Azure Entra

Díganos qué opina sobre la experiencia de descarga del PDF.
Documentación sobre los aspectos

básicos de Microsoft Entra
Aprenda los conceptos y procesos básicos de Microsoft Entra, incluyendo cómo crear un
entorno básico, usuarios básicos y grupos, para empezar.
Acerca de Microsoft Entra
ｅ INFORMACIÓN GENERAL
¿Qué es Microsoft Entra ID?
Novedades de Microsoft Entra ID
ｐ CONCEPTO
Arquitectura de Microsoft Entra
Introducción
ｆ INICIO RÁPIDO
Acceso al portal y creación de un inquilino
Creación de un grupo e incorporación de miembros
Adición de personalización de compañía
Crear una cuenta Microsoft Entra
ｃ GUÍA PASO A PASO
Inscríbase en las ediciones P1 o P2 de Microsoft Entra ID
Regístrese en Microsoft Entra ID como organización
Incorporación del nombre de dominio personalizado
Administrar grupos en Microsoft Entra ID

ｐ CONCEPTO
Más información sobre los grupos
Administración de grupos y pertenencia a grupos
Adición de usuarios y asignación de roles y licencias
Crear o eliminar usuarios
Asignación de roles a usuarios
Asignación de licencias a usuarios

Artículo • 25/10/2023
Microsoft Entra ID es un servicio de administración de identidades y acceso basado en la

nube que permite a los empleados acceder a recursos externos. Entre los recursos de
ejemplo se incluyen Microsoft 365, Azure Portal y miles de otras aplicaciones SaaS.
Microsoft Entra ID también les ayuda a acceder a recursos internos, como las
aplicaciones de la red corporativa de intranet, junto con las aplicaciones en la nube
desarrolladas para su propia organización. Para saber cómo crear un inquilino, consulte
Inicio rápido: Creación de un inquilino en Microsoft Entra ID.
Para obtener información sobre las diferencias entre Active Directory y el identificador
de Microsoft Entra, consulte Comparación de Active Directory con Microsoft Entra ID.
También puede consultar los carteles de la serie Microsoft Cloud for Enterprise
Architects para comprender mejor los servicios de identidad principales de Azure, como
Microsoft Entra ID y Microsoft-365.
¿Quién usa Microsoft Entra ID?

Microsoft Entra ID proporciona diferentes beneficios a los miembros de su organización
en función de su función:
Administradores de TI: pueden usar Microsoft Entra ID para controlar el acceso a

las aplicaciones y a los recursos de estas en función de los requisitos de la
empresa. Por ejemplo, como administrador de TI, puede usar Microsoft Entra ID
para requerir autenticación multifactor al acceder a recursos importantes de la
organización. También puede usar Microsoft Entra ID para automatizar el
aprovisionamiento de usuarios entre su Windows Server AD existente y sus
aplicaciones en la nube, incluido Microsoft 365. Finalmente, Microsoft Entra ID le
brinda potentes herramientas para ayudar a proteger automáticamente las
identidades y credenciales de los usuarios y para cumplir con sus requisitos de
gobierno de acceso. Para empezar, regístrese para una prueba gratuita de 30 días
de Microsoft Entra ID P1 o P2 .
Los desarrolladores de aplicaciones pueden usar Microsoft Entra ID como

proveedor de autenticación basado en estándares que les ayuda a agregar un
inicio de sesión único (SSO) a las aplicaciones que funcionan con las credenciales
existentes de un usuario. Los desarrolladores también pueden usar las API de
Microsoft Entra para crear experiencias personalizadas utilizando datos de la
organización. Para empezar, regístrese para una prueba gratuita de 30 días de
Microsoft Entra ID P1 o P2 . Para obtener más información, también puede ver
Microsoft Entra ID para desarrolladores.
Los suscriptores de Microsoft 365, Office 365, Azure o Dynamics CRM Online ya
usan Microsoft Entra ID, ya que cada inquilino de Microsoft 365, Office 365, Azure
y Dynamics CRM Online es automáticamente un inquilino de Microsoft Entra.
Puede empezar de inmediato a administrar el acceso a las aplicaciones en la nube
integradas.
¿Cuáles son las licencias de identificador de

Microsoft Entra?
Los servicios empresariales de Microsoft Online, como Microsoft 365 o Microsoft Azure,
utilizan Microsoft Entra ID para las actividades de inicio de sesión y para ayudar a
proteger sus identidades. Si se suscribe a cualquier servicio empresarial de Microsoft
Online, tendrá acceso automáticamente a Microsoft Entra ID Free .
Para mejorar la implementación de Microsoft Entra, también puede agregar

características de pago mediante la actualización a las licencias Microsoft Entra Premium
P1 o Premium P2. Las licencias de pago de Microsoft Entra se construyen sobre su
directorio gratuito existente. Las licencias proporcionan autoservicio, supervisión
mejorada, informes de seguridad y acceso seguro para los usuarios móviles.
７ Nota
Para conocer las opciones de precios de estas licencias, consulte Precios de

Microsoft Entra .
Para obtener más información sobre los precios de Microsoft Entra, póngase en
contacto con el Foro de Microsoft Entra .
Microsoft Entra ID Free. Proporciona administración de grupos y usuarios,

sincronización de directorios locales, informes básicos, cambio de contraseñas de
autoservicio para usuarios en la nube e inicio de sesión único en Azure,
Microsoft 365 y muchas aplicaciones SaaS populares.
Microsoft Entra ID P1. Además de las características de la versión Free, P1 también

permite a los usuarios de entornos híbridos acceder a recursos locales y en la
nube. También admite la administración avanzada, como grupos dinámicos,
administración de grupos de autoservicio, Microsoft Identity Manager y
funcionalidades de reescritura en la nube, que permiten el restablecimiento de
contraseña de autoservicio a los usuarios locales.
Microsoft Entra ID P2. Además de las funciones gratuitas y P1, P2 también ofrece
Microsoft Entra ID Protection para ayudar a proporcionar acceso condicional
basado en el riesgo a sus aplicaciones y datos críticos de la empresa y Privileged
Identity Management para ayudar a descubrir, restringir y supervisar a los
administradores y su acceso a los recursos y para proporcionar acceso justo a
tiempo cuando sea necesario.
Licencias de la característica de "Pago por uso". También puede obtener licencias

para funciones como Microsoft Entra Business-to-Customer (B2C). B2C puede
ayudarle a proporcionar soluciones de administración de acceso y de identidad
para las aplicaciones orientadas al cliente. Para más información, consulte
Documentación de Azure Active Directory B2C.
Para obtener más información sobre cómo asociar una suscripción de Azure a Microsoft
Entra ID, consulte Asociar o agregar una suscripción de Azure a Microsoft Entra ID. Para
obtener más información sobre la asignación de licencias a los usuarios, consulte Cómo:
Asignar o quitar licencias de Microsoft Entra ID .
¿Qué características funcionan en el

identificador de Microsoft Entra ID?
Después de elegir su licencia de Microsoft Entra ID, obtendrá acceso a algunas de las
características siguientes:
Category Descripción
Administración de Administre las aplicaciones en la nube y locales mediante Application

aplicaciones Proxy, el inicio de sesión único, el portal Mis aplicaciones y aplicaciones de
software como servicio (SaaS). Para más información, consulte Provisión de
acceso remoto seguro a aplicaciones locales y Documentación sobre la
administración de aplicaciones.
Autenticación Administrar Microsoft Introduce el restablecimiento de contraseñas de

autoservicio, la autenticación multifactor, la lista de contraseñas prohibidas
personalizadas y el bloqueo inteligente. Para obtener más información,
consulte Documentación de autenticación de Microsoft Entra .
Microsoft Entra ID Cree aplicaciones que inicie sesión en todas las identidades de Microsoft,
para desarrolladores obtenga tokens para llamar a Microsoft Graph, otras API de Microsoft API
o API personalizadas. Para obtener más información, consulte Plataforma
de identidad de Microsoft (Microsoft Entra ID para desarrolladores).
Negocio a negocio Administre los usuarios invitados y los asociados externos sin perder el
(B2B) control sobre sus propios datos corporativos. Para obtener más
información, consulte Microsoft Enters B2B documentation.
Negocio a cliente Personalice y controle la forma en que los usuarios se suscriben, inician
(B2C) sesión y administran sus perfiles al usar sus aplicaciones. Para más
información, consulte Documentación de Azure Active Directory B2C.
Acceso condicional Administre el acceso a sus aplicaciones en la nube. Para obtener más
información, consulte Documentación de Microsoft Entra Conditional
Access .
Administración de Gestione la forma en que los dispositivos en la nube o locales acceden a

dispositivos los datos corporativos. Para obtener más información, consulte
Documentación de Microsoft Entra Device Management .
Servicios de Combine máquinas virtuales de Azure en un dominio sin controladores de

dominio dominio. Para obtener más información, consulte Documentación de
Microsoft Entra Domain Services .
Usuarios de Gestione las asignaciones de licencias, el acceso a las aplicaciones y

empresa configure delegados mediante grupos y roles de administrador. Para
obtener más información, consulte Documentación de administración del
usuario de Microsoft Entra.
Identidad híbrida Use Microsoft Entra Connect y Connect Health para proporcionar una
identidad de usuario individual para la autenticación y autorización en
todos los recursos, independientemente de la ubicación (nube o local).
Para más información, consulte Documentación de identidad híbrida.
Gobernanza de Administre la identidad de su organización a través de controles de acceso

identidades a empleados, asociados comerciales, proveedores, servicios y aplicaciones.
También puede realizar revisiones de acceso. Para obtener más
información, consulte Microsoft Entra ID Governance documentation y
Microsoft Entra access reviews.
Protección de Detecte posibles puntos vulnerables que afecten a identidades de su

identidad organización, configure directivas para responder a acciones sospechosas
y, después, realice las acciones adecuadas para resolverlas. Para obtener
más información, consulte Microsoft Entra ID Protection.
Identidades Proporcione a sus servicios de Azure una identidad administrada

administradas de automáticamente en Microsoft Entra ID que pueda autenticar cualquier
recursos de Azure servicio de autenticación compatible con Microsoft Entra ID, incluido Key
Vault. Para más información, consulte ¿Qué es Managed Identities for
Azure Resources?
Privileged Identity Administre, controle y supervise el acceso dentro de su organización. Esta

Management (PIM) característica incluye el acceso a los recursos de Microsoft Entra ID y
Azure, así como a otros servicios Microsoft Online Services, como

Microsoft 365 o Intune. Para obtener más información, consulte Microsoft
Enters Privileged Identity Management.
Supervisión y estado Obtenga información acerca de los patrones de seguridad y de uso del
entorno. Para obtener más información, consulte Supervisión y estado de
Microsoft Entra .
Identidades de Proporcione una identidad a su carga de trabajo de software (como una

cargas de trabajo aplicación, un servicio, un script o un contenedor) para autenticar otros
servicios y recursos y acceder a ellos. Para más información, consulte
Preguntas frecuentes sobre las identidades de carga de trabajo.
Terminología
Para comprender mejor Microsoft Entra ID y su documentación, recomendamos revisar
los siguientes términos.
Término o Descripción
concepto
Identidad Algo que se puede autenticar. Una identidad puede ser un usuario con un
nombre de usuario y una contraseña. Entre las identidades también se
incluyen aplicaciones u otros servidores que podrían requerir autenticación a
través de claves secretas o certificados.
Cuenta Una identidad que tiene datos asociados a ella. No puede tener una cuenta
sin una identidad.
Cuenta de Una identidad creada a través de Microsoft Entra ID u otro servicio en la

