esta página? Sí No
Las suscripciones de Azure tienen una relación de confianza con Microsoft Entra ID. Se
confía en Microsoft Entra ID para autenticar usuarios, servicios y dispositivos de la
suscripción. Cada suscripción tiene un identificador de inquilino asociado y hay varias
maneras de encontrarlo.
Azure PowerShell
Connect-AzAccount
Get-AzTenant
En la CLI de Azure, use uno de los comandos az login, az account list o az account
tenant list. Todos los comandos incluidos a continuación devuelven la propiedad
tenantId para cada una de las suscripciones.
Azure CLI
az login
az account list
az account tenant list
Para obtener más información, vea las referencias de los comandos az login, az account
o az account tenant.
cli
Para obtener más información, vea la referencia del comando tenant id. get de
Microsoft 365.
Pasos siguientes
Para crear un nuevo inquilino de Microsoft Entra, consulte Inicio rápido: Creación
de un nuevo inquilino en Microsoft Entra ID.
El soporte técnico está disponible en línea y por teléfono para las suscripciones de pago
y de prueba de Microsoft Azure en incidencias, de preventa, de facturación y de
suscripción globales. El soporte técnico por teléfono y el soporte técnico para la
facturación en línea están disponibles en otros idiomas.
Explore el alcance de las opciones de soporte técnico de Azure y elija el plan que
mejor se adapte a su escenario, ya sea un administrador de TI que administra el
inquilino de su organización, un desarrollador que acaba de comenzar su viaje a la nube
o una gran organización que implementa aplicaciones estratégicas y críticas para el
negocio. Los clientes de Azure pueden crear y administrar las solicitudes de soporte
técnico en Azure Portal.
7 Nota
Si usa Azure AD B2C, abra una incidencia de soporte técnico y cambie primero a un
inquilino de Microsoft Entra que tenga asociada una suscripción de Azure.
Normalmente, se trata del inquilino del empleado o del inquilino predeterminado
que se creó cuando se registró para una suscripción de Azure. Para más
información, consulte Asociación de las suscripciones de Azure con Microsoft
Entra ID.
2. Solución recomendada
En función de la información proporcionada, le mostraremos las soluciones
recomendadas que puede usar para intentar resolver el problema. Las soluciones están
escritas por ingenieros de Azure y resolverán la mayoría de los problemas comunes.
3. Detalles adicionales
A continuación, recopilaremos información adicional sobre el problema. Proporcionar
información exhaustiva y detallada en este paso nos ayuda a enrutar la solicitud de
soporte técnico al ingeniero adecuado.
1. Complete la sección detalles del problema para que podamos tener más
información sobre el mismo. Si es posible, indíquenos cuándo se inició el problema
y los pasos para reproducirlo. Puede cargar un archivo, como un archivo de
registro o una salida de diagnósticos. Para obtener más información sobre las
cargas de archivos, consulte Instrucciones de carga de archivos.
4. Revisar y crear
Antes de crear la solicitud, revise todos los detalles que va a enviar al soporte técnico.
Puede seleccionar Anterior para volver a cualquier pestaña si necesita realizar cambios.
Cuando esté satisfecho con la solicitud de soporte técnico, seleccione Crear.
Manténgase informado
Las cosas pueden cambiar rápidamente. Los siguientes recursos proporcionan
actualizaciones e información sobre las versiones más recientes.
Pasos siguientes
Publicación de una pregunta en Microsoft Q&A
Únase a la comunidad técnica de Microsoft
Obtenga información sobre la compatibilidad con identidades de Azure de datos
de diagnóstico a los que puede acceder.
Comentarios
¿Le ha resultado útil esta página? Sí No
El acceso del Soporte técnico de Microsoft a sus datos de diagnóstico de identidad solo
se concede con su aprobación, es de solo lectura y dura únicamente mientras estemos
trabajando activamente con usted para resolver su problema.
Microsoft Entra tienen este permiso en el artículo Roles integrados de Microsoft Entra.
Pasos siguientes
Aprobar las solicitudes de acceso al Soporte técnico de Microsoft
Administrar solicitudes de acceso del Soporte técnico de Microsoft
Visualización de registros de solicitudes de acceso del Soporte técnico de
Microsoft
Obtener información sobre cómo Microsoft usa datos para el Soporte técnico de
Azure
Aprobación de solicitudes de acceso del
Soporte técnico de Microsoft (versión
preliminar)
Artículo • 29/11/2023
Requisitos previos
Solo los usuarios autorizados del inquilino pueden ver y administrar las solicitudes de
acceso del Soporte técnico de Microsoft. Para ver, aprobar y rechazar solicitudes de
acceso del Soporte técnico de Microsoft, un rol debe tener el permiso
microsoft.azure.supportTickets/allEntities/allTasks . Para ver qué roles tienen este
Se envía una solicitud de soporte técnico desde un inquilino que es diferente del
inquilino en el que se está produciendo el problema.
Un ingeniero del Soporte técnico de Microsoft crea una solicitud de acceso de
soporte técnico para acceder a los datos de diagnóstico de identidad para el
inquilino de recursos.
Un administrador de ambos inquilinos aprueba la solicitud de acceso del Soporte
técnico de Microsoft.
Con la aprobación, el ingeniero de soporte técnico solo tiene acceso a los datos en
el inquilino de recursos aprobado.
Cuando el ingeniero de soporte técnico cierra la solicitud de soporte técnico, se
revoca automáticamente el acceso a los datos de identidad.
Pasos siguientes
Creación de una solicitud de soporte técnico
Administrar solicitudes de acceso del Soporte técnico de Microsoft
Visualización de registros de solicitudes de acceso del Soporte técnico de
Microsoft
Obtener información sobre cómo Microsoft usa datos para el Soporte técnico de
Azure
Administrar las solicitudes de acceso al
Soporte técnico de Microsoft (versión
preliminar)
Artículo • 01/12/2023
Requisitos previos
Solo determinadas funciones de Microsoft Entra están autorizadas a administrar
solicitudes de acceso a Soporte técnico de Microsoft. Para administrar las solicitudes de
acceso a el Soporte técnico de Microsoft, una función debe tener el permiso
microsoft.azure.supportTickets/allEntities/allTasks . Para ver qué roles de Microsoft
Entra tienen este permiso, busque los roles integrados de Microsoft Entra para obtener
el permiso necesario.
Pasos siguientes
Aprobar las solicitudes de acceso al Soporte técnico de Microsoft
Ver los registros de solicitudes de acceso del Soporte técnico de Microsoft
Obtener información sobre cómo Microsoft usa datos para el Soporte técnico de
Azure
Ver los registros de actividad para las
solicitudes de acceso del soporte
técnico de Microsoft (versión
preliminar)
Artículo • 25/10/2023
Todas las actividades relacionadas con las solicitudes de acceso al soporte técnico de
Microsoft se incluyen en los registros de auditoría de Microsoft Entra. Las actividades
pueden incluir solicitudes de los usuarios del inquilino o de un servicio automatizado. En
este artículo se describe cómo ver los distintos tipos de registros de actividad.
Requisitos previos
Para acceder al registro de auditoría de un inquilino, es necesario tener uno de los
siguientes roles:
Lector de informes
Lector de seguridad
Administrador de seguridad
Administrador global
Tipos de solicitudes
Hay algunos detalles asociados con los registros de auditoría de solicitudes de acceso
de soporte técnico que resultan útiles para comprender. Conocer la diferencia entre los
tipos de solicitud podría ayudar al explorar los registros.
Solicitudes automatizadas
Hay tres actividades que se pueden asociar a solicitudes de acceso del soporte técnico
de Microsoft automatizadas o iniciadas por el sistema:
Pasos siguientes
Administrar solicitudes de acceso del soporte técnico de Microsoft
Más información sobre los registros de auditoría
¿Qué novedades hay en
Microsoft Entra ID?
Artículo • 14/12/2023
7 Nota
noviembre de 2023
Los clientes que usan esta característica en vista previa en Connect Sync deben cambiar
su configuración de Connect Sync a Cloud Sync. Los clientes pueden optar por mover
toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades) o
pueden ejecutar Cloud Sync en paralelo y mover solo el aprovisionamiento de grupos
de seguridad en la nube a AD a Cloud Sync.
Los clientes que aprovisionan Grupos de Microsoft 365 en AD pueden seguir usando
GWB V1 para esta funcionalidad.
Los clientes pueden evaluar el traslado exclusivo a Cloud Sync mediante este asistente:
https://aka.ms/EvaluateSyncOptions
Supervise las cuentas de invitados a escala con información inteligente sobre los
usuarios invitados inactivos de su organización. Personalice el umbral de inactividad en
función de las necesidades de la organización, limite el ámbito de los usuarios invitados
que desea supervisar e identifique a los usuarios invitados que podrían estar inactivos.
Para obtener más información, consulte: Supervisión y limpieza de cuentas de invitado
obsoletas mediante revisiones de acceso.
Colloquial
Diffchecker
M-Files
XM Fax y XM SendSecure
Rootly
Entrada o salida simple
Team Today
YardiOne
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Citrix Cloud , Freight Audit, Movement by project44, Alohi, AMCS Fleet Maintenance ,
Real Links Campaign App , Propely , Contentstack, Jasper AI, IANS Client Portal,
Avionic Interface Technologies LSMA , CultureHQ, Hone, Collector Systems, NetSfere,
Spendwise , Stage and Screen
La documentación de todas las aplicaciones está disponible aquí:
https://aka.ms/AppsTutorial
Para incluir su aplicación en la galería de aplicaciones de Azure AD, lea los detalles aquí:
https://aka.ms/AzureADAppRequest .
Octubre de 2023
Mis inicios de sesión (Mis inicios de sesión (microsoft.com) ) ahora admite a los
usuarios finales que administran y cambian sus contraseñas. Los administradores
pueden usar directivas de registro de acceso condicional con puntos fuertes de
autenticación destinados a My Security Info para controlar la experiencia del usuario
final para cambiar las contraseñas. En función de la directiva de acceso condicional, los
usuarios pueden cambiar su contraseña escribiendo su contraseña existente, o si se
autentican con MFA y satisfacen la directiva de acceso condicional, pueden cambiar la
contraseña sin escribir la contraseña existente.
El Informe de análisis de permisos (PAR) enumera los resultados relacionados con los
riesgos de permisos entre identidades y recursos en administración de permisos. El PAR
es una parte integral del proceso de evaluación de riesgos en el que los clientes
detectan áreas de mayor riesgo en su infraestructura en la nube. Este informe se puede
ver directamente en la interfaz de usuario de administración de permisos, descargarse
en formato de Excel (XSLX) y exportarse como PDF. Esta información está disponible
para Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
Se han introducido varios cambios en la lista Todos los dispositivos desde que se
anunció la versión preliminar pública, entre los que se incluyen:
Microsoft Entra ID es el nuevo nombre de Azure Active Directory (Azure AD). El cambio
de nombre y el nuevo icono de producto ahora se implementan en experiencias de
Microsoft. La mayoría de las actualizaciones se completarán a mediados de noviembre
de este año. Como se anunció anteriormente, este es solo un nuevo nombre, sin afectar
a las implementaciones ni al trabajo diario. No hay ningún cambio en las
funcionalidades, licencias, términos de servicio o soporte técnico.