Microsoft Entra nube de Microsoft, como Microsoft 365. Las identidades se almacenan en
Microsoft Entra ID y son accesibles a las suscripciones de servicios en la nube
de su organización. Esta cuenta se denomina a veces también cuenta
profesional o educativa.
Administrador de Este rol de administrador de suscripción clásica conceptualmente es el

cuenta propietario de facturación de una suscripción. Este rol le permite administrar
todas las suscripciones de una cuenta. Para obtener más información,
consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de
suscripción clásicos .
Administrador de Este rol de administrador de suscripciones clásico permite administrar todos

servicios los recursos de Azure, incluido el acceso. Tiene el acceso equivalente a un
usuario al que se le ha asignado la función de propietario en el ámbito de la
suscripción. Para obtener más información, consulte Roles de Azure, roles de
Microsoft Entra y roles de administrador de suscripción clásicos .
Término o Descripción
concepto
Propietario Este rol ayuda a administrar todos los recursos de Azure, incluido el acceso.
Este rol se basa en un sistema de autorización más reciente llamado control
de acceso basado en rol de Azure (RBAC de Azure) que proporciona una
administración detallada del acceso a los recursos de Azure. Para obtener
más información, consulte Roles de Azure, roles de Microsoft Entra y roles de
administrador de suscripción clásicos .
Administrador Este rol de administrador se asigna automáticamente a quien haya creado el

global de inquilino de Microsoft Entra. Puede tener varios administradores globales,
Microsoft Entra pero estos administradores son los únicos que pueden asignar roles de
administrador (lo que incluye la asignación de otros administradores
globales) a los usuarios. Para obtener más información sobre los distintos
roles de administrador, consulte Permisos de rol de administrador en
Microsoft Entra ID.
Suscripción de Se usa para pagar los servicio en la nube de Azure. Puede tener muchas
Azure suscripciones y están vinculadas a una tarjeta de crédito.
Inquilino de Instancia dedicada y de confianza del identificador de Microsoft Entra. Un

Azure inquilino se crea automáticamente cuando su organización se registra para
una suscripción del servicio en la nube de Microsoft. Estas suscripciones
incluyen Microsoft Azure, Microsoft Intune o Microsoft 365. Un inquilino de
Azure representa una organización individual.
Un solo inquilino Los inquilinos de Azure que acceden a otros servicios en un entorno
dedicado se consideran inquilino individuales.
Multiinquilino Los inquilinos de Azure que tienen acceso a otros servicios en un entorno
compartido, en varias organizaciones, se consideran varios inquilinos.
Directorio de Cada inquilino de Azure tiene un directorio dedicado y confiable de

Microsoft Entra Microsoft Entra. El directorio Microsoft Entra incluye los usuarios, grupos y
aplicaciones del inquilino y se utiliza para realizar funciones de
administración de identidad y acceso para los recursos del inquilino.
Dominio Cada nuevo directorio de Microsoft Entra viene con un nombre de dominio
personalizado inicial, por ejemplo, domainname.onmicrosoft.com . Además de ese nombre
inicial, también puede agregar los nombres de dominio de su organización.
Los nombres de dominio de la organización incluyen los nombres que se
usan para hacer negocios y que los usuarios usan para acceder a los recursos
de la organización en la lista. La adición de nombres de dominio
personalizados le ayuda a crear nombres de usuario que resultan familiares a
los usuarios, como alain@contoso.com.
Cuenta Microsoft Cuentas personales que proporcionan acceso a los productos y servicios en
(también la nube de Microsoft orientados al consumidor. Estos productos y servicios
denominada incluyen Outlook, OneDrive, Xbox LIVE o Microsoft 365. Su cuenta Microsoft
MSA)
Término o se crean y almacenan en el sistema de cuentas de identidad de consumidor
Descripción
concepto de Microsoft que ejecuta Microsoft.
Pasos siguientes
Regístrese en Microsoft Entra ID P1 o P2
Lista de verificación de implementación de características de Microsoft Entra ID P2
Lista de verificación de implementación de características de Microsoft Entra ID P2

Nuevo nombre para
Azure Active Directory
Artículo • 25/10/2023
Microsoft ha cambiado el nombre de Azure Active Directory (Azure AD) a Microsoft

Entra ID por los siguientes motivos: (1) para comunicar la funcionalidad multinube,
multiplataforma de los productos, (2) para aliviar la confusión con Windows Server
Active Directory y (3) para unificar la familia de productos Microsoft Entra.
Sin interrupciones en el uso o el servicio

Si actualmente usa Azure AD o ya ha implementado previamente Azure AD en sus
organizaciones, puede seguir usando el servicio sin interrupción. Todas las
implementaciones, configuraciones e integraciones existentes seguirán funcionando
como lo hacen hoy sin necesidad de ninguna acción por parte del usuario.
Puede seguir usando las funcionalidades conocidas de Azure AD a las que puede
acceder a través de Azure Portal, el Centro de administración de Microsoft 365 y el
Centro de administración de Microsoft Entra .
Todas las características y funcionalidades siguen estando disponibles en el producto.

Las licencias, los términos, los contratos de nivel de servicio, las certificaciones de
productos, el soporte técnico y los precios siguen siendo los mismos.
Para que no haya problemas con la transición, todas las direcciones URL de inicio de
sesión, las API, los cmdlets de PowerShell y las bibliotecas de autenticación de Microsoft
(MSAL) permanecen iguales, al igual que las experiencias y herramientas de
desarrollador.
Los nombres para mostrar del plan de servicio cambiaron el 1 de octubre de 2023.
Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2 son los nuevos
nombres de ofertas independientes y todas las funcionalidades incluidas en los planes
actuales de Azure AD seguirán siendo las mismas. Microsoft Entra ID (conocido
anteriormente como Azure AD) seguirá incluido en los planes de licencias de
Microsoft 365, incluidos Microsoft 365 E3 y Microsoft 365 E5. Los detalles sobre los
precios y lo que se incluye están disponibles en la página de precios y pruebas
gratuitas .

Durante 2023, es posible que vea el nombre actual de Azure AD y el nuevo nombre de
Microsoft Entra ID en las rutas de acceso del área de soporte técnico. Para obtener
soporte técnico en modo autoservicio, busque la ruta de acceso del tema de Microsoft
Entra o Azure Active Directory/Microsoft Entra ID .
El nombre del producto y los iconos cambian y las características ahora se marcan como
Microsoft Entra en lugar de Azure AD. Si va a actualizar el nombre a Microsoft Entra id.
en su propio contenido o experiencias, consulte How to: Rename Azure AD (Cómo:
Cambiar el nombre de Azure AD).
Nomenclatura de cambios y excepciones
Nombre de producto
Microsoft Entra ID es el nuevo nombre de Azure AD. Reemplace los nombres de
producto de Azure Active Directory, Azure AD y AAD por Microsoft Entra ID.
Microsoft Entra es el nombre de la familia de productos de soluciones de identidad

y acceso a la red.
Microsoft Entra ID es uno de los productos de esa familia.
No se recomienda el uso del acrónimo, pero si debe reemplazar AAD por un
acrónimo debido a limitaciones de espacio, use ME-ID.
Logotipo o icono
Los iconos de producto de Azure AD se reemplazan por el icono de producto de
identificador de Microsoft Entra.
Iconos de producto de Azure AD Icono del producto de Microsoft Entra ID
Puede descargar el nuevo icono de Microsoft Entra ID aquí: Iconos de arquitectura de

Microsoft Entra
Nombres de características
Las funcionalidades o los servicios anteriormente conocidos como “<Nombre de la
característica> de Azure Active Directory" o “<Nombre de la característica> de
Azure AD” se les modificará la marca a características de la familia de productos de
Microsoft Entra. Esto se hace en toda nuestra cartera para evitar la longitud y la
complejidad de la nomenclatura, y porque muchas características funcionan en todos
los productos. Por ejemplo:
"Acceso condicional de Azure AD" es ahora "Acceso condicional de

Microsoft Entra"
"Inicio de sesión único de Azure AD" ahora es "Inicio de sesión único de
Microsoft Entra"
Para obtener una lista detallada, consulte el Glosario de terminología actualizada.
¿Qué nombres no cambian?

En la tabla siguiente se muestra la terminología que no se ve afectada por el cambio de
nombre de Azure AD. No se están cambiando los nombres de Active Directory, las
herramientas para desarrolladores, Azure AD B2C, ni las funcionalidades, características
o servicios en desuso o retirados.
Terminología Detalles
correcta
Grafo de Windows Server Active Directory, comúnmente conocido como Active

Directory, y las características y servicios relacionados asociados a Active
• Windows Server Directory no se ofrecen con la marca "Microsoft Entra".
Active Directory
• Servicios de
federación de
Active Directory
(AD FS)
• Active Directory
Domain Services (AD
correcta
DS)
• Active Directory
• Todas las
características de
Active Directory
Biblioteca de La biblioteca de autenticación de Active Directory (ADAL) ha quedado en

autenticación desuso. Aunque las aplicaciones existentes que usan ADAL seguirán
funcionando, Microsoft ya no lanzará correcciones de seguridad en ADAL.
• Biblioteca de Migrar las aplicaciones a la Biblioteca de autenticación de Microsoft
autenticación de (MSAL) para evitar poner en riesgo la seguridad de su aplicación.
Azure AD (ADAL)
• Biblioteca de Biblioteca de autenticación de Microsoft (MSAL): proporciona tokens de
autenticación de seguridad de la Plataforma de identidad de Microsoft para autenticar a
Microsoft (MSAL) los usuarios y acceder a las API web protegidas para proporcionar acceso
seguro a Microsoft Graph, otras API de Microsoft, API web de terceros o
su propia API web.
B2C No se cambia el nombre de Azure Active Directory B2C. Seguimos

invirtiendo en seguridad, disponibilidad y confiabilidad en Azure AD B2C
• Azure Active y en nuestra solución de próxima generación para identidades externas,
Directory B2C Id. externa de Microsoft Entra.
• Azure AD B2C
Grafo Azure Active Directory (Azure AD) Graph está en desuso. En el futuro, no
realizaremos más inversiones en Azure AD Graph y las API de Azure AD
• Azure Active Graph no tienen ningún Acuerdo de Nivel de Servicio ni compromiso de
Directory Graph mantenimiento más allá de las correcciones relacionadas con la
• Azure AD Graph seguridad. Las inversiones en las nuevas características y funcionalidades
• Microsoft Graph solo se realizarán en Microsoft Graph.
Microsoft Graph: concede acceso mediante programación a los datos de

la organización, de los usuarios y de las aplicaciones almacenados en
Microsoft Entra ID.
PowerShell Está previsto que Azure AD PowerShell para Graph quede en desuso el 30
de marzo de 2024. Para obtener más información sobre los planes de
• Azure Active desuso, consulta la actualización de desuso. Se recomienda migrar a
Directory PowerShell Microsoft Graph PowerShell, que es el módulo recomendado para
• Azure AD interactuar con Azure AD.
PowerShell
• PowerShell de Microsoft Graph PowerShell: actúa como contenedor de API para las API
Microsoft Graph de Microsoft Graph y ayuda a administrar cada característica de
Microsoft Entra ID que tiene una API en Microsoft Graph.
Cuentas Para los inicios de sesión de usuario final y las experiencias de la cuenta,
siga las instrucciones para las cuentas profesionales y educativas en Inicio
• Cuenta de de sesión con instrucciones de personalización de marca de Microsoft.
Microsoft
• Cuenta profesional
correcta
o educativa
Plataforma de La plataforma de identidad de Microsoft abarca todos nuestros recursos

identidad de de desarrollador de identidad y acceso. Seguirá proporcionando los
Microsoft recursos para ayudarle a compilar aplicaciones a las que los usuarios y
clientes puedan iniciar sesión con sus identidades de Microsoft o cuentas
de red social.
DirSync y Sincronización de Azure AD no se admiten y ya no funcionan. Si

• Sincronización de sigue usando DirSync o Sincronización de Azure AD, debe realizar la
Azure AD actualización a Microsoft Entra Connect para reanudar el proceso de
• DirSync sincronización. Para obtener más información, vea Microsoft Entra
Connect.
Preguntas más frecuentes
¿Cuándo se produce el cambio de nombre?

El cambio de nombre aparecerá en todas las experiencias de Microsoft a partir del 15 de
agosto de 2023. Los nombres para mostrar de las SKU y los planes de servicio
cambiarán el 1 de octubre de 2023. Esperamos que la mayoría de los cambios de
cadena de texto de nomenclatura en las experiencias de Microsoft y de los asociados se
completen a finales de 2023.
¿Por qué se cambia el nombre?

Como parte de nuestro compromiso continuo de simplificar las experiencias de acceso
seguras para todos, el cambio de nombre de Azure AD a Microsoft Entra ID está
diseñado para facilitar el uso y navegar por la familia unificada y ampliada de productos
de Microsoft Entra.
El nombre de id. de Microsoft Entra representa con mayor precisión la funcionalidad

multinube y multiplataforma del producto, alivia la confusión con la solución de
identidad local (Active Directory) y crea una ruta de acceso para ofrecer una manera más
sencilla de proteger cada identidad y proteger cada punto de acceso a medida que
expandimos la cartera de identidades y acceso de red Microsoft Entra.
¿Qué es Microsoft Entra?

La familia de productos Microsoft Entra ayuda a proteger todas las identidades y el
acceso a la red en todas partes. La familia de productos ampliada incluye:
Administración de identidades y Nuevas categorías de Acceso de red

acceso identidad
Microsoft Entra ID (anteriormente Id. verificada por Microsoft Entra

conocido como Azure AD) Microsoft Entra Internet Access
Microsoft Entra ID Governance Administración de permisos Microsoft Entra

de Microsoft Entra Private Access
Id. externa de Microsoft Entra Microsoft Entra Workload ID
¿Dónde puedo administrar Microsoft Entra ID?

Puede administrar Microsoft Entra ID y todas las demás soluciones de Microsoft Entra
en el Centro de administración de Microsoft Entra o Azure Portal .
¿Cuáles son los nombres para mostrar de los planes de

servicio y las SKU?
Las licencias, los precios y la funcionalidad no cambian. Los nombres para mostrar se
actualizaron el 1 de octubre de 2023 de la siguiente manera.
Nombre para mostrar antiguo para el plan de Nombre para mostrar nuevo para el plan de
servicio servicio
Azure Active Directory Free Microsoft Entra ID Free
Azure Active Directory Premium P1 Microsoft Entra ID P1
Azure Active Directory para educación Microsoft Entra ID para educación
Nombre para mostrar anterior para la SKU del Nombre para mostrar nuevo para la SKU
producto del producto
Azure Active Directory Premium P1 para Microsoft Entra ID P1 para estudiantes

estudiantes
Azure Active Directory Premium P1 o P2 para Microsoft Entra ID P1 para profesores

profesores
Nombre para mostrar antiguo para el plan de Nombre para mostrar nuevo para el plan de
servicio servicio
Azure Active Directory Premium P1 para el Microsoft Entra ID P1 para el gobierno

gobierno
Azure Active Directory Premium P2 para Microsoft Entra ID P2 para estudiantes

estudiantes
Azure Active Directory Premium P2 para Microsoft Entra ID P2 para profesores

profesores
Azure Active Directory Premium P2 para el Microsoft Entra ID P2 para el gobierno

gobierno
Azure Active Directory F2 Microsoft Entra ID F2
¿Azure AD se retira?
No, solo se retira el nombre de Azure AD. Las funcionalidades siguen siendo las mismas.
¿Microsoft sigue admitiendo la administración de

identidades local?
Seguimos admitiendo y mejorando Windows Server Active Directory para la
administración de identidades y acceso locales y la conexión a Azure y otras nubes, ya
que muchas organizaciones siguen confiando en esta solución.
El nombre de Active Directory permanece sin cambios. En función de los comentarios

que hemos recibido sobre Microsoft Entra id. como el nuevo nombre de Azure Active
Directory, para muchos clientes el cambio de nombre ayuda a diferenciar mejor entre
las soluciones locales (Active Directory) y la identidad multinube (Microsoft Entra ID).
¿Qué ocurrirá con las funcionalidades y características de

Azure AD, como la Galería de aplicaciones o el acceso
condicional?
Todas las características y funcionalidades permanecen sin cambios aparte del nombre.
Los clientes pueden seguir usando todas las características sin interrupciones.
La nomenclatura de las características cambia a Microsoft Entra. Por ejemplo:

Inquilino de Azure AD:> inquilino de Microsoft Entra
Cuenta de Azure AD:> cuenta de Microsoft Entra
Para obtener más ejemplos, consulte el glosario de actualizaciones de nombres de

características en Cómo: Cambiar el nombre de Azure AD.
¿Cambian las licencias? ¿Hay algún cambio en los

precios?
No. Los precios, los términos y los Acuerdos de Nivel de Servicio (SLA) siguen siendo los
mismos. Los detalles de los precios están disponibles en
https://www.microsoft.com/security/business/microsoft-entra-pricing .
¿Estará disponible Microsoft Entra ID como un servicio

gratuito con una suscripción de Azure?
Los clientes que usan Azure AD Free como parte de su suscripción de Azure,
Microsoft 365, Dynamics 365, Teams o Intune seguirán teniendo acceso a las mismas
funcionalidades. Ahora se llama Microsoft Entra ID Free. Obtenga la versión gratuita en
https://www.microsoft.com/security/business/microsoft-entra-pricing .
¿Qué cambia para Microsoft 365 o Azure AD para

Office 365?
Microsoft Entra ID (anteriormente conocido como Azure AD) seguirá estando disponible
en las ofertas de Microsoft 365 Enterprise y Business Premium. Se cambió el nombre de
Office 365 a Microsoft 365 en 2022. Las funcionalidades únicas de Azure AD para
aplicaciones de Office 365 (como la personalización de marca de empresa y la búsqueda
de actividad de inicio de sesión de autoservicio) ahora estarán disponibles para todos
los clientes de Microsoft en Microsoft Entra ID Free.
¿Qué cambia para Microsoft 365 E3?

No hay cambios en las características y funcionalidades de identidad disponibles en
Microsoft 365 E3. Microsoft 365 E3 incluye Microsoft Entra ID P1, conocido
anteriormente como Azure AD Premium P1.
¿Qué cambia para Microsoft 365 E5?

Además de las funcionalidades que ya tienen, los clientes de Microsoft 365 E5 también
obtendrán acceso a nuevas funcionalidades de protección de identidad, como la
protección mediante tokens, el acceso condicional basado en la ubicación basada en
GPS y la autenticación avanzada para las acciones más confidenciales. Microsoft 365 E5
incluye Microsoft Entra P2, conocido anteriormente como Azure AD Premium P2.
¿Qué está cambiando para el desarrollador de identidad y

las experiencias DevOps?
No se cambia el nombre de las experiencias DevOps y el desarrollador de identidad.
Para que no haya problemas con la transición, todas las direcciones URL de inicio de
sesión, las API, los cmdlets de PowerShell y las bibliotecas de autenticación de Microsoft
(MSAL) permanecen iguales, al igual que las experiencias y herramientas de
desarrollador.
Muchos componentes técnicos tienen poca visibilidad para los clientes (por ejemplo,
direcciones URL de inicio de sesión) o no suelen llevar marca, como las API.
Plataforma de identidad de Microsoft abarca todos nuestros recursos de desarrollador

de identidad y acceso. Seguirá proporcionando los recursos para ayudarle a compilar
aplicaciones a las que los usuarios y clientes puedan iniciar sesión con sus identidades
de Microsoft o cuentas de red social.
La nomenclatura tampoco cambia para lo siguiente:
Biblioteca de autenticación de Microsoft (MSAL): adquiera tokens de seguridad de

la Plataforma de identidad de Microsoft para autenticar a los usuarios y acceder a
las API web protegidas para proporcionar acceso seguro a Microsoft Graph, otras
API de Microsoft, API web de terceros o su propia API web.
Microsoft Graph: obtenga acceso mediante programación a los datos de la
organización, de los usuarios y de las aplicaciones almacenados en
Microsoft Entra ID.
Microsoft Graph PowerShell: actúa como contenedor de API para las API de
Microsoft Graph y ayuda a administrar cada característica de Microsoft Entra ID
que tiene una API en Microsoft Graph.
Windows Server Active Directory, comúnmente conocido como "Active Directory"
y todos los servicios de identidad de Windows Server relacionados asociados a
Active Directory.
Ni Servicios de federación de Active Directory (AD FS) ni
Active Directory Domain Services (AD DS) ni el nombre de producto
"Active Directory" ni ninguna característica correspondiente.
Azure Active Directory B2C seguirá estando disponible como un servicio de Azure.
El nombre de Azure AD B2C no cambia ni es nuestro compromiso con el servicio y
nuestros clientes. El contrato de nivel de servicio para Azure AD B2C permanece
sin cambios y continuaremos las inversiones para garantizar la seguridad, la
disponibilidad y la confiabilidad tanto en Azure AD B2C como en nuestra solución
de próxima generación para identidades externas, Id. externa de Microsoft Entra,
que ahora está en versión preliminar pública.
Cualquier funcionalidad, característica o servicio en desuso o retirado de
Azure Active Directory.
¿Se cambia el nombre de los cmdlets de PowerShell?

No. En la actualidad, ofrecemos dos módulos de PowerShell para administrar tareas de
identidad: el módulo de PowerShell de Azure AD, que está previsto para desuso en
marzo de 2024 y el módulo de PowerShell de Microsoft Graph.
En el módulo Azure AD PowerShell para Graph, AzureAD se encuentra en el nombre de

casi todos los cmdlets. Estos no cambiarán y puede seguir usando estos mismos cmdlets
ahora que el nombre oficial del producto es Microsoft Entra id.
Los cmdlets de PowerShell de Microsoft Graph no se marcan con Azure AD. Le

recomendamos que planee la migración de Azure AD PowerShell a Microsoft Graph
PowerShell, que es el módulo recomendado para interactuar con Microsoft Entra id. en
el futuro.
¿Cómo y cuándo se notificará a los clientes?