Además, actualizaremos el contenido del correo electrónico para quitar todas las
referencias de Azure AD cuando proceda e incluiremos un banner informativo que
anuncie este cambio.
Estos son algunos recursos para guiarle a cambiar el nombre de sus propias
experiencias de producto o contenido cuando sea necesario:
Para proteger aún más su organización, Microsoft ahora limita esta funcionalidad solo a
los clientes de pago. Los clientes en suscripciones de prueba no podrán crear inquilinos
adicionales desde el Centro de administración de Microsoft Entra. Los clientes de esta
situación que necesitan un nuevo inquilino de prueba pueden registrarse para obtener
una cuenta gratuita de Azure .
Para obtener más información, vea: página Información general de Mi acceso (versión
preliminar).
Amazon Business
Sistemas de transporte de Bustle B2B
Canva
Cybozu
Forcepoint Cloud Security Gateway: autenticación de usuario
Hypervault
Oneflow
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Septiembre de 2023
Con esta versión, ahora puede recuperar aplicaciones junto con sus entidades de
servicio originales, lo que elimina la necesidad de grandes reconfiguraciones y cambios
de código (más información). Mejora significativamente la recuperación de aplicaciones
y responde a una antigua necesidad de los clientes. Este cambio es beneficioso para
usted en:
Recuperación más rápida: ahora puede recuperar sus sistemas en una fracción del
tiempo que solía tardar, lo que reduce el tiempo de inactividad y minimiza las
interrupciones.
Ahorro de costos: con una recuperación más rápida, puede ahorrar en los costos
operativos asociados con interrupciones prolongadas y trabajos de recuperación
que consumen mucha mano de obra.
Datos conservados: los datos que antes se perdían, como las configuraciones
SMAL, ahora se conservan, lo que garantiza una transición más fluida de vuelta a
las operaciones normales.
Experiencia de usuario mejorada: los tiempos de recuperación más rápidos se
traducen en una mejor experiencia de usuario y una mayor satisfacción del cliente,
ya que las aplicaciones vuelven a estar en funcionamiento rápidamente.
Datadog
Litmos
Postman
Recnice
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Inicialmente, el inicio de sesión web estaba pensado para usarse en una amplia variedad
de escenarios de credenciales de autenticación; sin embargo, solo se publicó
anteriormente para escenarios limitados, como: inicio de sesión web EDU simplificado y
flujos de recuperación a través de contraseña de acceso temporal (TAP).
Azure portal
Centro de administración de Exchange
Centro de administración de Microsoft 365
Portal de Microsoft 365 Defender
Centro de administración de Microsoft Entra
centro de administración de Microsoft Intune
Portal de cumplimiento de Microsoft Purview
Agosto de 2023
Las restricciones de inquilino V2 (TRv2) ahora están disponibles con carácter general
para el plano de autenticación a través del proxy.
TRv2 permite a las organizaciones habilitar una colaboración entre empresas segura y
productiva al tiempo que contienen los riesgos de filtración de datos. Con TRv2, puede
controlar a qué inquilinos externos pueden acceder los usuarios desde sus dispositivos o
red mediante identidades emitidas externamente y proporcionar un control de acceso
por organización, usuario, grupo y aplicación.
Ahora también puede proteger las acciones con privilegios dentro de la configuración
de acceso entre inquilinos mediante el acceso condicional. Por ejemplo, puede requerir
MFA antes de permitir cambios en la configuración predeterminada para la colaboración
B2B. Obtenga más información acerca de las Acciones protegidas.
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Jul. de 2023
Las funcionalidades, las licencias y el uso del producto no cambian. Para que la
transición sea perfecta, los precios, los términos, los contratos de nivel de servicio, las
direcciones URL, las API, los cmdlets de PowerShell, la Biblioteca de autenticación de
Microsoft (MSAL) y las herramientas de desarrollador siguen siendo las mismas.
Las acciones protegidas son operaciones de alto riesgo, como modificar directivas de
acceso o cambiar la configuración de confianza, lo que puede afectar significativamente
a la seguridad de una organización. Para agregar un nivel adicional de protección, el
acceso condicional para acciones protegidas permite a las organizaciones definir
condiciones específicas para que los usuarios realicen estas tareas confidenciales. Para
más información, consulte ¿ Qué son las acciones protegidas en Azure AD?.
Disponibilidad general: Revisiones de acceso para
usuarios inactivos
Tipo: Nueva característica
Categoría del servicio: Revisiones de acceso
Funcionalidad del producto: Identity Governance
Esta nueva característica, que forma parte de la SKU de Gobernanza de id. de Microsoft
Entra, permite a los administradores revisar y direccionar cuentas obsoletas que no han
estado activas durante un período especificado. Los administradores pueden establecer
una duración específica para determinar las cuentas inactivas que no se usaron para
actividades de inicio de sesión interactivas o no interactivas. Como parte del proceso de
revisión, las cuentas obsoletas se pueden quitar automáticamente. Para obtener más
información, consulte: Gobernanza de id. de Microsoft Entra presenta dos nuevas
características en las revisiones de acceso .
Los flujos de trabajo del ciclo de vida, una de las funcionalidades más recientes de
Gobernanza de id. de Microsoft Entra ahora están disponibles con carácter general para
ayudar a las organizaciones a optimizar aún más su ciclo de vida de identidad de
usuario. Para obtener más información, consulte: Flujos de trabajo de ciclo de vida ya
están disponibles con carácter general.
Supervise las cuentas de invitados a escala con información inteligente sobre los
usuarios invitados inactivos de su organización. Personalice el umbral de inactividad en
función de las necesidades de la organización, limite el ámbito de los usuarios invitados
que desea supervisar e identifique a los usuarios invitados que podrían estar inactivos.
Para obtener más información, consulte: Supervisión y limpieza de cuentas de invitado
obsoletas mediante revisiones de acceso.
La aplicación móvil de Azure se ha mejorado para permitir que los administradores con
permisos específicos restablezcan convenientemente las contraseñas de sus usuarios. El
autoservicio de restablecimiento de contraseña no se admitirá en este momento. Sin
embargo, los usuarios pueden controlar y simplificar de forma más eficaz sus propios
métodos de inicio de sesión y autenticación. La aplicación móvil se puede descargar
para cada plataforma aquí:
Android: https://aka.ms/AzureAndroidWhatsNew
IOS: https://aka.ms/ReferAzureIOSWhatsNew
"¿Cuándo tendrá MAM para Windows?" es una de nuestras preguntas más frecuentes
sobre los clientes. Estamos encantados de informar de que la respuesta es: "¡Ahora!"
Estamos encantados de ofrecer esta nueva y esperada funcionalidad de MAM de acceso
condicional en la versión preliminar pública de Microsoft Edge para empresas en
Windows.
Con la MAM de acceso condicional, Microsoft Edge para empresas proporciona a los
usuarios acceso seguro a los datos de la organización en dispositivos Windows
personales con una experiencia de usuario personalizable. Hemos combinado las
características de seguridad conocidas de las directivas de protección de aplicaciones
(APP), la defensa contra amenazas de cliente de Windows Defender y el acceso
condicional, todo anclado a la identidad de Azure AD para garantizar que los
dispositivos no administrados estén en buen estado y protegidos antes de conceder
acceso a los datos. Esto puede ayudar a las empresas a mejorar su posición de
seguridad y proteger los datos confidenciales frente al acceso no autorizado, sin
necesidad de inscripción completa de dispositivos móviles.
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
Albert
Sistemas Rhombus
Axiad Cloud
Dagster Cloud
WATS
Arrendamiento de embudo
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Para más información sobre MSAL para Python, consulte: Biblioteca de autenticación de
Microsoft (MSAL) para Python.
¿Qué está en desuso en
Microsoft Entra ID?
Artículo • 14/12/2023
7 Nota
Reciba notificaciones para volver a visitar esta página y obtener actualizaciones; para
ello, copie y pegue la dirección URL https://learn.microsoft.com/api/search/rss?
search=%22What's+deprecated+in+Azure+Active+Directory%22&locale=en-us en el lector
de fuentes.
Próximos cambios
Use la tabla siguiente para obtener información sobre los cambios, incluidos la
degradaciones, las retiradas, los cambios importantes y los cambios de marca.
Encontrará también las fechas y recomendaciones clave.
7 Nota
Las fechas y horas están en hora estándar del Pacífico en Estados Unidos y están
sujetas a cambios.
ノ Expandir tabla
Funcionalidad, característica o servicio Change Fecha de cambio
) Importante
Últimos cambios
ノ Expandir tabla
) Importante
Consulte las dos secciones siguientes para ver las definiciones de categorías, cambiar el
estado, etc.
ノ Expandir tabla
Category Definición Programación de
comunicación
Cambio Un cambio que podría interrumpir la experiencia del Cuatro veces al año:
importante cliente o del socio si no se realiza ninguna acción, o un marzo, junio,
cambio realizado para una operación continuada. septiembre y
diciembre
Cambio de Cambie a una característica de identidad existente que Cuatro veces al año:
características no requiera ninguna acción del cliente, pero que sea marzo, junio,
notoria. Normalmente, estos cambios se encuentran en septiembre y
la interfaz de usuario o la experiencia del usuario diciembre
(UI/UX).
Terminología
Fin del ciclo de vida: las inversiones en ingeniería han finalizado y la característica
no está disponible para ningún cliente
Pasos siguientes
¿Qué novedades hay en Microsoft Entra ID?
Recursos
Blog del anuncio de cambio de Microsoft Entra
Dispositivos: Administración y reciclaje del final del ciclo de vida
Novedades de las nubes soberanas de
Azure
Artículo • 25/10/2023
Azure Government
Junio de 2023
Para obtener más información, consulte: Integración del inicio de sesión único de Azure
Active Directory con Cisco Unified Communications Manager.
Mayo de 2023
Si los clientes no habilitan la coincidencia de números para todas las notificaciones push
de Microsoft Authenticator anteriores al 8 de mayo de 2023, los usuarios de
Authenticator pueden experimentar inicios de sesión incoherentes mientras los servicios
implementan este cambio. Para garantizar un comportamiento coherente para todos los
usuarios, se recomienda encarecidamente habilitar la coincidencia de números para las
notificaciones push de Microsoft Authenticator de antemano.
abril de 2023
Marzo de 2023
Algunas preguntas clave que este libro puede ayudar a responder son:
Con una mejora reciente, el bloqueo inteligente sincroniza ahora el estado de bloqueo
entre los centros de datos de Azure Active Directory, por lo que el número total de
intentos de inicio de sesión erróneos permitidos antes de que se bloquee una cuenta
coincidirá con el umbral de bloqueo configurado.