Los cambios de nombre se anunciaron públicamente el 11 de julio de 2023.
Los banners, las alertas y las publicaciones del centro de mensajes notificaron a los
usuarios del cambio de nombre. También se mostró el cambio en la página de
información general del inquilino, en los portales como Azure, Microsoft 365 y el centro
de administración de Microsoft Entra, y Microsoft Learn.
¿Qué ocurre si uso el nombre de Azure AD en mi

contenido o aplicación?
Nos gustaría que nos ayudara a correr la voz sobre el cambio de nombre y que lo
implemente en sus propias experiencias. Si es usted creador de contenidos, autor de
documentación interna para administradores de TI o de seguridad de identidades,
desarrollador de aplicaciones habilitadas para Azure AD, proveedor de software
independiente o socio de Microsoft, esperamos que utilice la guía de asignación de
nombres descrita en Cómo:Renombrar Azure AD para realizar el cambio de nombre en
su contenido y experiencias de producto antes de finales de 2023.
Glosario de terminología actualizada

Las características de los productos de identidad y acceso a la red se atribuyen a
Microsoft Entra: la familia de productos, no el nombre individual del producto.
No es necesario usar la atribución de Microsoft Entra con características. Usar solo si es

necesario para aclarar que se está hablando de un concepto y no de una característica
de un producto específico, o cuando compare una característica de Microsoft Entra con
otra de la competencia.
Solo se escriben en mayúsculas los nombres oficiales de los productos, además de las
aplicaciones Acceso condicional y Mis *.
Categoría Terminología antigua Nombre correcto a partir de julio

de 2023
Familia de Microsoft Azure Active Directory Microsoft Entra ID

productos de Azure Active Directory (Segundo uso: es preferible
Microsoft Entra Azure Active Directory (Azure AD) Microsoft Entra ID, ID es aceptable
Azure AD en experiencias de UI/producto,
AAD ME-ID si es necesario abreviar)
Identidades externas de Azure Active Id. externa de Microsoft Entra

Directory (Segundo uso: id. externo)
Azure AD External Identities
Gobernanza de identidad de Azure Microsoft Entra ID Governance

Active Directory (Segundo uso: gobernanza de id.)
Azure AD Identity Governance
Microsoft Entra Identity Governance
Nuevo Microsoft Entra Internet Access

(Segundo uso: acceso a Internet)
Cloud Knox Administración de permisos de

Microsoft Entra
(Segundo uso: Permissions
Management)
Nuevo Microsoft Entra Private Access

(Segundo uso: acceso privado)
Credenciales verificables de Azure Id. verificada por Microsoft Entra

Active Directory (Segundo uso: id. comprobado)
Categoría Credenciales
Terminologíaverificables
antigua de Azure AD Nombre correcto a partir de julio
de 2023
Identidades de carga de trabajo de Microsoft Entra Workload ID
Azure Active Directory (Segundo uso: id. de carga de
Identidades de carga de trabajo de trabajo)
Azure AD
Azure Active Directory Domain Microsoft Entra Domain Services

Services (Segundo uso: Domain Services)
Azure AD Domain Services
SKU de Microsoft Azure Active Directory Premium P1 Microsoft Entra ID P1

Entra ID
Azure Active Directory Premium P1 o Microsoft Entra ID P1 para

P2 para profesores profesores
Azure Active Directory Premium P1 Microsoft Entra ID P1 para

para estudiantes estudiantes
Azure Active Directory Premium P1 Microsoft Entra ID P1 para el

para el gobierno gobierno

para profesores profesores

para estudiantes estudiantes
Azure Active Directory Premium P2 Microsoft Entra ID P2 para el

para el gobierno gobierno
Azure Active Directory Premium F2 Microsoft Entra ID F2
Planes de servicio Azure Active Directory Free Microsoft Entra ID Free

de
Microsoft Entra
ID
Azure Active Directory para educación Microsoft Entra ID para educación
Características y Autenticación con token de acceso de Autenticación con token de acceso

funcionalidades Azure AD de Microsoft Entra
Autenticación de token de acceso de
de 2023
Cuenta de Azure AD Cuenta de Microsoft Entra

Cuenta de Azure Active Directory
Esta terminología solo se usa con
administradores de TI y
desarrolladores. Los usuarios
finales se autentican con una
cuenta profesional o educativa.
Registros de actividad de Azure Registros de actividad de

Microsoft Entra
Administrador de Azure AD Administrador de Microsoft Entra

Administrador de Azure Active
Directory
Centro de administración de Azure AD Reemplazar por Centro de

Centro de administración de Azure administración de Microsoft Entra
Active Directory y actualizar el enlace a
entra.microsoft.com
Proxy de aplicación de Azure AD Proxy de aplicación de

Proxy de aplicación de Azure Active Microsoft Entra
Directory
Registro de auditoría de Azure AD Registro de auditoría de Microsoft

Entra
Autenticación de Azure AD Autenticación de Microsoft Entra

Autenticación con una identidad de Autenticación con una identidad
Azure AD de Microsoft Entra
autenticación mediante Azure Active autenticación con Microsoft Entra
Directory autenticación en Microsoft Entra
autenticación en Azure AD
Esta terminología solo se usa con
administradores. Los usuarios
finales se autentican con una
cuenta profesional o educativa.
Azure AD B2B Microsoft Entra B2B

Azure Active Directory B2B
Roles integrados de Azure AD Roles integrados de

Roles integrados en Azure Active Microsoft Entra
Directory
Acceso condicional de Azure AD Acceso condicional de

Acceso condicional de Azure Active Microsoft Entra
Directory (Segundo uso: acceso condicional)
de 2023
Identidades solo en la nube de Identidades solo en la nube de

Azure AD Microsoft Entra
Identidades solo en la nube de Azure
Active Directory
Azure AD Connect Microsoft Entra Connect

Azure Active Directory Connect
Azure AD Connect Sync Sincronización de Microsoft Entra

Sincronización de Connect
Azure Active Directory Connect
Conector de Azure AD Conector de Microsoft Entra

Conector de Active Directory
Dominio de Azure AD Dominio de Microsoft Entra

Dominio de Azure Active Directory
Azure AD Domain Services Microsoft Entra Domain Services

Azure Active Directory Domain
Services
Aplicación empresarial de Azure AD Aplicación empresarial de

Aplicación empresarial de Microsoft Entra
Servicios de federación de Azure AD Servicios de federación de Active

Servicios de federación de Azure Directory
Active Directory
Grupos de Azure AD Grupos de Microsoft Entra

Grupos de Azure Active Directory
Identidades de Azure AD híbrido Identidades híbridas de Microsoft

Identidades híbridas de Azure Active Entra
Directory
Identidades de Azure AD Identidades de Microsoft Entra

Identidades de Azure Active Directory
Azure AD Identity Protection Protección de Microsoft Entra ID

Protección de identidades de Azure
Active Directory
Autenticación integrada de Azure AD Autenticación integrada de

Autenticación integrada de Azure Microsoft Entra
Active Directory
de 2023
Unión a Azure AD Unión a Microsoft Entra

Azure AD joined Unido a Microsoft Entra
Unión a Azure Active Directory
Unido a Azure Active Directory
Licencia de Azure AD Licencia de Microsoft Entra ID o

Licencia de Azure Active Directory licencia para Microsoft Entra ID
Inicio de sesión de Azure AD Inicio de sesión de Microsoft Entra

Inicio de sesión de Azure Active
Directory
Identidades administradas por Azure Identidades administradas de

AD Microsoft Entra
Identidades administradas de Azure
Active Directory
Autenticación multifactor (MFA) de Autenticación multifactor (MFA) de

Autenticación multifactor (MFA) de (Segundo uso: MFA)
Azure AD OAuth y OpenID Connect Microsoft Entra ID OAuth y

Azure Active Directory OAuth y OpenID Connect
OpenID Connect
Objeto de Azure AD Objeto de Microsoft Entra

Objeto de Azure Active Directory
Autenticación solo de Azure Active Autenticación solo de

Directory Microsoft Entra
Autenticación solo de Azure AD
Autenticación de tránsito (PTA) de Autenticación de paso a través de

Autenticación de paso a través (PTA)
de Azure Active Directory
Autenticación de contraseña de Azure Autenticación de contraseña de

AD Microsoft Entra
Autenticación de contraseña de Azure
Active Directory
Sincronización de hash de contraseña Sincronización de hash de

(PHS) de Azure AD contraseñas de Microsoft Entra
Sincronización de hash de contraseña
(PHS) en Azure Active Directory
de 2023
Protección de contraseñas de Azure Protección con contraseña de

AD Microsoft Entra
Protección con contraseña de Azure
Active Directory
Azure AD Premium Microsoft Entra ID P1 o P2

Azure Active Directory Premium
Id. de entidad de seguridad de Id. de entidad de seguridad de

Id. de entidad de seguridad de Azure
Active Directory
Azure AD Privileged Identity Microsoft Entra Privileged Identity

Management (PIM) Management (PIM)
Azure Active Directory Privileged
Identity Management (PIM)
Azure AD registered Microsoft Entra registrado

Azure Active Directory registrado
Informes y supervisión de Azure AD Informes y supervisión de

Informes y supervisión de Azure Active Microsoft Entra
Directory
Rol de Azure AD Rol de Microsoft Entra

Rol de Azure Active Directory
Esquema de Azure AD Esquema de Microsoft Entra

Esquema de Azure Active Directory
Inicio de sesión único (SSO) de Inicio de sesión único (SSO) de

conexión directa de Azure AD conexión directa de
Inicio de sesión único (SSO) de Microsoft Entra
conexión directa de Azure Active (Segundo uso: SSO)
Directory
Autoservicio de restablecimiento de Autoservicio de restablecimiento

contraseña (SSPR) de Azure AD de contraseña (SSPR) de
Autoservicio de restablecimiento de Microsoft Entra
contraseña de Azure Active Directory
(SSPR)
Entidad de servicio de Azure AD Entidad de servicio de

Entidad de servicio de Azure Active Microsoft Entra
Directory
de 2023
Inquilino de Azure AD Inquilino de Microsoft Entra

Inquilino de Azure Active Directory
Creación de un usuario en Azure AD Creación de un usuario en

Creación de un usuario en Microsoft Entra
Federado con Azure AD Federado con Microsoft Entra

Federado con Azure Active Directory
Unión a Azure AD híbrido Unión híbrida de Microsoft Entra

Unido a Azure AD híbrido Unido a Microsoft Entra
Identidades administradas en Azure Identidades administradas en

AD para Azure SQL Microsoft Entra para Azure SQL
Uso de acrónimos AAD ME-ID
Tenga en cuenta que esto no es

una abreviatura oficial del
producto, pero se puede usar en el
código o cuando se requiera el
formato más corto posible.
Historial de revisiones
Fecha Descripción del cambio
12 de octubre
de 2023 • Se ha actualizado la declaración sobre la disponibilidad de los planes de
licencia.
• Se han agregado otros tres términos en el glosario: "Conector de Azure AD",
"Licencia de Azure AD" y "Azure AD Premium"
15 de Se ha agregado un vínculo al nuevo artículo Cómo: Cambiar el nombre de

septiembre de Azure AD, se ha actualizado la descripción de Azure AD B2C y se ha agregado
2023 más información sobre por qué cambia el nombre de Azure AD.
29 de agosto
de 2023 • En el glosario, corrigió la entrada de "Registros de actividad de Azure AD"
para separarlo del "Registro de auditoría de Azure AD", que es un tipo distinto
de registro de actividad.
• Se han agregado Sincronización de Azure AD y DirSync a la sección ¿Qué
nombres no cambian?
Fecha Descripción del cambio
18 de agosto
de 2023 • Se ha actualizado el artículo para incluir una nueva sección Glosario de
terminología actualizada, que incluye la terminología antigua y nueva.
• Se ha actualizado la información y se ha agregado un vínculo al uso del icono
de id. de Microsoft Entra y se actualizan los verbos en algunas secciones.
11 de julio de Publicó las instrucciones originales como parte del momento Microsoft Entra y
2023 el anuncio relacionado .
Pasos siguientes
Cómo: Cambiar el nombre de Azure AD
Mantenerse al día con las novedades de Microsoft Entra ID (anteriormente Azure
AD)
Introducción al uso de Microsoft Entra ID en el Centro de administración de
Microsoft Entra
Más información sobre la familia Microsoft Entra con contenido de Microsoft Learn
Conceptos básicos de la administración
de identidad y acceso (IAM)
Artículo • 25/10/2023
En este artículo, se proporcionan conceptos y terminología básicos que le ayudarán a

comprender la administración de identidad y acceso (IAM).
¿Qué es la administración de identidad y

acceso (IAM)?
La administración de identidad y acceso garantiza que las personas, máquinas y
componentes de software adecuados obtengan acceso a los recursos correctos en el
momento idóneo. En primer lugar, la persona, la máquina o el componente de software
demuestra que efectivamente es quien dice ser. Luego, a la persona, máquina o
componente de software se le permite o deniega el acceso o uso de determinados
recursos.
A continuación, se presentan algunos conceptos básicos que le ayudarán a comprender

la administración de identidad y acceso:
Identidad
Una identidad digital es una colección de identificadores o atributos únicos que
representan a una persona, componente de software, máquina o recurso en un sistema
informático. Un identificador puede ser:
Una dirección de correo electrónico

Credenciales de inicio de sesión (nombre de usuario y contraseña)
Número de cuenta bancaria
Id. emitido por el gobierno
Dirección MAC o dirección IP
Las identidades se usan para autenticar y autorizar el acceso a los recursos, comunicarse
con otros usuarios, realizar transacciones y otros fines.
En un nivel alto, hay tres tipos de identidades:
Las identidades humanas representan a personas como empleados (trabajadores

internos y trabajadores de primera línea) y usuarios externos (clientes, consultores,
proveedores y asociados).
Las identidades de carga de trabajo representan cargas de trabajo de software,
como una aplicación, un servicio, un script o un contenedor.
Las identidades de dispositivo representan dispositivos, como equipos de
escritorio, teléfonos móviles, sensores de IoT y dispositivos administrados de IoT.
Las identidades de dispositivo son distintas de las identidades humanas.
Authentication
La autenticación es el proceso de desafío de una persona, un componente de software o
un dispositivo de hardware para obtener sus credenciales con el fin de comprobar su
identidad, o demostrar que son quienes o lo que afirman ser. Por lo general, la
autenticación requiere el uso de credenciales (como el nombre de usuario y la
contraseña, las huellas digitales, los certificados o los códigos de acceso de un solo uso).
A veces, la autenticación se abrevia como AuthN.
La autenticación multifactor (MFA) es una medida de seguridad que requiere que los
usuarios proporcionen más de un fragmento de evidencia para comprobar sus
identidades, como:
Algo que saben, por ejemplo, una contraseña.

Algo que tienen, como un distintivo o un token de seguridad.
Algo corporal, como un elemento biométrico (huella digital o cara).
El inicio de sesión único (SSO) permite que los usuarios autentiquen su identidad una
vez y, después, se autentiquen silenciosamente al acceder a varios recursos que
dependen de la misma identidad. Después de autenticarse, el sistema IAM actúa como
el origen de la verdad de la identidad para los demás recursos disponibles para el
usuario. Este sistema elimina la necesidad de iniciar sesión en varios sistemas de destino
independientes.
Authorization
La autorización valida que se ha concedido acceso al usuario, la máquina o el
componente de software a determinados recursos. A veces, la autorización se acorta a
AuthZ.
Autenticación frente a autorización

A veces, los términos autenticación y autorización se usan de manera indistinta, ya que a
menudo parecen una sola experiencia para los usuarios. En realidad, son dos procesos
independientes:
La autenticación comprueba la identidad de un usuario, una máquina o un
componente de software.
La autorización concede o deniega al usuario, máquina o componente de software
el acceso a determinados recursos.
Esta es una introducción rápida a la autenticación y autorización:
Authentication Authorization
Se puede considerar como un portero que permite Se puede considerar como un guardia que
el acceso solo a aquellos que proporcionan asegura que solo aquellos con el permiso
credenciales válidas. adecuado pueden entrar en determinadas
áreas.
Comprueba si un usuario, máquina o software es Determina si el usuario, la máquina o el

quien o lo que afirma ser. software pueden acceder a un recurso
determinado.
Desafía al usuario, la máquina o el software para Determina qué nivel de acceso tiene un
que proporcione las credenciales verificables (por usuario, una máquina o un software.
ejemplo, contraseñas, identificadores biométricos o
certificados).
Se realiza antes de la autorización. Se realiza después una autenticación

correcta.
La información se transfiere en un token de id. La información se transfiere en un token de

acceso.
Suele usar OpenID Connect (OIDC) (que se basa en Suele usar el protocolo OAuth 2.0.
el protocolo OAuth 2.0) o los protocolos SAML.
Para obtener información más detallada, lea Autenticación frente a autorización.

Ejemplo
Supongamos que quiere pasar la noche en un hotel. Puede considerar la autenticación y
autorización como el sistema de seguridad en un hotel. Los usuarios son personas que
quieren alojarse en el hotel, los recursos son las habitaciones o áreas que las personas
quieren usar. El personal del hotel es otro tipo de usuario.
Si usted se aloja en el hotel, primero se dirige a la recepción para iniciar el "proceso de

autenticación". Muestra una tarjeta de identificación y una tarjeta de crédito y el
recepcionista compara su id. con la reserva en línea. Después de que el recepcionista
haya comprobado quién es, este le concede permiso para acceder a la sala que se le ha
asignado. Se le da una tarjeta llave y ahora ya puede ir a su habitación.
Las puertas de las habitaciones del hotel y otras áreas tienen sensores que responden a
estas tarjetas llave. La acción de deslizar la tarjeta llave delante de un sensor es el
"proceso de autorización". La tarjeta llave solo le permite abrir las puertas a las
habitaciones a las que tiene permiso para acceder, como su habitación de hotel y el área
de gimnasio del hotel. Si desliza la tarjeta llave para entrar a cualquier otra habitación
de hotel, se le deniega el acceso.
Los permisos individuales, como el acceso al gimnasio y a una sala de invitados

específica, se recopilan en los roles, que se pueden conceder a usuarios individuales.
Cuando se aloja en el hotel, se le concede el rol Cliente de hotel. Al personal de servicio
de habitaciones del hotel se le concederá el rol Servicio de habitaciones del hotel. Este
rol les permite el acceso a todas las habitaciones del hotel (pero solo entre las 11 a. m. y
las 4 p. m.), la lavandería y los armarios de suministro en cada planta.
Proveedor de identidades
Un proveedor de identidades crea, mantiene y administra la información de identidad al
tiempo que proporciona servicios de autenticación, autorización y auditoría.
Con la autenticación moderna, quien proporciona todos los servicios, incluidos todos los
servicios de autenticación, es un proveedor de identidades central. El proveedor de
identidades almacena y administra de forma centralizada la información que se usa para
autenticar el usuario en el servidor.
Con un proveedor de identidades central, las organizaciones pueden establecer

directivas de autenticación y autorización, supervisar el comportamiento de los usuarios,
identificar actividades sospechosas y reducir los ataques malintencionados.
Microsoft Entra ID es un ejemplo de un proveedor de identidades basado en la nube.

Otros ejemplos son Twitter, Google, Amazon, LinkedIn y GitHub.
Pasos siguientes
Lea Introducción a la administración de identidad y acceso para obtener más
información.
Obtenga información sobre el inicio de sesión único (SSO).
Obtenga información sobre la autenticación multifactor (MFA).
¿Qué es la administración de identidad
y acceso (IAM)?
Artículo • 25/10/2023
En este artículo, aprenderá algunos de los conceptos básicos de Administración de

identidad y acceso (IAM), por qué es importante y cómo funciona.
La administración de identidad y acceso garantiza que las personas, máquinas y

componentes de software adecuados obtengan acceso a los recursos correctos en el
momento idóneo. En primer lugar, la persona, la máquina o el componente de software
demuestra que efectivamente es quien dice ser. Luego, a la persona, máquina o
componente de software se le permite o deniega el acceso o uso de determinados
recursos.
Para obtener información sobre los términos y conceptos básicos, consulte Aspectos
básicos de la identidad.
¿Para qué sirve la IAM?

Por lo general, los sistemas IAM proporcionan la siguiente funcionalidad básica:
Administración de identidades: proceso de creación, almacenamiento y

administración de información de identidad. Los proveedores de identidades (IdP)
son soluciones de software que se usan para realizar un seguimiento de las
identidades de usuario y administrarlas. También realizan seguimiento y
administran los permisos y los niveles de acceso asociados a dichas identidades.
Federación de identidades: puede permitir que los usuarios que ya tengan

contraseñas en otro lugar (por ejemplo, en la red empresarial o con un proveedor
de identidades sociales o proveedor de Internet) obtengan acceso al sistema.
Aprovisionamiento y desaprovisionamiento de usuarios: el proceso de creación y

administración de cuentas de usuario, que incluye especificar qué usuarios tienen
acceso a qué recursos y asignar permisos y niveles de acceso.
Autenticación de usuarios: autentica un usuario, máquina o componente de

software al confirmar que efectivamente son quién o lo que dicen ser. Puede
agregar la autenticación multifactor (MFA) para los usuarios individuales para
obtener una mayor seguridad o inicio de sesión único (SSO). De esta forma, podrá
permitir que los usuarios autentiquen su identidad con un portal en lugar de usar
muchos recursos diferentes.
Autorización de usuarios: la autorización garantiza que se concede a un usuario el
nivel exacto y el tipo de acceso a una herramienta a la que tiene derecho de
acceso. Los usuarios también se pueden dividir en grupos o roles, por lo que se
pueden conceder los mismos privilegios a las cohortes grandes de usuarios.
Control de acceso: el proceso para determinar quién o qué tiene acceso a los
recursos. Esto incluye la definición de roles y permisos de usuario, así como la
configuración de mecanismos de autenticación y autorización. Los controles de
acceso regulan el acceso a sistemas y datos.
Informes y supervisión: genere informes después de las acciones realizadas en la

plataforma (como el tiempo de inicio de sesión, los sistemas a los que se accede y
el tipo de autenticación) para garantizar el cumplimiento y evaluar los riesgos de
seguridad. Obtenga información acerca de los patrones de seguridad y de uso del
entorno.
Funcionamiento de IAM
En esta sección, se proporciona información general sobre el proceso de autenticación y
autorización y los estándares comunes.
Autenticación, autorización y acceso a recursos