Para más información, consulte: Protección de las cuentas de usuario frente a ataques
con el bloqueo inteligente de Azure Active Directory.
Los clientes con actividad de MFA en la nube desde el adaptador de ADFS o la extensión
NPS ahora pueden ver estos eventos en los registros de inicio de sesión, en lugar del
informe de actividad de autenticación multifactor heredado. No todos los atributos de
los registros de inicio de sesión se rellenan para estos eventos debido a datos limitados
de los componentes locales. Los clientes con ADFS que usan AD Connect Health y los
clientes que usan NPS con la extensión NPS más reciente instalada tendrán un conjunto
más completo de datos en los eventos.
Para más información, consulte: Protección de las cuentas de usuario frente a ataques
con el bloqueo inteligente de Azure Active Directory.
Febrero de 2023
Disponibilidad general: filtrar y transformar los nombres
de grupo en la configuración de notificaciones de token
mediante expresiones regulares
Tipo: Nueva característica
Categoría del servicio: Aplicaciones empresariales
Funcionalidad del producto: SSO
Azure AD ahora tiene la capacidad de filtrar los grupos incluidos en el token mediante la
coincidencia de subcadena en el nombre para mostrar o los atributos
onPremisesSAMAccountName del objeto de grupo. En el token tan solo se incluirán los
grupos a los que pertenece el usuario. Este era un obstáculo para algunos de nuestros
clientes a la hora de migrar sus aplicaciones de ADFS a Azure AD. Esta característica
desbloquea esos desafíos.
Filtro de grupos.
Configuración de notificaciones de grupo para aplicaciones mediante Azure Active
Directory.
Disponibilidad general: nuevas características de
transformación de notificaciones de SSO
Tipo: Nueva característica
Categoría del servicio: Aplicaciones empresariales
Funcionalidad del producto: SSO
Para obtener más información sobre cómo habilitar esta característica, consulte
Extensiones de directorio y asignación de atributos personalizados en la sincronización
en la nube
Enero de 2023
Ahora dentro de Azure Portal tiene acceso para ver los datos clave de los controladores
de dominio de Azure AD-DS, como: búsquedas LDAP/s, total de consultas recibidas por
segundo, respuestas totales de DNS enviadas por segundo, Enlaces LDAP correctos/s,
uso de memoria, tiempo de procesador, autenticaciones Kerberos y autenticaciones
NTLM. Para obtener más información, consulte: Comprobación de las métricas de flota
de Azure Active Directory Domain Services.
Pasos siguientes
¿Cuáles son las novedades de Azure Active Directory?
Archivo de ¿Cuáles son las novedades de Azure Active Directory?
Archivo de ¿Cuáles son las novedades
de Azure Active Directory?
Artículo • 16/11/2023
El artículo principal de notas de la versión ¿Cuáles son las novedades de Azure Active
Directory? contiene las actualizaciones de los últimos seis meses, mientras que este
artículo contiene información hasta con 18 meses de antigüedad.
Las notas de la versión ¿Cuáles son las novedades de Azure Active Directory?
proporcionan información sobre:
Mayo de 2023
La versión más reciente de MSAL.NET cambió las API de identidad administrada al modo
de compatibilidad con disponibilidad general, lo que significa que los desarrolladores
pueden integrarlas de forma segura en las cargas de trabajo de producción.
Con MSAL.NET 4.54.0, las API de identidad administrada ahora son estables. Hay
algunos cambios que hemos agregado que hacen que sean más fáciles de usar e
integrar que podrían requerir ajustar el código si ha usado nuestra implementación
experimental :
Para empezar a trabajar con una identidad administrada en MSAL.NET, puede usar el
paquete Microsoft.Identity.Client junto con la clase ManagedIdentityApplicationBuilder.
Al configurar una directiva de acceso condicional, los clientes ahora tienen un control
pormenorizado sobre los tipos de usuarios externos a los que desean aplicar la directiva.
Los usuarios externos se clasifican en función de cómo se autentican (interna o
externamente) y su relación con su organización (invitado o miembro). Para obtener
más información, consulte: Asignación de directivas de acceso condicional para tipos de
usuarios externos.
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí: https://aka.ms/AzureADAppRequest .
abril de 2023
Como parte de las mejoras continuas del servicio, estamos realizando actualizaciones en
la experiencia de configuración de administración de MFA por usuario para alinearse
con la apariencia de Azure. Este cambio no incluye ningún cambio en la funcionalidad
principal y solo incluirá mejoras visuales. Para más información, consulte Habilitación de
la autenticación multifactor por usuario de Azure AD para proteger los eventos de inicio
de sesión.
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
Alvao
Better Stack
BIS
Conector
Howspace
Kno2fy
Netsparker Enterprise
uniFLOW Online
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Con esta nueva experiencia, PIM ahora administra automáticamente cualquier tipo de
recurso en un inquilino, por lo que ya no se requiere detección y activación. Con el
nuevo selector de recursos, los usuarios pueden elegir directamente el ámbito que
quieren administrar desde el grupo de administración hasta los propios recursos, lo que
facilita la localización de los recursos que necesitan administrar. Para más información,
consulte Asignación de roles de recursos de Azure en Privileged Identity Management.
Marzo de 2023
Acunetix 360
Akamai Enterprise Application Access
Ardoq
Torii
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
administrar fácilmente grupos, como buscar grupos para unirse, administrar grupos
propios y administrar las pertenencias a grupos existentes. En función de los
comentarios de los clientes, los nuevos Mis grupos permiten ordenar y filtrar listas de
grupos y miembros de grupos, una lista completa de los miembros de grupos grandes y
una página de información general procesable para las solicitudes de afiliación. Esta
experiencia reemplaza la experiencia Mis grupos existente en
https://www.mygroups.microsoft.com en mayo.
Este nuevo libro facilita la investigación y obtención de información sobre los flujos de
trabajo de aprovisionamiento en un inquilino determinado. Esto incluye el
aprovisionamiento basado en recursos humanos, la sincronización en la nube, el
aprovisionamiento de aplicaciones y la sincronización entre inquilinos.
Algunas preguntas clave que este libro puede ayudar a responder son:
Si los clientes no habilitan la coincidencia de números para todas las notificaciones push
de Microsoft Authenticator anteriores al 8 de mayo de 2023, los usuarios de
Authenticator pueden experimentar inicios de sesión incoherentes mientras los servicios
implementan este cambio. Para garantizar un comportamiento coherente para todos los
usuarios, se recomienda encarecidamente habilitar la coincidencia de números para las
notificaciones push de Microsoft Authenticator de antemano.
Febrero de 2023
Ahora puede exigir a los usuarios aptos para un rol que satisfagan los requisitos de la
directiva de acceso condicional para la activación: utilizar un método de autenticación
específico aplicado a través de los puntos fuertes de autenticación, activar desde un
dispositivo compatible con Intune, cumplir las condiciones de uso y utilizar MFA de
terceros y cumplir los requisitos de ubicación.
No hay ningún trabajo adicional para habilitar esta característica, las propiedades
desconocidas se muestran de forma predeterminada. Para más información, consulte
Riesgo de inicio de sesión.
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
Atmos
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Enero de 2023
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
SurveyMonkey Enterprise
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Esta experiencia ayuda a los administradores a recorrer los diferentes pasos necesarios
para establecer una configuración de sincronización en la nube y una experiencia
intuitiva para ayudarlos a administrarla fácilmente. Los administradores también pueden
obtener información sobre su configuración de sincronización mediante la opción
"Insights", que se integra con Azure Monitor y Workbooks.
Para obtener más información sobre cómo habilitar esta característica, consulte
Extensiones de directorio y asignación de atributos personalizados en Azure AD Connect
Cloud Sync
Diciembre de 2022
Esta característica analiza los registros cargados del lado cliente, también conocidos
como registros de diagnóstico, de un dispositivo Windows 10+ que tiene problemas y
sugiere pasos de corrección para resolver los problemas. Los administradores pueden
trabajar con el usuario final para recopilar registros del lado cliente y, después, cargarlos
en este solucionador de problemas en el centro de administración de Microsoft Entra.
Para obtener más información, consulte Solución de problemas de dispositivos
Windows en Azure AD.
Ahora, los usuarios finales pueden habilitar el inicio de sesión telefónico sin contraseña
para varias cuentas en la aplicación Authenticator en cualquier dispositivo iOS
compatible. Los consultores, los alumnos y otros con varias cuentas de Azure AD
pueden agregar las cuentas a Microsoft Authenticator y usar el inicio de sesión
telefónico sin contraseña para todas ellas desde el mismo dispositivo iOS. Las cuentas
de Azure AD pueden estar en el mismo inquilino o en inquilinos diferentes. No se
admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un
dispositivo.
Para conocer los pasos para configurar el modo de dispositivo compartido con Intune,
consulta: blog de configuración de Intune .
GHIAE
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Bionexo IDM , SMART Meeting Pro , Venafi Control Plane – Datacenter, HighQ,
Drawboard PDF , ETU Skillsims, TencentCloud IDaaS, TeamHeadquarters Email Agent
OAuth , Verizon MDM , QRadar SOAR, Tripwire Enterprise, Cisco Unified
Communications Manager, Howspace , Flipsnack SAML, Albert , Altinget.no , Coveo
Hosted Services, Cybozu(cybozu.com), BombBomb , VMware Identity Service,
HexaSync , Trifecta Teams , VerosoftDesign , Mazepay , Wistia, Begin.AI , WebCE,
Dream Broker Studio , PKSHA Chatbot, PGM-BCP , ChartDesk SSO, Elsevier SP,
GreenCommerce IdentityServer , Fullview , Aqua Platform, SpedTrack, Pinpoint ,
Darzin Outlook Add-in , Simply Stakeholders Outlook Add-in , tesma, Parkable, Unite
Us
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
Como parte de nuestra iniciativa continua para mejorar la experiencia del desarrollador,
la confiabilidad del servicio y la seguridad de las aplicaciones de los clientes, dejaremos
de brindar soporte técnico para la Biblioteca de autenticación de Microsoft. La fecha
límite final para migrar las aplicaciones a la Biblioteca de autenticación de Microsoft
(MSAL) se ha ampliado al 30 de junio de 2023.
¿Qué sucede?
Reconocemos que el cambio de bibliotecas no es una tarea fácil y que no se puede
realizar rápidamente. Estamos comprometidos a ayudar a los clientes a planear sus
migraciones a la Biblioteca de autenticación de Microsoft y ejecutarlas con una
interrupción mínima.
En junio de 2020, anunciamos la escala de tiempo de 2 años de la finalización del
soporte técnico para la Biblioteca de autenticación de Microsoft .
En diciembre de 2022, decidimos extender el fin del soporte técnico para la
Biblioteca de autenticación de Microsoft hasta junio de 2023.