Supongamos que tiene una aplicación que admite el inicio de sesión de un usuario y,
luego, accede a un recurso protegido.
1. El usuario (propietario del recurso) inicia una solicitud de autenticación con el
proveedor de identidades o el servidor de autorización de la aplicación cliente.
2. Si las credenciales son válidas, el proveedor de identidades o el servidor de

autorización envía primero un token de identificador que contiene información
sobre el usuario a la aplicación cliente.
3. El proveedor de identidades o el servidor de autorización también obtiene el

consentimiento del usuario final y concede la autorización de la aplicación cliente
para acceder al recurso protegido. La autorización se proporciona en un token de
acceso, que también se devuelve a la aplicación cliente.
4. El token de acceso se adjunta a las solicitudes posteriores realizadas al servidor de

recursos protegido de la aplicación cliente.
5. El proveedor de identidades o el servidor de autorización valida el token de

acceso. Si el proceso se realiza correctamente, se concede la solicitud de acceso a
los recursos protegidos y se devuelve una respuesta a la aplicación cliente.
Para más información, lea Autenticación y autorización.
Estándares de autenticación y autorización

Estos son los estándares de autenticación y autorización más conocidos y usados
habitualmente:
OAuth 2.0
OAuth es un protocolo de administración de identidades de estándares abiertos que
proporciona acceso seguro a sitios web, aplicaciones móviles e Internet de las cosas y
otros dispositivos. Usa tókenes cifrados en tránsito y elimina la necesidad de compartir
credenciales. OAuth 2.0, la última versión de OAuth, es un marco popular utilizado por
las principales plataformas de redes sociales y servicios de consumidor, desde Facebook
y LinkedIn hasta Google, PayPal y Netflix. Para más información, lea el artículo sobre el
protocolo OAuth 2.0.
OpenID Connect (OIDC)

Con el lanzamiento de OpenID Connect (que usa el cifrado de clave pública), OpenID se
ha convertido en una capa de autenticación ampliamente adoptada para OAuth. Al igual
que SAML, OpenID Connect (OIDC) se usa ampliamente para el inicio de sesión único
(SSO), pero OIDC usa REST/JSON en lugar de XML. OIDC se ha diseñado para trabajar
con aplicaciones nativas y móviles mediante protocolos REST/JSON. Sin embargo, el
caso de uso principal de SAML corresponde a las aplicaciones basadas en web. Para más
información, lea el artículo sobre el protocolo OpenID Connect.
JSON web tokens (JWTs)

Los JWT son un estándar abierto que define una manera compacta y autónoma para
transmitir información de forma segura entre partes como un objeto JSON. Los JWT se
pueden comprobar y son de confianza porque están firmados digitalmente. Se pueden
usar para pasar la identidad de los usuarios autenticados entre el proveedor de
identidades y el servicio que solicita la autenticación. También se pueden autenticar y
cifrar. Para más información, consulte JSON Web Tokens.
Lenguaje de marcado de aserción de seguridad (SAML)

SAML es un estándar abierto utilizado para intercambiar información de autenticación y
autorización entre, en este caso, una solución IAM y otra aplicación. Este método usa
XML para transmitir datos y suele ser el método utilizado por las plataformas de
administración de identidades y acceso para conceder a los usuarios la capacidad de
iniciar sesión en las aplicaciones que se han integrado con las soluciones de IAM. Para
más información, consulte Protocolo SAML.
System for Cross-Domain Identity Management (SCIM)

Creado para simplificar el proceso de administración de identidades de usuario, el
aprovisionamiento de SCIM permite a las organizaciones operar de forma eficaz en la
nube y agregar o quitar fácilmente usuarios, mejorar los presupuestos, reducir el riesgo
y simplificar los flujos de trabajo. SCIM también facilita la comunicación entre
aplicaciones basadas en la nube. Para más información, lea el artículo sobre Desarrollo y
planeación del aprovisionamiento de un punto de conexión de SCIM.
Web Services Federation (WS-Fed)

WS-Fed fue desarrollado por Microsoft. Asimismo, Microsoft lo usa ampliamente en sus
aplicaciones; este estándar define la forma en que los tókenes de seguridad se pueden
transportar entre diferentes entidades para intercambiar información de identidad y
autorización. Para obtener más información, lea el artículo sobre Protocolo Web Services
Federation.
Pasos siguientes
Para obtener más información, consulte:
Inicio de sesión único (SSO)

Multi-Factor Authentication (MFA)
Autenticación frente a autorización
OAuth 2.0 y OpenID Connect
Tipos de aplicaciones y flujos de autenticación
Tokens de seguridad
Inicio rápido: Creación de un nuevo
inquilino en Microsoft Entra ID
Artículo • 28/11/2023
Puede hacer todas las tareas administrativas mediante el centro de administración de

Microsoft Entra, incluida la creación de un inquilino para su organización.
En este artículo de inicio rápido, obtendrá información sobre cómo acceder a Azure
Portal y a Microsoft Entra ID y sobre cómo crear un inquilino básico para su
organización.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Creación de un inquilino para la organización
 Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde
donde comienza.
Luego de iniciar sesión en Azure portal , puede crear un nuevo inquilino para su
organización. El nuevo inquilino representa a su organización y le ayuda a administrar
una instancia específica de Servicios en la nube de Microsoft para los usuarios internos y
externos.
７ Nota
Si no puede crear un inquilino de Microsoft Entra ID o de Azure AD B2C, revise la

página de configuración del usuario para asegurarse de que la creación de
inquilinos no está desactivada. Si la creación de inquilinos está desactivada, pida al
administrador global que le asigne un rol Creador de inquilinos.
Para crear un inquilino

1. Inicie sesión en Azure Portal .
2. En el menú Azure Portal, seleccione Microsoft Entra ID.
3. Vaya a Identidad>Información general>Administración de inquilinos.

4. Seleccione Crear.
5. En la pestaña Aspectos básicos, seleccione el tipo de inquilino que desea crear, ya

sea Microsoft Entra id. o Microsoft Entra ID (B2C).
6. Seleccione Siguiente: Configuración para ir a la pestaña Configuración.
7. En la pestaña Configuración, escriba la siguiente información:
Escriba el nombre de la Organización que quiera (por ejemplo Organización

Contoso) en la casilla Nombre de la Organización.
Escriba el nombre de dominio inicial que quiera (por ejemplo Contosoorg) en
la casilla Nombre de dominio inicial.
Seleccione el país o región que quiera o deje la opción Estados Unidos en la
casilla País o región.
8. Seleccione Siguiente: Revisar y crear. Revise la información que especificó y, si la

información es correcta, seleccione Crear en la esquina inferior izquierda.
El nuevo inquilino se crea con el dominio contoso.onmicrosoft.com.
Su cuenta de usuario en el nuevo inquilino

Cuando se crea un inquilino de Microsoft Entra AD, usted se convierte en el primer
usuario de ese inquilino. Como primer usuario, se le asigna automáticamente el rol
Administrador global. Para comprobar la cuenta de usuario, vaya a la página Usuarios .
De forma predeterminada, también aparece como contacto técnico del inquilino. La

información de contacto técnico es algo que puede cambiar en Propiedades .
２ Advertencia
Asegúrese de que el directorio tenga al menos dos cuentas que tengan asignados
privilegios de administrador global. Esto le ayudará en caso de que un
administrador global esté bloqueado. Para obtener más información, consulte el
artículo Administración de cuentas de acceso de emergencia en Microsoft
Entra ID.
Limpieza de recursos
Si no va a seguir usando esta aplicación, puede eliminar el inquilino mediante los
siguientes pasos:
Asegúrese de que ha iniciado sesión en el directorio que quiere eliminar mediante

el filtro Directorio y suscripción de Azure Portal. Cambie al directorio de destino si
es necesario.
Seleccione Microsoft Entra ID y, después, en la página Contoso - Información

general, seleccione Eliminar directorio.
El inquilino y su información asociada se eliminan.

Pasos siguientes
Para cambiar o agregar otros nombres de dominio, vea Incorporación de su
nombre de dominio personalizado a Microsoft Entra.
Para agregar usuarios, vea Incorporación o eliminación de un nuevo usuario.
Para agrear grupos y miembros, vea Creación de un grupo básico y adición de

miembros.
Obtenga más información sobre el control de acceso basado en roles de Azure

(RBAC de Azure) y el acceso condicional para ayudarle a administrar el acceso de
su organización a aplicaciones y recursos.
Obtenga información sobre Microsoft Entra ID, incluida la información de licencia

básica, terminología y características asociadas.
Agregue su nombre de dominio
personalizado a su inquilino
Artículo • 28/11/2023
Los inquilinos de Microsoft Entra vienen con un nombre de dominio inicial como,
domainname.onmicrosoft.com . No se puede cambiar ni eliminar el nombre de dominio
inicial, pero se puede agregar el nombre de la organización al dominio inicial. Al agregar

el nombre de dominio personalizado, puede agregar nombres de usuario que sean
familiares para los usuarios, como alain@contoso.com .
Antes de empezar
Para poder agregar un nombre de dominio personalizado, cree el nombre de dominio
con un registrador de dominios. Para un registrador de dominios acreditado, consulte
ICANN: Registradores acreditados .
Cree su directorio
 Sugerencia
donde comienza.
Luego de obtener su nombre de dominio, puede crear su primer directorio. Inicie sesión
en Azure portal para su directorio con una cuenta que tenga el rol Propietario de la
suscripción.
Cree el nuevo directorio siguiendo los pasos descritos en Creación de un nuevo

inquilino para la organización.
） Importante
La persona que crea el inquilino recibe automáticamente privilegios de

Administrador Global. El rol de Administrador Global es altamente privilegiado y
puede agregar administradores adicionales al inquilino.
Para más información sobre los roles de suscripción, consulte Roles de Azure.
 Sugerencia
Si planea federar Windows Server Active Directory local con Microsoft Entra ID,
debe seleccionar Planeo configurar este dominio para el inicio de sesión único
con mi Active Directory local cuando ejecute la herramienta Microsoft Entra
Connect para sincronizar sus directorios.
También debe registrar el mismo nombre de dominio que seleccione para federar
con su directorio local en el paso Microsoft Entra Domain del asistente. Para ver
cómo es esa configuración, consulte Verificar el dominio seleccionado para la
federación. Si no tiene la herramienta Microsoft Entra Connect, puede descargarla
aquí .
Incorporación del nombre de dominio

personalizado
Después de crear el directorio, puede agregar el nombre de dominio personalizado.
） Importante
Al actualizar la información de dominio, es posible que no pueda completar el

proceso y encontrar un mensaje de error de servidor interno HTTP 500. En algunas
condiciones, es posible que se espere este error. Este mensaje puede aparecer si
intenta usar un sufijo DNS protegido. Microsoft solo puede usar los sufijos DNS
protegidos. Si cree que esta operación debe haberse completado correctamente,
póngase en contacto con su representante de Microsoft para obtener ayuda.
1. Inicie sesión en el Centro de administración de Microsoft Entra como

Administrador de nombres de dominio.
2. Vaya a Identidad>Configuración>Nombres de dominio>Agregar dominio

personalizado.
3. En Nombre de dominio personalizado, introduzca el dominio de su organización,
en este ejemplo, contoso.com. Seleccione Agregar dominio.
） Importante
Debe incluir .com, .net o cualquier otra extensión de nivel superior para que
funcione. Al agregar un dominio personalizado, los valores de la Directiva de
Contraseñas se heredarán del dominio inicial.
4. Se agrega el dominio sin comprobar. Aparecerá la página contoso.com mostrando

la información DNS necesaria para validar la propiedad de su dominio. Guarde esta
información.
Adición de la información de DNS al
registrador de dominios
Luego de agregar su nombre de dominio personalizado, debe volver a su registrador de
dominios y agregar la información DNS que copió en el paso anterior. La creación de
este registro TXT o MX para su dominio verifica la propiedad de su nombre de dominio.
Vuelva a su registrador de dominios y cree un nuevo registro TXT o MX para su dominio

basándose en la información DNS copiada. Establezca el período de vida (TTL) en
3600 segundos (60 minutos) y, luego, guarde el registro.
） Importante
Puede registrar tantos nombres de dominio como desee. Sin embargo, cada
dominio tiene su propio registro TXT o MX. Tenga cuidado al introducir la
información en el registrador de dominios. Si escribe por error información
incorrecta o duplicada, deberá esperar hasta que expire el TTL (60 minutos) antes
de volver a intentarlo.
Comprobación del nombre de dominio
personalizado
Luego de registrar su nombre de dominio personalizado, asegúrese de que es válido en
Microsoft Entra. El tiempo de propagación puede ser instantáneo o tardar unos días,
dependiendo del registrador de su dominio.
Siga estos pasos para comprobar el nombre de dominio personalizado:

Administrador de nombres de dominio.
2. Vaya a Identidad>Configuración>Nombres de dominio.
3. En Nombres de dominio personalizado, seleccione el nombre de dominio

personalizado. En este ejemplo, seleccione contoso.com.
4. En la página contoso.com, seleccione Verificar para asegurarse de que su dominio

personalizado está registrado correctamente y es válido.
Problemas comunes de comprobación
Si no puede verificar un nombre de dominio personalizado, pruebe las siguientes
sugerencias:
Espere al menos una hora y vuelva a intentarlo. Los registros DNS deben
propagarse antes de poder verificar el dominio. Este proceso puede tardar una
hora o más.
Asegúrese de que el registro de DNS es correcto. Vuelva al sitio del registrador de

nombres de dominio. Asegúrese de que la entrada está ahí, y que coincide con la
información de entrada DNS proporcionada en el centro de administración de
Microsoft Entra.
Si no puede actualizar el registro en el sitio del registrador, comparta la entrada
con alguien que tenga los permisos para agregar la entrada y comprobar que es
correcta.
Asegúrese de que el nombre de dominio no está en uso en otro directorio. Un

nombre de dominio solo se puede comprobar en un directorio. Si el nombre de
dominio se comprueba actualmente en otro directorio, no se puede comprobar
también en el directorio nuevo. Para corregir este problema de duplicación, debe
eliminar el nombre de dominio en el directorio antiguo. Para más información
sobre la eliminación de nombres de dominio, consulte Administración de nombres
de dominio personalizados.
Asegúrese de que no tiene ningún inquilino de Power BI no administrado. Si los

usuarios han activado Power BI a través del registro de autoservicio y han creado a
un inquilino no administrado para la organización, debe asumir la administración
como administrador interno o externo, mediante PowerShell. Para obtener más
información, consulte Hacerse cargo de un directorio no administrado.
Pasos siguientes
Agregue otro Administrador Global a su directorio. Para más información, consulte
Asignación de roles y administradores.
Agregue usuarios a su dominio. Para más información, consulte Incorporación o

eliminación de usuarios.
Gestione la información de su nombre de dominio en Microsoft Entra ID. Para más

información, consulte Administración de nombres de dominio personalizados.
Si tiene versiones locales de Windows Server que desea usar junto con Microsoft
Entra ID, consulte Integrar sus directorios locales con Microsoft Entra ID.
Asociación o adición de una suscripción
de Azure al inquilino de Microsoft Entra
Artículo • 29/11/2023
Todas las suscripciones de Azure tienen una relación de confianza con un inquilino de
Microsoft Entra. Las suscripciones se basan en este inquilino (directorio) para autenticar
y autorizar entidades de seguridad y dispositivos. Cuando expira una suscripción, la
instancia de confianza se conserva, pero las entidades de seguridad pierden el acceso a
los recursos de Azure. Las suscripciones solo pueden confiar en un único directorio,
mientras que un inquilino de Microsoft Entra puede ser de confianza para varias
suscripciones.
Cuando un usuario se suscribe a un servicio en la nube de Microsoft, se crea un nuevo

inquilino de Microsoft Entra y el usuario se convierte en administrador global. Sin
embargo, cuando un propietario de una suscripción une su suscripción a un inquilino
existente, el propietario no se asigna al rol de administrador global.
Aunque los usuarios solo pueden tener un único directorio principal de autenticación,
los usuarios pueden participar como invitados en varios directorios. Puede ver los
directorios principales e invitados para cada usuario en Microsoft Entra ID.
） Importante
Al asociar una suscripción con otro directorio, los usuarios que tienen roles
asignados mediante el control de acceso basado en rol de Azure pierden el
acceso. Los administradores de suscripciones clásicas, incluidos el administrador y
los coadministradores del servicio, también pierden el acceso.
El traslado del clúster de Azure Kubernetes Service (AKS) a otra suscripción o el

traslado de la suscripción propietaria del clúster a un nuevo inquilino, provoca que
el clúster pierda funcionalidad debido a la pérdida de asignaciones de roles y
derechos de las entidades de servicio. Para obtener más información sobre AKS,
consulte Azure Kubernetes Service (AKS).
Antes de empezar
Para poder asociar o agregar la suscripción, debe seguir los pasos siguientes:
Revise la siguiente lista de cambios que se producirán después de asociar o

agregar su suscripción e infórmese sobre cómo podría verse afectado:
Los usuarios a los que se haya asignado roles mediante Azure RBAC perderán el
acceso.
Tanto el administrador como los coadministradores del servicio perderán el
acceso.
Si tiene almacenes de claves, no podrá acceder a ellos y tendrá que repararlos
después de la asociación.
Si tiene identidades administradas para recursos, como Virtual Machines o Logic
Apps, debe volver a habilitarlas o a crearlas después de la asociación.
Si tiene una instancia de Azure Stack registrada, tendrá que volver a registrarla
después de la asociación.
Para más información, consulte Transferencia de una suscripción de Azure a otro

directorio de Microsoft Entra.
Iniciar sesión con una cuenta que:

Tiene una asignación de rol Propietario para la suscripción. Para más
información sobre la asignación del rol Propietario, consulte Asignaciones de
roles de Azure mediante Azure Portal.
Exista en el directorio actual y en el nuevo directorio. El directorio actual está
asociado a la suscripción. Va a asociar el nuevo directorio a la suscripción. Para
más información sobre cómo obtener acceso a otro directorio, consulte Adición
de usuarios de colaboración B2B de Microsoft Entra en Azure Portal.
Asegúrese de que no usa una suscripción de proveedores de servicios en la
nube de Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una
suscripción interna de Microsoft (MS-AZR-0015P) ni una suscripción a Microsoft
Azure for Students Starter (MS-AZR-0144P).
Asociación de una suscripción a un directorio

Para asociar una suscripción existente con el identificador de Microsoft Entra ID, siga
estos pasos:
1. Inicie sesión en Azure Portal con la asignación de roles Propietario de la

suscripción.
2. Vaya a Suscripciones.
3. Seleccione el nombre de la suscripción que desea usar.
4. Seleccione Cambiar directorio.
5. Revise las advertencias que aparecen y, a continuación, seleccione Cambiar.

Una vez que se cambie el directorio para la suscripción, recibirá un mensaje de
confirmación.
6. Seleccione Cambiar directorios en la página suscripción para ir al nuevo directorio.

Puede tardar varias horas hasta que todo se muestre correctamente. Si parece que
tarda demasiado tiempo, compruebe el filtro de suscripción global. Asegúrese de
que la suscripción que se ha trasladado no esté oculta. Es posible que tenga que
cerrar la sesión de Azure Portal y volver a iniciarla para ver el directorio nuevo.
Cambiar el directorio de suscripción es una operación de nivel de servicio, por lo que no

afecta a la propiedad de facturación de suscripción. Para eliminar el directorio original,
debe transferir la propiedad de facturación de suscripción a un nuevo administrador de
cuenta. Para más información acerca de cómo transferir la propiedad de facturación, vea
Transferencia de la propiedad de una suscripción de Azure a otra cuenta.
Pasos posteriores a la asociación

Después de asociar una suscripción a un directorio diferente, puede que tenga que
realizar las tareas siguientes para reanudar las operaciones:
Si tiene almacenes de claves, debe cambiar el Id. de inquilino del almacén de

claves. Para más información, consulte Cambio del identificador de inquilino de
Key Vault después de mover una suscripción.
Si usaba identidades administradas asignadas por el sistema para los recursos,

debe volver a habilitar estas identidades. Si usaba identidades administradas
asignadas por el usuario, debe volver a crear estas identidades. Después de volver
a habilitar o crear las identidades administradas, debe volver a restablecer los
permisos asignados a esas identidades. Para más información, consulte ¿Qué es
Managed Identities for Azure Resources?
Si ha registrado una instancia de Azure Stack que usa esta suscripción, debe volver
a registrarla. Para más información, consulte Registro de Azure Stack Hub con
Azure.
Para más información, consulte Transferencia de una suscripción de Azure a otro

directorio de Microsoft Entra.
Pasos siguientes
Para crear un nuevo inquilino de Microsoft Entra, consulte Inicio rápido: Creación
de un nuevo inquilino en Microsoft Entra ID.
Para obtener más información sobre cómo controla Microsoft Azure el acceso a los
recursos, vea Roles de Azure, roles de Microsoft Entra y roles de administrador de
la suscripción clásica.
Para más información sobre cómo asignar roles en Microsoft Entra ID, consulte
Asignación de roles de administrador y no administrador a los usuarios con
Microsoft Entra ID.
Agregue la información de privacidad
de su organización a Microsoft Entra
Artículo • 04/12/2023
En este artículo se explica cómo un administrador puede agregar información

relacionada con la privacidad al directorio de una organización, a través del centro de
administración de Microsoft Entra.
Se recomienda agregar su contacto de privacidad global y la declaración de privacidad

de su organización, de modo que los empleados internos e invitados externos puedan
revisar las directivas. Dado que las declaraciones de privacidad se crean de forma única
y específica para cada negocio, es recomendable ponerse en contacto con un abogado
para obtener ayuda.
７ Nota
Para más información sobre cómo ver o eliminar datos personales, consulte
Solicitudes de interesados de datos de Azure para el RGPD. Para más información
sobre RGPD, consulte Información sobre los procedimientos recomendados para
el cumplimiento del RGPD y la sección RGPD del portal de confianza de
servicios .
Incorporación de la información de privacidad