A lo largo de los próximos seis meses (enero de 2023 a junio de 2023),
continuaremos informando a los clientes sobre este fin del soporte técnico,
además de proporcionarles instrucciones sobre la migración.
En junio de 2023, desactivaremos oficialmente la Biblioteca de autenticación de
Microsoft, eliminaremos la documentación de la biblioteca y archivaremos todos
los repositorios de GitHub relacionados con el proyecto.
Noviembre de 2022
El Pase de acceso temporal ahora se puede usar para recuperar equipos unidos a Azure
AD cuando la política EnableWebSignIn está habilitada en el dispositivo. Esto es útil para
cuando los usuarios no conocen o no tienen una contraseña. Para más información,
consulte Autenticación/EnableWebSignIn.
Versión preliminar pública: Federación de identidades de
carga de trabajo para métodos de identidades
administradas
Tipo: Nueva característica
Categoría de servicio: Identidades administradas para recursos de Azure
Funcionalidad del producto: Experiencia para el desarrollador
Los desarrolladores ahora pueden usar identidades administradas para sus cargas de
trabajo de software ejecutadas en cualquier lugar y para acceder a los recursos de
Azure, sin necesidad de secretos. Estos escenarios incluyen:
La versión 6.6.8 y posteriores de Authenticator en iOS serán compatibles con FIPS 140
para todas las autenticaciones de Azure AD que usan autenticaciones multifactor de
inserción (MFA), el inicio de sesión de teléfono sin contraseña (PSI) y los códigos de
acceso de un solo uso y duración definida (TOTP). Para habilitar esta funcionalidad, no
se requieren cambios de configuración en la aplicación Authenticator ni en Azure Portal.
Si necesita más información, consulte Compatibilidad con FIPS 140 para la autenticación
de Azure AD.
Disponibilidad general: Nuevas aplicaciones federadas
disponibles en la galería de aplicaciones de Azure AD,
noviembre de 2022
Tipo: Nueva característica
Categoría del servicio: Aplicaciones empresariales
Funcionalidad del producto: Integración de terceros
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
Keepabl
Uber
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Los clientes que usan ubicaciones con nombre para identificar límites de red específicos
en su organización deben:
1. Realizar una auditoría de las ubicaciones con nombre existentes para anticipar un
posible riesgo.
2. Trabajar con el asociado de red para identificar las direcciones IPv6 de salida en
uso en su entorno.
3. Revisar y actualizar las ubicaciones con nombre existentes para incluir los
intervalos IPv6 identificados.
Los clientes que usan directivas basadas en la ubicación de acceso condicional para
restringir y proteger el acceso a sus aplicaciones desde redes específicas deben:
Octubre de 2022
7 Nota
Azure Active Directory Connect se rige por la Directiva moderna de ciclo de vida.
Los cambios en los productos y servicios de la Directiva de ciclo de vida moderno
pueden ser más frecuentes y requerir que los clientes estén en alerta para las
próximas modificaciones en su producto o servicio. Los productos regidos por la
Directiva moderna siguen un modelo de soporte y mantenimiento continuos. Los
clientes deben realizar la actualización más reciente para seguir recibiendo soporte.
En el caso de los productos y servicios regidos por la directiva de ciclo de vida
moderno, la directiva de Microsoft es proporcionar una notificación mínima de
30 días cuando los clientes deben tomar medidas para evitar una degradación
significativa del uso normal del producto o servicio.
Esta característica permite a los usuarios de los clientes Linux registrar sus dispositivos
en Azure AD, inscribirse en la administración de Intune y satisfacer las directivas de
acceso condicional basadas en el dispositivo al acceder a sus recursos corporativos.
Nos complace anunciar la versión preliminar pública de los flujos de trabajo del ciclo de
vida, una nueva funcionalidad de gobernanza de identidades que permite a los clientes
ampliar el proceso de aprovisionamiento de usuarios. También agrega funcionalidades
de administración del ciclo de vida de usuario de nivel empresarial en Azure AD para
modernizar el proceso de administración del ciclo de vida de las identidades. Con los
Flujos de trabajo del ciclo de vida, puede:
Para más información, consulte ¿Qué son los flujos de trabajo del ciclo de vida? (Versión
preliminar pública).
La característica está disponible para las notificaciones de inicio de sesión telefónico sin
contraseña y MFA, y aumenta considerablemente la posición de seguridad de la
aplicación Microsoft Authenticator. También hemos actualizado la experiencia de
usuario de administración de Azure Portal y las API de Microsoft Graph para facilitar a
los clientes la administración de implementaciones de características de la aplicación
Authenticator. Como parte de esta actualización, también hemos agregado la capacidad
altamente solicitada para que los administradores excluyan grupos de usuarios de
determinadas características.
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .
LawVu
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Septiembre de 2022
Esta característica permite a los usuarios de los clientes Linux registrar sus dispositivos
en Azure AD, inscribirse en la administración de Intune y satisfacer las directivas de
acceso condicional basadas en el dispositivo al acceder a sus recursos corporativos.
RocketReach SSO, Arena EU, Zola, FourKites SAML2.0 SSO for Tracking, Syniverse
Customer Portal, Rimo , Q Ware CMMS , Mapiq (OIDC), NICE Cxone,
dominKnow|ONE, Waynbo for Azure AD , innDex , Profiler Software , Trotto go
links , AsignetSSOIntegration.
Para incluir su aplicación en la galería de aplicaciones de Azure AD, lea los detalles aquí:
https://aka.ms/AzureADAppRequest .
Agosto de 2022
Disponibilidad general: capacidad de forzar la
reautenticación en la inscripción en Intune, inicios de
sesión de riesgo y usuarios de riesgo
Tipo: Nueva característica
Categoría del servicio: Acceso condicional
Funcionalidad del producto: protección & seguridad de la identidad
Ahora los clientes pueden requerir una autenticación nueva cada vez que un usuario
realice una acción determinada. La reautenticación forzada admite la necesidad de que
un usuario se vuelva a autenticar durante la inscripción de dispositivos de Intune, el
cambio de contraseña para usuarios de riesgo y los inicios de sesión de riesgo.
Ahora los clientes pueden cumplir con sus complejos requisitos de auditoría y
recertificación a través de varias fases de revisión. Para obtener más información,
consulte: creación de una revisión de acceso de varias fases.
Actualmente, los usuarios pueden salir del autoservicio de una organización sin la
visibilidad de los administradores de TI. Es posible que algunas organizaciones quieran
tener más control sobre este proceso de autoservicio.
Una nueva API de directiva está disponible para que los administradores controlen la
directiva en todo el inquilino: tipo de recurso externalIdentitiesPolicy
Para obtener más información, consulte: Impedir que los usuarios vean sus claves de
BitLocker (versión preliminar)
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí: https://aka.ms/AzureADAppRequest .
Ideagen Cloud
Lucid (todos los productos)
Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service
Escritura diferida de SuccessFactors
Tableau Cloud
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Para obtener más información sobre esta funcionalidad y escenarios admitidos, consulte
Federación de identidades de carga de trabajo.
Julio de 2022
Ahora, los usuarios pueden configurar varias instancias de la misma aplicación dentro de
un inquilino de Azure AD. Ahora, se admiten las solicitudes de inicio de sesión único
iniciadas tanto por el IdP como por el proveedor de servicios (SP). Ahora, varias cuentas
de aplicaciones pueden tener una entidad de servicio independiente para controlar la
asignación de notificaciones específicas de la instancia y la asignación de roles. Para más
información, consulte:
Para obtener más información sobre las confianzas y cómo implementar las suyas
propias, consulte Funcionamiento de las relaciones de confianza en bosques de Active
Directory.
En julio de 2022, hemos añadido las siguientes 28 nuevas aplicaciones en nuestra galería
de aplicaciones con compatibilidad para la federación:
Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí: https://aka.ms/AzureADAppRequest .
Disponibilidad general: ya no hay más espera,
aprovisione grupos a petición en las aplicaciones SaaS.
Tipo: Nueva característica
Categoría del servicio: aprovisionamiento
Funcionalidad del producto: Administración del ciclo de vida de la identidad
Nos complace anunciar una nueva protección de seguridad que impide omitir la
autenticación multifactor de Azure AD en la nube cuando se federa con Azure AD.
Cuando está habilitado, para un dominio federado en el inquilino de Azure AD,
garantiza que una cuenta federada comprometida no pueda omitir la autenticación
multifactor de Azure AD imitando que el proveedor de identidades ya ha realizado una
autenticación multifactor. La protección se puede habilitar mediante la nueva
configuración de seguridad, federatedIdpMfaBehavior.
Tableau Cloud
Para más información acerca de cómo proteger mejor una organización mediante el
aprovisionamiento automatizado de cuentas de usuario, consulte Automatización del
aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con
Azure Active Directory.
Azure Service Health admite las notificaciones de interrupción del servicio a los
administradores del inquilino para los problemas de Azure Active Directory. Estas
interrupciones también aparecerán en la página de información general de Azure Portal
con los vínculos correspondientes a Azure Service Health. Los roles integrados de
administrador de inquilinos podrán ver los eventos de interrupción. Durante la
transición, seguiremos enviando notificaciones de interrupción a las suscripciones de un
inquilino. Puede encontrar más información en ¿Qué son las notificaciones de Service
Health en Azure Active Directory?
Ahora, los usuarios finales pueden habilitar el inicio de sesión telefónico sin contraseña
para varias cuentas en la aplicación Authenticator en cualquier dispositivo iOS
compatible. Los consultores, los alumnos y otros con varias cuentas de Azure AD
pueden agregar las cuentas a Microsoft Authenticator y usar el inicio de sesión
telefónico sin contraseña para todas ellas desde el mismo dispositivo iOS. Las cuentas
de Azure AD pueden estar en el mismo inquilino o en inquilinos diferentes. No se
admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un
dispositivo.
La configuración del acceso entre inquilinos le permite controlar cómo colaboran los
usuarios de la organización con miembros de organizaciones de Azure AD externas.
Ahora tiene una configuración detallada del control del acceso entrante y saliente que
funciona según la organización, el usuario, el grupo y la aplicación. Esta configuración
también permite confiar en las notificaciones de seguridad de organizaciones de
Azure AD externas, como la autenticación multifactor (MFA), el cumplimiento de los
dispositivos y los dispositivos unidos a Azure AD híbrido. Para más información, consulte
Información general: Acceso entre inquilinos con Azure AD External Identities.
Está en versión preliminar pública una vista de detección de aplicaciones mejorada para
Aplicaciones. La versión preliminar muestra a los usuarios más aplicaciones en el mismo
espacio y les permite desplazarse entre colecciones. Actualmente, no admiten arrastrar y
colocar ni la vista de lista. Los usuarios pueden optar por participar en la versión
preliminar seleccionando Probar la versión preliminar y optar por no participar
seleccionando Volver a la vista anterior. Para más información sobre Aplicaciones,
consulte Información general sobre el portal Aplicaciones.
Estamos mejorando la lista Todos los dispositivos en Azure Portal para facilitar el filtrado
y la administración de los dispositivos. Estas mejoras incluyen:
Desplazamiento infinito
Se puede filtrar por más propiedades de dispositivo.
Las columnas se pueden reordenar mediante arrastrar y colocar.
Seleccionar todos los dispositivos
Con esta nueva actualización de paridad, los clientes ahora pueden integrar con
Azure AD aplicaciones que no son de la galería, como Socure DevHub, para tener el
inicio de sesión único mediante SAML.
Junio de 2022
Whimsical
Para más información acerca de cómo proteger mejor una organización mediante el
aprovisionamiento automatizado de cuentas de usuario, consulte Automatización del
aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con
Azure Active Directory.
Versión preliminar pública: se están asignando roles fuera
de Privileged Identity Management
Tipo: Nueva característica
Categoría del servicio: Privileged Identity Management
Funcionalidad del producto: Privileged Identity Management
Los clientes pueden recibir alertas sobre las asignaciones realizadas fuera de PIM, ya sea
directamente en Azure Portal o también por correo electrónico. Para la versión
preliminar pública actual, se realiza un seguimiento de las asignaciones en el nivel de
suscripción. Para más información, consulte Configuración de alertas de seguridad para
roles de Azure en Privileged Identity Management.
El Pase de acceso temporal (TAP) ahora está disponible con carácter general. Se puede
usar TAP para registrar de forma segura métodos sin contraseña, como el inicio de
sesión telefónico, métodos resistentes a la suplantación de identidad (FIDO2) e incluso
ayudar en la incorporación de Windows (AADJ y WHFB). TAP también facilita la
recuperación cuando un usuario ha perdido u olvidado sus métodos de autenticación
sólida y necesita iniciar sesión para registrar nuevos métodos de autenticación. Para más
información, consulte Configuración de un pase de acceso temporal en Azure AD para
registrar métodos de autenticación sin contraseña.
Cree grupos "anidados" con grupos dinámicos de Azure AD. Esta característica permite
crear grupos de seguridad dinámicos de Azure AD y grupos de Microsoft 365 basados
en otros grupos. Por ejemplo, ahora puede crear el grupo dinámico A con miembros del
grupo X y el grupo Y. Para más información, consulte Pasos para crear un grupo
dinámico memberOf.
Nuevas aplicaciones federadas disponibles en la galería
de aplicaciones de Azure AD: junio de 2022
Tipo: Nueva característica
Categoría del servicio: Aplicaciones empresariales
Funcionalidad del producto: Integración de terceros
Para incluir su aplicación en la galería de aplicaciones de Azure AD, consulte los detalles
aquí: https://aka.ms/AzureADAppRequest
Nos complace anunciar una nueva protección de seguridad que impide omitir la
autenticación multifactor de Azure AD en la nube cuando se federa con Azure AD.
Cuando está habilitado, para un dominio federado en el inquilino de Azure AD,
garantiza que una cuenta federada comprometida no pueda omitir la autenticación
multifactor de Azure AD imitando que el proveedor de identidades ya ha realizado una
autenticación multifactor. La protección se puede habilitar mediante la nueva
configuración de seguridad, federatedIdpMfaBehavior.
Estamos mejorando la lista Todos los usuarios y el perfil de usuario en Azure Portal para
facilitar la búsqueda y administración de los usuarios. Estas mejoras incluyen:
Perfil de usuario:
Para más información sobre cómo usar esta característica, consulte Reglas de
pertenencia dinámica a grupos de Azure Active Directory.
Comentarios
¿Le ha resultado útil esta página? Sí No
Diciembre de 2022
Los clientes ahora pueden aportar una de las formas de control de acceso más eficaces
del sector a las identidades de carga de trabajo. El acceso condicional admite directivas
basadas en riesgos para identidades de carga de trabajo. Las organizaciones pueden
bloquear los intentos de inicio de sesión cuando Identity Protection detecta aplicaciones
o servicios en peligro. Para obtener más información, consulte Creación de una directiva
de acceso condicional basada en riesgos.
Noviembre de 2022
Los administradores de grupos y otros roles cuyo ámbito es una unidad administrativa
ahora pueden crear grupos dentro de la unidad administrativa. Anteriormente, la
creación de un nuevo grupo en la unidad administrativa requería un proceso de dos
pasos para crear primero el grupo y, después, agregar el grupo a la unidad
administrativa. El segundo paso requiere un administrador de roles con privilegios o un
administrador global. Ahora, cualquier persona con roles adecuados con el ámbito de la
unidad administrativa puede crear grupos directamente en una unidad administrativa y
esto ya no requiere un rol de administrador con privilegios más elevados. Para más
información, consulte: Agregar usuarios, grupos o dispositivos a una unidad
administrativa.
La característica está disponible para las notificaciones de inicio de sesión telefónico sin
contraseña y MFA, y aumenta considerablemente la posición de seguridad de la
aplicación Microsoft Authenticator. También hemos actualizado la experiencia de
usuario de administración de Azure Portal y las API de Microsoft Graph para facilitar a
los clientes la administración de implementaciones de características de la aplicación
Authenticator. Como parte de esta actualización, también hemos agregado la capacidad
altamente solicitada para que los administradores excluyan grupos de usuarios de
determinadas características.
Para obtener más información sobre cómo usar esta característica, consulte Reglas de
pertenencia dinámica a grupos de dispositivos.
Septiembre de 2022
La configuración del acceso entre inquilinos le permite controlar cómo colaboran los
usuarios de la organización con miembros de organizaciones de Azure AD externas.
Ahora tendrá una configuración detallada del control del acceso entrante y saliente que
funciona según la organización, el usuario, el grupo y la aplicación. Esta configuración
también permite confiar en las notificaciones de seguridad de organizaciones de
Azure AD externas, como la autenticación multifactor (MFA), el cumplimiento de los
dispositivos y los dispositivos unidos a Azure AD híbrido. Para más información, consulte
Información general: Acceso entre inquilinos con Azure AD External Identities.
El Pase de acceso temporal (TAP) ahora está disponible con carácter general. Se puede
usar TAP para registrar de forma segura métodos sin contraseña, como el inicio de
sesión telefónico, métodos resistentes a la suplantación de identidad (FIDO2) e incluso
ayudar en la incorporación de Windows (AADJ y WHFB). TAP también facilita la
recuperación cuando un usuario ha perdido u olvidado sus métodos de autenticación
sólida y necesita iniciar sesión para registrar nuevos métodos de autenticación. Para más
información, consulte Configuración de un pase de acceso temporal en Azure AD para
registrar métodos de autenticación sin contraseña.
En algunos escenarios, es posible que los clientes quieran requerir una autenticación
nueva cada vez que un usuario vaya a realizar acciones concretas. La frecuencia de inicio
de sesión "Siempre" exige que un usuario se vuelva a autenticar durante la inscripción
de dispositivos de Intune, el cambio de contraseña para usuarios de riesgo y los inicios
de sesión de riesgo.
Para obtener más información sobre esta funcionalidad y escenarios admitidos, consulte
Federación de identidades de carga de trabajo.
La evaluación continua de acceso (CAE) permite analizar en tiempo real las directivas y
eventos de seguridad críticos. Esto incluye la deshabilitación de cuentas, el
restablecimiento de contraseñas y el cambio de ubicación. Para obtener más
información, consulte: Evaluación continua del acceso.
Nos complace anunciar una nueva protección de seguridad que impide omitir la
autenticación multifactor de Azure AD en la nube cuando se federa con Azure AD.
Cuando está habilitado, para un dominio federado en el inquilino de Azure AD,
garantiza que una cuenta federada comprometida no pueda omitir la autenticación
multifactor de Azure AD imitando que el proveedor de identidades ya ha realizado una
autenticación multifactor. La protección se puede habilitar mediante la nueva
configuración de seguridad, federatedIdpMfaBehavior.
Microsoft Entra ID es una completa solución de identidad como servicio (IDaaS) que
abarca todos los aspectos de la identidad, la administración de acceso y la seguridad.
Todos los usuarios que están configurados para usar servicios web se definen como
cuentas de usuario en una o varias instancias de Microsoft Entra. Puede configurar gratis
en estas cuentas las funcionalidades de Microsoft Entra, como el acceso a aplicaciones
en la nube.
Los servicios de pago de Microsoft Entra, como Enterprise Mobility + Security,
complementan otros servicios web como Microsoft 365 y Microsoft Azure con
completas soluciones de administración y seguridad para empresas.
Si otros usuarios necesitan iniciar sesión y acceder a los servicios con la misma
suscripción, puede asignarles el rol integrado adecuado. Para más información, consulte
Asignación de roles de Azure mediante Azure Portal.
Además, los servicios de pago de Microsoft Entra, como Enterprise Mobility + Security,
complementan otros servicios web como Microsoft 365 y Microsoft Azure con
completas soluciones de administración y seguridad para empresas.
*.entra.microsoft.com
*.entra.microsoft.us
*.entra.microsoft.scloud
*.entra.microsoft.eaglex.ic.gov
*.entra.microsoftonline.cn
Para obtener más información, vea Integración de sus identidades locales con Microsoft
Entra ID.
¿Cómo se configura el SSO entre mi directorio
local y las aplicaciones de nube?
Solo necesita configurar el inicio de sesión único (SSO) entre su directorio local y
Microsoft Entra ID. Mientras tenga acceso a las aplicaciones en la nube mediante
Microsoft Entra ID, el servicio lleva automáticamente a los usuarios a autenticarse
correctamente con sus credenciales locales.
La implementación del SSO desde el entorno local se puede lograr fácilmente con
soluciones de federación como Active Directory Federation Services (AD FS) o
configurando la sincronización de la sincronización de hash de contraseña. Puede
implementar fácilmente ambas opciones con el asistente para configuración de
Microsoft Entra Connect
Para obtener más información, vea Integración de sus identidades locales con Microsoft
Entra ID.
Administración de contraseñas
¿Puedo usar la escritura diferida de contraseñas
de Microsoft Entra sin sincronización de
contraseñas? (En este escenario, ¿se puede usar
el restablecimiento de contraseña de
autoservicio (SSPR) de Microsoft Entra con la
escritura diferida de contraseñas y no almacenar
las contraseñas en la nube?)
No es necesario sincronizar las contraseñas de Active Directory con Microsoft Entra ID
para habilitar la escritura diferida. En un entorno federado, el inicio de sesión único
(SSO) de Microsoft Entra se basa en el directorio local para autenticar al usuario. En este
caso no se necesita la contraseña local para realizar el seguimiento en Microsoft Entra
ID.
Para ver más respuestas a preguntas relativas a las contraseñas, consulte Preguntas más
frecuentes sobre la administración de contraseñas.
Para las cuentas de Microsoft Entra, los administradores pueden restablecer las
contraseñas mediante uno de los siguientes procedimientos:
Seguridad
¿Se bloquean las cuentas después de un número
determinado de intentos erróneos o se usa una
estrategia más sofisticada?
Usamos una estrategia más sofisticada para bloquear cuentas, que se basa en la
dirección IP de la solicitud y las contraseñas escritas. El tiempo que dure el bloqueo
también aumenta en función de la probabilidad de que sea un ataque.
Para ver una lista exhaustiva de las aplicaciones preintegradas, consulte Active Directory
Marketplace .
Para obtener más información, consulte Experiencias de usuario final para aplicaciones.
Selectores HTML
Los siguientes estilos CSS se convierten en los estilos predeterminados para el cuerpo y
los vínculos de toda la página. Aplicación de estilos para otros vínculos o selectores CSS
de invalidación de texto.
texto
.ext-input.ext-text-box:focus - Cuando el cuadro de texto tiene el foco
.ext-input.ext-text-box:focus:hover - Cuando el cuadro de texto tiene el foco
la página
.ext-footer-item - Vincular elementos (como "Términos de uso" o "Cookies de
Microsoft Entra ID es una solución de identidad como servicio (IDaaS) que almacena y
administra la identidad y el acceso a los datos en la nube. Puede usar los datos para
habilitar y administrar el acceso a los servicios en la nube, lograr escenarios de
movilidad y proteger la organización. Una instancia del servicio Microsoft Entra, llamada
un inquilino, es un conjunto aislado de datos de objetos de directorio que el cliente
aprovisiona y posee.
Almacén principal
El almacén principal se compone de inquilinos almacenados en unidades de escalado,
cada una de las cuales contiene varios inquilinos. Las operaciones de actualización o
recuperación de datos en el almacén principal de Microsoft Entra están relacionadas con
un solo inquilino en función del token de seguridad del usuario, con lo que se logra el
aislamiento del inquilino. Las unidades de escalado se asignan a una ubicación
geográfica. Cada ubicación geográfica usa dos o más regiones de Azure para almacenar
los datos. En cada región de Azure, los datos de una unidad de escalado se replican en
los centros de datos físicos para lograr resistencia y rendimiento.
Public
China
Gobierno de EE. UU.
Australia
Asia/Pacífico
Europa, Oriente Medio y África (EMEA)
Japón
Norteamérica
Todo el mundo
Microsoft Entra ID controla los datos del almacén principal en función de la facilidad de
uso, el rendimiento, la residencia y otros requisitos basados en la ubicación geográfica.
Microsoft Entra ID replica cada inquilino mediante su unidad de escalado, entre centros
de datos, en función de los criterios siguientes:
Referencias de la tabla:
(1) Custodios de datos: Microsoft opera los centros de datos de la nube del gobierno
de EE. UU. En China, Microsoft Entra ID se opera mediante una asociación con 21Vianet.
Más información:
7 Nota
Para comprender la ubicación de los datos del servicio, como Exchange Online o
Skype Empresarial, consulte la documentación del servicio correspondiente.
Servicios de dominio Consulte las regiones en las que está publicado En ubicación
de Microsoft Entra Microsoft Entra Domain Services en Productos geográfica
disponibles por región . El servicio contiene
metadatos del sistema globalmente en tablas de
Azure y no contiene datos personales.
Componente de Descripción Ubicación de
Microsoft Entra almacenamiento
de datos
Pertenencia dinámica Azure Table Storage contiene las definiciones de las En ubicación
a grupos de reglas de pertenencia dinámica. geográfica
Microsoft Entra,
administración de
grupos de
autoservicio de
Microsoft Entra
Recursos relacionados
Para más información sobre la residencia de datos en las ofertas de Microsoft Cloud,
consulte los artículos siguientes:
Pasos siguientes
Residencia de datos y Microsoft Entra ID (se encuentra aquí)
Consideraciones operativas sobre datos
Consideraciones sobre la protección de datos
Comentarios
¿Le ha resultado útil esta página? Sí No
Archivos de registro
Microsoft Entra ID genera archivos de registro para auditar, investigar y depurar
acciones y eventos del servicio. Los archivos de registro pueden contener datos sobre
usuarios, dispositivos y configuración de Microsoft Entra, por ejemplo, directivas,
aplicaciones y grupos. Los archivos de registro se crean y almacenan en Azure Storage
en el centro de datos donde se ejecuta el servicio Microsoft Entra.
Los archivos de registro se usan para la depuración local, la seguridad, el análisis de uso,
la supervisión del estado del sistema y el análisis en todo el servicio. Estos registros se
copian a través de una conexión de Seguridad de la capa de transporte (TLS) a los
sistemas de aprendizaje automático de informes de Microsoft, que se encuentran en
centros de datos propiedad de Microsoft en el área continental de Estados Unidos.
Datos de uso
Los datos de uso son metadatos generados por el servicio Microsoft Entra que indica
cómo se usa el servicio. Estos metadatos se usan para generar informes orientados al
administrador y al usuario. El equipo de ingeniería de Microsoft Entra usa los metadatos
para evaluar el uso del sistema e identificar las oportunidades para mejorar el servicio.
Por lo general, estos datos se escriben en archivos de registro, pero en algunos casos,
nuestros sistemas de supervisión e informes de servicios recopilan estos datos.
El personal de Microsoft solo puede ejecutar operaciones desde una estación de trabajo
de acceso seguro que usa una plataforma interna de identidad de autenticación sólida
aislada. El acceso a otros sistemas de identidad de Microsoft no concede acceso a la
estación de trabajo de acceso de seguridad. La plataforma de identidad se ejecuta por
separado de otros sistemas de identidad de Microsoft.
Seguridad física
El acceso físico a los servidores que componen el servicio Microsoft Entra y el acceso a
los sistemas back-end de Microsoft Entra está restringido por la seguridad física y en el
entorno local de Azure. Los clientes de Microsoft Entra no tienen acceso a los recursos
físicos o las ubicaciones, por lo que no pueden omitir las comprobaciones de directiva
de control de acceso basado en roles lógicos (RBAC). El personal con acceso de
operador está autorizado para ejecutar los flujos de trabajo aprobados para el
mantenimiento.
Recursos
Documentos de confianza de servicios de Microsoft
Nube de confianza de Microsoft Azure
Centros de datos de Office 365
Pasos siguientes
Microsoft Entra ID y residencia de datos
Consideraciones operativas de datos (usted se encuentra aquí)
Consideraciones sobre la protección de datos
Consideraciones sobre la protección de
datos
Artículo • 25/10/2023
En el diagrama siguiente se muestra cómo los servicios almacenan y recuperan los datos
de objetos de Microsoft Entra a través de una capa de autorización del control de
acceso basado en roles (RBAC). Esta capa llama a la capa de acceso a datos del
directorio interno, lo que garantiza que se permite la solicitud de datos del usuario:
Los tokens de seguridad los emiten los servicios de autenticación de Microsoft Entra. El
sistema de autorización utiliza la información sobre la existencia del usuario, el estado
habilitado y la función para decidir si el acceso solicitado al inquilino de destino está
autorizado para este usuario en esta sesión.
Acceso a aplicaciones: dado que las aplicaciones pueden acceder a las interfaces de
programación de aplicaciones (API) sin el contexto de usuario, la verificación de acceso
incluye información sobre la aplicación del usuario y el alcance del acceso solicitado, por
ejemplo, de solo lectura, lectura y escritura, etc. Muchas aplicaciones usan OpenID
Connect u OAuth para obtener tokens para acceder al directorio en nombre del usuario.
Deben concederse explícitamente el acceso de estas aplicaciones al directorio o no
recibirán el token del servicio de autenticación de Microsoft Entra y acceden a los datos
desde el ámbito concedido.
Auditoría: se audita el acceso. Por ejemplo, las acciones autorizadas, como la creación
de un usuario y el restablecimiento de la contraseña, crean una pista de auditoría que
puede usar un administrador de inquilinos para administrar los esfuerzos de
cumplimiento o las investigaciones. Los administradores de inquilinos pueden generar
informes de auditoría mediante la API de auditoría de Microsoft Entra.
Evitar la pérdida de datos y el acceso entre inquilinos: los datos que pertenecen al
inquilino 1 no se pueden obtener por parte de los usuarios del inquilino 2 sin
autorización explícita por el inquilino 1.
Aislamiento de acceso a recursos entre inquilinos: las operaciones realizadas por el
inquilino 1 no pueden afectar al acceso a los recursos del inquilino 2.
Aislamiento de inquilinos
En la siguiente información se describe el aislamiento de inquilinos.
Escritura diferida de contraseñas del Par de claves públicas y privadas RSA 2048
autoservicio de restablecimiento de AES_GCM (clave de 256 bits, tamaño IV de 96 bits)
contraseñas con Microsoft Entra
Connect: Comunicación de la nube al
entorno local
Recursos
Documentos de confianza de servicios de Microsoft
Centro de confianza de Microsoft Azure
Recuperación de eliminaciones en Microsoft Entra ID
Pasos siguientes
Microsoft Entra ID y residencia de datos
Consideraciones operativas sobre datos
Consideraciones sobre la protección de datos (está aquí)
Almacenamiento y procesamiento de
datos de cliente de clientes europeos en
Microsoft Entra ID
Artículo • 25/10/2023
Microsoft Entra ID almacena los datos de los clientes en una ubicación geográfica en
función de cómo se haya creado y aprovisionado un inquilino. En la siguiente lista se
proporciona información sobre cómo se define la ubicación:
En las siguientes secciones se proporciona información sobre los datos de los clientes
que no cumplen los compromisos de residencia de datos en la UE y de límite de datos
de la UE.
Motivo para la salida de datos del cliente: algunos de los inquilinos se almacenan
fuera de la ubicación de Europa debido a uno de los siguientes motivos:
Los inquilinos se crearon inicialmente con un código de país que NO está en
Europa y, posteriormente, el código de país del inquilino se cambió a uno en
Europa. La ubicación de datos del directorio de Microsoft Entra se decide
durante el tiempo de creación del inquilino y no cambia cuando se actualiza el
código de país del inquilino. A partir de marzo de 2019, Microsoft bloqueó la
actualización del código de país en un inquilino para evitar tal confusión.
Hay 13 códigos de país (que incluyen: Azerbaiyán, Bahréin, Israel, Jordania,
Kazajistán, Kuwait, Líbano, Omán, Pakistán, Qatar, Arabia Saudita, Turquía y
Emiratos Árabes Unidos) que se asignaron a la región de Asia hasta 2013 y,
posteriormente, se asignaron a Europa. Los inquilinos creados antes de julio de
2013 a partir de este código de país se aprovisionan en Asia en lugar de Europa.
Hay siete códigos de país (que incluyen: Armenia, Georgia, Irak, Kirguistán,
Tayikistán, Uzbekistán y Uzbekistán) que se asignaron a la región de Asia hasta
2017 y, posteriormente, se asignaron a Europa. Los inquilinos creados antes de
febrero de 2017 a partir de este código de país se aprovisionan en Asia en lugar
de Europa.
Obtenga más información sobre las transferencias de datos parciales temporales de los
clientes de Microsoft Entra desde los servicios de límites de datos de Europa que
transfieren temporalmente un subconjunto de datos de clientes fuera del límite de
datos de Europa.
Microsoft Entra ID: cuando se determina que se usa una dirección IP o un número de
teléfono en actividades fraudulentas, se publican globalmente para bloquear el acceso
desde cualquier carga de trabajo que los use.
Otras consideraciones
Algunos servicios incluyen funcionalidades opcionales (en algunos casos, que requieren
una suscripción de cliente), donde los administradores de clientes pueden optar por
habilitar o deshabilitar estas funcionalidades para sus latencias de servicio. Si los
usuarios de un cliente están disponibles y se usan, estas funcionalidades darán lugar a
transferencias de datos fuera de Europa, tal y como se describe en las secciones
siguientes de este artículo.
Pasos siguientes
Para obtener más información sobre la residencia de los datos de los servicios de
Microsoft, consulte la sección Dónde se encuentran sus datos del Centro de confianza
de Microsoft .
Almacenamiento de datos de identidad
para clientes australianos y
neozelandeses en Microsoft Entra ID
Artículo • 11/11/2023
Microsoft Entra ID almacena los datos de identidad en una ubicación que dependerá de
la dirección que la organización haya proporcionado al suscribirse a un servicio de
Microsoft como Microsoft 365 o Azure. Para más información sobre dónde se
almacenan los datos de identidad del cliente, puede consultar la sección Dónde se
encuentran tus datos del Centro de confianza de Microsoft.
7 Nota
Los servicios y las aplicaciones que se integran en Microsoft Entra ID tienen acceso
a datos de identidad del cliente. Evalúe cada servicio y aplicación que use para
determinar la manera en que cada servicio y aplicación específico procesa los datos
de identidad del cliente, y si cumple los requisitos de almacenamiento de datos de
la empresa. Para obtener más información sobre la residencia de los datos de los
servicios de Microsoft, consulte la sección Dónde se encuentran sus datos del
Centro de confianza de Microsoft.
En el caso de los clientes que han proporcionado una dirección de Australia o Nueva
Zelanda, Microsoft Entra ID mantiene los datos de identidad de estos servicios en
centros de datos australianos:
Todos los demás servicios de Microsoft Entra almacenan los datos del cliente en centros
de datos globales.
Comentarios
¿Le ha resultado útil esta página? Sí No
Microsoft Entra ID almacena los datos de identidad en una ubicación que dependerá de
la dirección que la organización haya proporcionado al suscribirse a un servicio de
Microsoft como Microsoft 365 o Azure. Entre los servicios en línea de Microsoft se
incluyen Microsoft 365 y Azure.
Para obtener información sobre la ubicación de los datos de Microsoft Entra ID y otros
servicios de Microsoft, consulte la sección Dónde se encuentran sus datos del Centro
de confianza de Microsoft.
A partir del 26 de febrero de 2020, Microsoft comenzó a almacenar los datos de clientes
de Microsoft Entra ID para los nuevos inquilinos con una dirección de facturación de
Australia o Nueva Zelanda dentro de los centros de datos de Australia.
7 Nota
Los productos y servicios de Microsoft, así como las aplicaciones de terceros que se
integran en Microsoft Entra ID tienen acceso a datos del cliente. Evalúe cada
producto, servicio y aplicación que use para determinar la manera en que cada
producto, servicio y aplicación específico procesa los datos del cliente, y si cumple
los requisitos de almacenamiento de datos de la empresa. Para obtener más
información sobre la residencia de los datos de los servicios de Microsoft, consulte
la sección Dónde se encuentran sus datos del Centro de confianza de Microsoft.
Microsoft Entra ID almacena los datos de los clientes en una ubicación geográfica según
el país o región que se especifique al suscribirse a un servicio en línea de Microsoft.
Entre los servicios en línea de Microsoft se incluyen Microsoft 365 y Azure.
Para obtener información sobre la ubicación de los datos de Microsoft Entra ID y otros
servicios de Microsoft, consulte la sección Dónde se encuentran sus datos del Centro
de confianza de Microsoft.
7 Nota
Los productos y servicios de Microsoft, así como las aplicaciones de terceros que se
integran en Microsoft Entra ID tienen acceso a datos del cliente. Evalúe cada
producto, servicio y aplicación que use para determinar la manera en que cada
producto, servicio y aplicación específico procesa los datos del cliente, y si cumple
los requisitos de almacenamiento de datos de la empresa. Para obtener más
información sobre la residencia de los datos de los servicios de Microsoft, consulte
la sección Dónde se encuentran sus datos del Centro de confianza de Microsoft.
Microsoft Entra ID lleva este enfoque al siguiente nivel al brindar a las organizaciones
una solución de identidad como servicio (IDaaS) para todas sus aplicaciones en la nube
y en las instalaciones.
Usuarios
Aplicaciones
Aplicaciones de línea Las organizaciones pueden Las aplicaciones LOB que requieren
de negocio (LOB) con usar AD FS con Active autenticación moderna se pueden
autenticación Directory para admitir configurar para usar Microsoft Entra ID
moderna aplicaciones LOB que para la autenticación.
requieran autenticación
moderna.
permisos de la cuenta de
servicio.
Dispositivos
Amplíe los perfiles de usuario, añada por ejemplo el salario por hora de todos los
empleados.
Asegúrese de que solo los administradores pueden ver el atributo de salario por
hora en los perfiles de los empleados.
Clasifique cientos o miles de aplicaciones para crear fácilmente un inventario
filtrable para la auditoría.
Conceda a los usuarios acceso a blobs de Azure Storage que pertenecen a un
proyecto.
Extender el identificador Sí Sí
de Microsoft Entra ID y
los objetos de Microsoft
365
Acceso restringido No. Cualquier usuario con Sí. El acceso de lectura y escritura
permisos para leer el objeto está restringido a través de un
puede leer los datos de la conjunto independiente de
extensión. permisos y RBAC.
Para obtener más información sobre cómo trabajar con extensiones, consulte Agregar
datos personalizados a los recursos mediante extensiones.
4. Definir atributos
6. Usar atributos
Terminología
Para comprender mejor los atributos de seguridad personalizados, puede consultar la
siguiente lista de términos.
Término Definición
Límites y restricciones
Estos son algunos de los límites y restricciones de los atributos de seguridad
personalizados.
Configuración de etiquetas de
índice de blobs.
Role Permisos
) Importante
Puede usar un cliente de API como el Probador de Graph o Postman para probar más
fácilmente las API de Microsoft Graph para los atributos de seguridad personalizados.
Requisitos de licencia
El uso de esta característica es gratis y está incluido en su suscripción de Azure.
Pasos siguientes
Incorporación o desactivación de definiciones de atributos de seguridad
personalizados en Microsoft Entra ID
Administración de acceso a atributos de seguridad personalizados en Microsoft
Entra ID
Asignar, actualizar, enumerar o quitar atributos de seguridad personalizados para
un usuario
Comentarios
¿Le ha resultado útil esta página? Sí No
Requisitos previos
Para agregar o desactivar definiciones de atributos de seguridad personalizados, debe
tener:
) Importante
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Booleano Valor booleano que puede ser true, True, false o False.
11. Si Permitir que solo se asignen valores predefinidos está en Sí, haga clic en
Agregar valor para agregar valores predefinidos.
Hay un valor activo disponible para la asignación a objetos. Se define un valor que
no está activo, pero aún no está disponible para la asignación.
13. Si desea incluir valores predefinidos, siga los pasos de la sección siguiente.
PowerShell
Get-MgDirectoryAttributeSet
PowerShell
Get-MgDirectoryAttributeSet | Format-List
Output
PowerShell
Get-MgDirectoryAttributeSet
PowerShell
Get-MgDirectoryAttributeSet -Top 10
PowerShell
Get-MgDirectoryAttributeSet
PowerShell
PowerShell
Get-MgDirectoryAttributeSet
PowerShell
Output
PowerShell
New-MgDirectoryAttributeSet
PowerShell
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Output
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
PowerShell
Update-MgDirectoryAttributeSet
PowerShell
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -
BodyParameter $params
Obtener todas las definiciones de atributos de seguridad
personalizados
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
Output
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
Output
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
Output
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition -
CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-
List
Output
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions/$entity]}
PowerShell
New-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params
| Format-List
Output
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions/$entity]}
PowerShell
New-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params
| Format-List
Output
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions/$entity]}
PowerShell
New-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params
| Format-List
Output
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions/$entity]}
PowerShell
Update-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -
CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -
BodyParameter $params
Actualización de los valores predefinidos de una definición de
atributo de seguridad personalizado
PowerShell
Invoke-MgGraphRequest
7 Nota
PowerShell
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri
"https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefin
itions/Engineering_Project5" -Headers $header -Body $params
PowerShell
Update-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -
CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -
BodyParameter $params
En el ejemplo siguiente se obtienen todos los valores predefinidos para una definición
de atributo de seguridad personalizado.
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Output
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" -
AllowedValueId "Alpine" | Format-List
Output
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions('Engineering_Project')/al
lowedValues/$entity]}
PowerShell
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter
$params | Format-List
Output
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions('Engineering_Project')/al
lowedValues/$entity]}
PowerShell
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" -
AllowedValueId "Alpine" -BodyParameter $params
Pasos siguientes
Administración de acceso a atributos de seguridad personalizados en Microsoft
Entra ID
Asignar, actualizar, enumerar o quitar atributos de seguridad personalizados para
un usuario
Asignación, actualización, enumeración o eliminación de atributos de seguridad
personalizados de una aplicación
Comentarios
¿Le ha resultado útil esta página? Sí No
Para que los usuarios de su organización trabajen de forma eficaz con atributos de
seguridad personalizados, debe conceder el acceso adecuado. En función de la
información que tenga pensado incluir en los atributos de seguridad personalizados, es
posible que quiera restringir dichos atributos o poder acceder a ellos de forma amplia
en su organización. En este artículo se describe cómo administrar el acceso a atributos
de seguridad personalizados.
Requisitos previos
Para administrar el acceso a atributos de seguridad personalizados, debe tener lo
siguiente:
) Importante
Las asignaciones de roles de Microsoft Entra son un modelo aditivo, por lo que los
permisos efectivos son la suma de las asignaciones de roles. Por ejemplo, si asigna un
rol a un usuario en el ámbito del inquilino y asigna al mismo usuario el mismo rol en el
ámbito del conjunto de atributos, el usuario seguirá teniendo permisos en el ámbito del
inquilino.
ノ Expand table
Leer ✅ ✅ ✅ ✅
conjuntos
de atributos
Leer ✅ ✅ ✅ ✅
definiciones
de atributos
Leer ✅ ✅
asignaciones
de atributos
para
usuarios y
aplicaciones
(entidades
de servicio)
Agregar o ✅
editar
conjuntos
de atributos
Agregar, ✅
editar o
desactivar
definiciones
de atributos
Asignar ✅
atributos a
usuarios y
aplicaciones
(entidades
de servicio)
1. El administrador (Xia) con el rol Administrador de definiciones de atributos
asignado en el ámbito del inquilino agrega conjuntos de atributos. El
administrador también tiene permisos para asignar roles a otros usuarios
(administrador de roles con privilegios) y delega quién pueden leer, definir o
asignar atributos de seguridad personalizados para cada conjunto de atributos.
2. Los administradores de definiciones de atributos delegados (Alice y Bob) definen
atributos en los conjuntos de atributos a los que se les ha concedido acceso.
3. Los administradores delegados de asignación de atributos (Chandra y Bob)
asignan atributos de sus conjuntos de atributos a objetos de Microsoft Entra.
ノ Expand table
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Centro de administración
1. Inicie sesión en el centro de administración de Microsoft Entra como
administrador de asignaciones de atributos.
7 Nota
Centro de administración
1. Inicie sesión en el centro de administración de Microsoft Entra como
administrador de asignaciones de atributos.
Para obtener información sobre cómo obtener los registros de auditoría de atributos de
seguridad personalizados mediante Microsoft Graph API, consulte el tipo de recurso
customSecurityAttributeAudit. Para obtener más información, consulte Registros de
auditoría de Microsoft Entra.
Configuración de diagnóstico
Para exportar registros de auditoría de atributos de seguridad personalizados a distintos
destinos para su procesamiento adicional, use la configuración de diagnóstico. Para
crear y configurar opciones de diagnóstico para atributos de seguridad personalizados,
debe tener asignado el rol Administrador de registros de atributos.
Sugerencia
ノ Expand table
Octubre de ✅ ✅
2023
Feb. de 2024 ✅
Pasos siguientes
Incorporación o desactivación de definiciones de atributos de seguridad
personalizados en Microsoft Entra ID
Asignar, actualizar, enumerar o quitar atributos de seguridad personalizados para
un usuario
Solución de problemas de atributos de seguridad personalizados en Microsoft
Entra ID
Asignar, actualizar, enumerar o quitar
atributos de seguridad personalizados
para un usuario
Artículo • 16/11/2023
Requisitos previos
Para asignar o eliminar atributos de seguridad personalizados para un usuario en el
inquilino de Microsoft Entra, necesita lo siguiente:
) Importante
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
1. Inicie sesión en el Centro de administración de Microsoft Entra como
administrador de asignaciones de atributos.
10. Cuando termine, seleccione Guardar para asignar los atributos de seguridad
personalizados al usuario.
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = "2024-11-15"
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Baker","Cascade")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 4
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"CostCenter@odata.type" = "#Collection(Int32)"
"CostCenter" = @(1001,1003)
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $true
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 8
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
Actualización de una asignación de atributos de seguridad
personalizados con un valor booleano para un usuario
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $false
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Alpine","Baker")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
PowerShell
Get-MgUser
PowerShell
Output
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[EmployeeId, GS45897]}
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
Project@odata.type #Collection(String)
Project {Baker, Alpine}
ProjectDate 2024-11-15
NumVendors 8
CostCenter@odata.type #Collection(Int32)
CostCenter {1001, 1003}
Certification False
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId KX45897
En el ejemplo siguiente se enumeran todos los usuarios con una asignación de atributos
de seguridad personalizados que es igual a un valor. Recupera los usuarios con un
atributo de seguridad personalizado denominado AppCountry con un valor igual a
Canada . El valor de filtro no distingue mayúsculas de minúsculas. Debe agregar
PowerShell
Get-MgUser
PowerShell
Id DisplayName
CustomSecurityAttributes
-- ----------- -----------------------
-
4b4e8090-e9ba-4bdc-b2f0-67c3c7c59489 Jiya
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
efdf3082-64ae-495f-b051-855e2d8df969 Jana
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[Datacenter@odata.type, #Collection(String)], [Datacenter,
System.Object[]]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[AppCountry@odata.type, #Collection(String)], [AppCountry,
System.Object[]],
[EmployeeId, KX19476]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[AppCountry@odata.type, #Collection(String)], [AppCountry,
System.Object[]],
[EmployeeId, GS46982]}
En el ejemplo siguiente se enumeran todos los usuarios con una asignación de atributo
de seguridad personalizados que comienza con un valor. Recupera los usuarios con un
atributo de seguridad personalizado denominado EmployeeId , con un valor que
empieza por GS . El valor de filtro no distingue mayúsculas de minúsculas. Debe agregar
ConsistencyLevel=eventual en la solicitud o el encabezado. También debe incluir
$count=true para asegurarse de que la solicitud se enruta correctamente.
PowerShell
Get-MgUser
PowerShell
Output
Id DisplayName
CustomSecurityAttributes
-- ----------- -----------------------
-
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
efdf3082-64ae-495f-b051-855e2d8df969 Jana
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[EmployeeId, GS36348]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[AppCountry@odata.type, #Collection(String)], [AppCountry,
System.Object[]],
[EmployeeId, GS46982]}
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[EmployeeId, GS45897]}
Enumeración de todos los usuarios con una asignación de atributos
de seguridad personalizados que no equivale a un valor
En el siguiente ejemplo se enumeran todos los usuarios con una asignación de atributos
de seguridad personalizados que no equivale a un valor. Recupera los usuarios con un
atributo de seguridad personalizado denominado AppCountry , con un valor que no es
igual a Canada . El valor de filtro no distingue mayúsculas de minúsculas. Debe agregar
ConsistencyLevel=eventual en la solicitud o el encabezado. También debe incluir
PowerShell
Get-MgUser
PowerShell
Output
Id DisplayName
CustomSecurityAttributes
-- ----------- ----------
--------------
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
eaea4971-7764-4498-9aeb-776496812e75 Isabella
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
d937580c-692c-451f-a507-6758d3bdf353 Alain
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
23ad8721-f46c-421a-9785-33b0ef474198 Dara
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
PowerShell
Invoke-MgGraphRequest
PowerShell
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri
"https://graph.microsoft.com/v1.0/users/$userId" -Body $params
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes
Solo los usuarios a los que se han asignado los roles de administrador de asignaciones
de atributos o de lector de asignaciones de atributos en el ámbito del inquilino pueden
ver los atributos de seguridad personalizados asignados a cualquier usuario del
inquilino. Los usuarios no pueden ver los atributos de seguridad personalizados
asignados a su propio perfil u otros usuarios. Los invitados no pueden ver los atributos
de seguridad personalizados independientemente de los permisos de invitado
establecidos en el inquilino.
Sí, a los usuarios sincronizados con directorios de un entorno de Active Directory local
se les pueden asignar atributos de seguridad personalizados.
¿Los atributos de seguridad personalizados son los mismos que los de los inquilinos
B2C?
Pasos siguientes
Incorporación o desactivación de definiciones de atributos de seguridad
personalizados en Microsoft Entra ID
Asignación, actualización, enumeración o eliminación de atributos de seguridad
personalizados de una aplicación
Ejemplos: asignación, actualización, enumeración o eliminación de asignaciones de
atributos de seguridad personalizados mediante Microsoft Graph API
Solución de problemas de atributos de seguridad personalizados en Microsoft
Entra ID
Comentarios
¿Le ha resultado útil esta página? Sí No
Requisitos previos
Para asignar o eliminar atributos de seguridad personalizados de una aplicación en el
inquilino de Microsoft Entra, necesita lo siguiente:
) Importante
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Realice los pasos siguientes para asignar atributos de seguridad personalizados a través
del centro de administración de Microsoft Entra.
Pasos siguientes
Incorporación o desactivación de atributos de seguridad personalizados en
Microsoft Entra ID
Asignar, actualizar, enumerar o quitar atributos de seguridad personalizados para
un usuario
Solución de problemas de atributos de seguridad personalizados en Microsoft
Entra ID
Comentarios
¿Le ha resultado útil esta página? Sí No
Causa
Causa
Solución
Solución 1
Asegúrese de que se le asigna uno de los siguientes roles integrados de Microsoft Entra
en el ámbito del inquilino o del conjunto de atributos. Para obtener más información,
consulte Administración del acceso a atributos de seguridad personalizados en
Microsoft Entra ID.
Causa 2
Solución 2
Causa 3
Solución 3
Solución
Causa
Causa 1
Solución 1
Causa 2
Solución 2
Causa 3
Está intentando quitar una asignación de atributo de seguridad personalizada de un
solo valor estableciendo en null usando el comando Update-MgUser o Update-
MgServicePrincipal.
Solución 3
Causa
Solución
Pasos siguientes
Administración de acceso a atributos de seguridad personalizados en Microsoft
Entra ID
Solución de problemas de las condiciones de asignación de roles de Azure
Comentarios
¿Le ha resultado útil esta página? Sí No
Los trabajadores de primera línea suponen más del 80 % de la mano de obra global. A
pesar de ello, debido a la gran escala, la rápida rotación y la fragmentación de los
procesos, los trabajadores de primera línea no suelen disponer de las herramientas
necesarias para hacer que sus exigentes trabajos resulten un poco más sencillos. La
administración de trabajadores de primera línea lleva la transformación digital a toda la
mano de obra de primera línea. La mano de obra puede incluir directivos, trabajadores
de primera línea, operaciones y TI.
Pasos siguientes
Para obtener más información sobre la administración de usuarios delegada, vea la
documentación del usuario de Mi personal .
Adición o eliminación de usuarios
Artículo • 13/12/2023
7 Nota
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Puede crear un nuevo usuario para su organización o invitar a un usuario externo desde
el mismo punto de partida.
El proceso para invitar a un usuario es el mismo que agregar un nuevo usuario, con dos
excepciones. La dirección de correo electrónico no seguirá las mismas reglas de dominio
que los usuarios de la organización. También puedes incluir un mensaje personal.
Si tiene un entorno con Microsoft Entra ID (nube) y Windows Server Active Directory
(local), puede agregar nuevos usuarios mediante la sincronización de los datos de la
cuenta de usuario existentes. Para obtener más información sobre entornos híbridos y
usuarios, consulte Integración de directorios locales con Microsoft Entra ID.
Eliminación de usuarios
Puede eliminar un usuario existente mediante el centro de administración de
Microsoft Entra.
4. Seleccione Eliminar.
7 Nota
Pasos siguientes
Después de agregar a los usuarios, puede realizar los procesos básicos siguientes:
Add or change profile information (Incorporación o modificación de la información
del perfil)
Asignación de roles a usuarios
Creación de un grupo básico e incorporación de miembros
Trabajo con usuarios y grupos dinámicos
Adición de usuarios invitados de otro directorio