Su privacidad e información técnica se encuentra en el área Propiedades del Centro de
Para acceder al área de propiedades y agregar la

información de privacidad
 Sugerencia
donde comienza.
1. Inicie sesión en el centro de administración de Microsoft Entra como

administrador global.
2. Vaya aPropiedades>Información general>Propiedades.
3. Añada su información de privacidad para sus usuarios:
Contacto técnico. Escriba la dirección de correo electrónico de la persona de

contacto para el soporte técnico de su organización.
Contacto de privacidad global. Escriba la dirección de correo electrónico de

la persona de contacto para consultas sobre privacidad de los datos
personales. Esta persona también es aquella con la que Microsoft se pone en
contacto si se produce una vulneración de datos en relación con los servicios
de Microsoft Entra. Si no aparece ninguna persona aquí, Microsoft se pone en
contacto con los administradores globales. Para obtener información sobre
las notificaciones de incidentes de privacidad relacionados con Microsoft 365,
vea las preguntas frecuentes del centro de mensajes de Microsoft 365.
URL de la declaración de privacidad. Escriba el vínculo del documento de su

organización que describe la forma en que su organización controla la
privacidad de datos interna y externa del invitado.
） Importante
Si no incluye su propia declaración de privacidad o su contacto de

privacidad, los invitados externos verán el texto en el cuadro de diálogo
Permisos de revisión que dice: <nombre de su organización> no ha
proporcionado vínculos de sus términos que pueda revisar. Por
ejemplo, un usuario invitado verá este mensaje cuando reciba una
invitación para acceder a una organización a través de la colaboración
B2B.
4. Seleccione Guardar.
Pasos siguientes
Canje de invitación de colaboración de B2B de Microsoft Entra
Incorporación o modificación de la información de perfil de un usuario en
Microsoft Entra ID
Configuración de la personalización de
marca de la compañía
Artículo • 29/11/2023
Cuando los usuarios se autentican en la intranet corporativa o en aplicaciones basadas

en web, Microsoft Entra ID proporciona el servicio de administración de identidad y
acceso (IAM). Puede agregar personalización de marca de empresa que se aplique a
todas estas experiencias para crear una experiencia de inicio de sesión coherente para
los usuarios.
La experiencia de inicio de sesión predeterminada es la apariencia global y la sensación

que el usuario percibe que se aplica a todos los inicios de sesión en el inquilino. Antes
de personalizar cualquier configuración, la personalización de marca predeterminada de
Microsoft aparece en las páginas de inicio de sesión. Esto se puede personalizar con una
imagen o color de fondo personalizadas, favicono, diseño, encabezado y pie de página.
También puede cargar un archivo CSS personalizado.
７ Nota
Encontrará instrucciones sobre cómo administrar el mensaje "¿Mantener sesión

iniciada?", en el artículo Administrar el mensaje "Mantener sesión iniciada".
Requisitos previos
La adición de personalización de marca requiere una de las siguientes licencias:
Microsoft Entra ID P1 o P2
Office 365 (para aplicaciones de Office)
Para obtener más información sobre las licencias y las ediciones, consulte el artículo
Registrarse para Microsoft Entra ID P1 o P2.
Las ediciones de Microsoft Entra ID P1 o P2 están disponibles para los clientes de China
mediante la instancia mundial de Microsoft Entra ID. Las ediciones de Microsoft Entra ID
P1 o P2 no se admiten actualmente en el servicio de Azure administrado por 21Vianet
en China.
El rol Administrador global es necesario para personalizar la personalización de marca

de la empresa.
Antes de empezar
Todos los elementos de personalización de marca son opcionales. La configuración
predeterminada permanecerá, si se deja sin cambios. Por ejemplo, si especifica un
logotipo de banner sin ninguna imagen de fondo, se mostrará en la página de inicio de
sesión el logotipo con una imagen de fondo predeterminada del sitio de destino, como
Microsoft 365. Además, la personalización de marca de la página de inicio de sesión no
se incluye en las cuentas Microsoft personales. Si los usuarios o invitados se autentican
con una cuenta Microsoft personal, la página de inicio de sesión no refleja la
personalización de marca de la organización.
Las imágenes tienen requisitos de tamaño de archivo e imagen diferentes. Tome nota
de los requisitos de imagen de cada opción. Puede que necesite usar un editor de
fotografía para crear imágenes con el tamaño adecuado. El tipo de imagen preferido
para todas las imágenes es PNG, pero se acepta JPG.
Use Microsoft Graph con la personalización de marca de la empresa de Microsoft

Entra. La personalización de marca de la empresa se puede ver y administrar mediante
Microsoft Graph en el punto de conexión de /beta y el tipo de recurso de
organizationalBranding . Para más información, consulte la documentación de la API de
personalización de marca organizativa.
En el siguiente ejemplo se indican los elementos de personalización de marca. A

continuación de la imagen figuran descripciones de texto.

1. Favicono: icono pequeño que aparece en el lado izquierdo de la pestaña del
explorador.
2. Encabezado: espacio en la parte superior de la página de inicio de sesión, detrás
del registro de encabezado.
3. Logotipo de encabezado: logotipo que aparece en la esquina superior izquierda
de la página de inicio de sesión.
4. Imagen de fondo: Todo el espacio detrás del cuadro de inicio de sesión.
5. Color de fondo de la página: Todo el espacio detrás del cuadro de inicio de sesión.
6. Logotipo de banner: logotipo que aparece en la parte superior del cuadro de
inicio de sesión
7. Título de la página de inicio de sesión: texto más grande que aparece debajo del
logotipo de banner.
8. Descripción de la página de inicio de sesión: texto que describe la página de
inicio de sesión.
9. Sugerencia de nombre de usuario y texto: texto que aparece antes de que un
usuario escriba su información.
10. Autoservicio de restablecimiento de contraseña: un vínculo que puede agregar
debajo del texto de la página de inicio de sesión para restablecer la contraseña.
11. Texto de la página de inicio de sesión: texto que puede agregar debajo del campo
de nombre de usuario.
12. Vínculo de pie de página: Privacidad & Cookies: vínculo que puede agregar a la
esquina inferior derecha para obtener información de privacidad.
13. Pie de página: Términos de uso: texto en la esquina inferior derecha de la página
donde puede añadir información sobre los términos de uso.
14. Pie de página: espacio en la parte inferior de la página para obtener información
de privacidad y los términos de uso.
15. Plantilla: diseño de la página y los cuadros de inicio de sesión.
Experiencia del usuario

Hay algunos escenarios que debe tener en cuenta al personalizar las páginas de inicio
de sesión para las aplicaciones específicas del inquilino de la organización.
Para Microsoft, software como servicio (SaaS) y las aplicaciones multiinquilino como
https://myapps.microsoft.com o https://outlook.com , la página de inicio de sesión
personalizada solo aparece después de que el usuario escriba su correo electrónico o
número de teléfono y seleccione el botón Siguiente.
Algunas aplicaciones de Microsoft admiten la detección del dominio de inicio para la

autenticación. En estos escenarios, cuando un cliente inicia sesión en una página de
inicio de sesión común de Microsoft Entra, Microsoft Entra ID puede usar el nombre de
usuario del cliente para determinar dónde debe iniciar sesión.
Para los clientes que acceden a las aplicaciones desde una dirección URL personalizada,
el parámetro de cadena de consulta whr o una variable de dominio, puede utilizarse
para aplicar la personalización de marca de la empresa en la pantalla de inicio de sesión
inicial, y no solo después de agregar el correo electrónico o el número de teléfono. Por
ejemplo, whr=contoso.com aparecería en la dirección URL personalizada de la aplicación.
Con el parámetro de detección del dominio de inicio y el dominio incluido, la
personalización de marca de la empresa aparece inmediatamente en el primer paso de
inicio de sesión. Se pueden incluir otras sugerencias de dominio.
En los ejemplos siguientes, reemplace contoso.com por su nombre de inquilino o por un

nombre de dominio comprobado:
Para Microsoft Outlook https://outlook.com/contoso.com

Para SharePoint Online https://contoso.sharepoint.com
Para el portal Aplicaciones https://myapps.microsoft.com/?whr=contoso.com
Autoservicio de restablecimiento de contraseña
https://passwordreset.microsoftonline.com/?whr=contoso.com
En el caso de los usuarios finales de colaboración B2B que realizan inicios de sesión
entre inquilinos, aparece su personalización de marca de inquilino principal, incluso si
no se especifica la personalización de marca personalizada.
En el ejemplo siguiente, la personalización de marca de la empresa para

Woodgrove Groceries aparece a la izquierda. En el ejemplo de la derecha se muestra la
personalización de marca predeterminada para el inquilino principal del usuario.
Cómo navegar por el proceso de
personalización de marca de la empresa
 Sugerencia
donde comienza.

2. Vaya a Identidad>Experiencias de usuario>Marca de la compañía.
Si actualmente tiene una experiencia de inicio de sesión personalizada, el

botón Editar está disponible.

El proceso de experiencia de inicio de sesión se agrupa en secciones. Al final de cada

sección, seleccione el botón Revisar y crear para revisar lo que ha seleccionado y enviar
los cambios o el botón Siguiente para pasar a la sección siguiente.
Aspectos básicos
Favicon: seleccione un PNG o JPG del logotipo que aparece en la pestaña del
explorador web.
Imagen de fondo: seleccione un PNG o JPG para mostrarlo como imagen principal
en la página de inicio de sesión. Esta imagen se escala y recorta según el tamaño
de la ventana, pero la solicitud de inicio de sesión puede bloquearla parcialmente.
Color de fondo de página: si la imagen de fondo no se puede cargar debido a una

conexión más lenta, el color de fondo seleccionado aparece en su lugar.
Layout
Plantillas visuales: personalice el diseño de la página de inicio de sesión mediante
plantillas o un archivo CSS personalizado.
Elija una de las dos plantillas: fondo de pantalla completa o parcial. El fondo de
pantalla completa podría ocultar la imagen de fondo, así que elija el fondo de
pantalla parcial si la imagen de fondo es importante.
Los detalles de las opciones Encabezado y Pie de página se establecen en las
dos secciones siguientes del proceso.
CSS personalizado: cargue un archivo CSS personalizado para reemplazar el estilo

predeterminado de Microsoft de la página.
Descargue la plantilla CSS .
Ver la guía de referencia de plantillas CSS.
Encabezado
Si no ha habilitado el encabezado, vaya a la sección Diseño y seleccione Mostrar
encabezado. Una vez habilitado, seleccione un PNG o JPG para mostrarlo en el
encabezado de la página de inicio de sesión.
Pie de página
Si no ha habilitado el pie de página, vaya a la sección Diseño y seleccione Mostrar pie
de página. Una vez habilitado, ajuste la siguiente configuración.
Mostrar "Privacidad & cookies": esta opción está seleccionada de forma

predeterminada y muestra el vínculo "Privacidad & cookies" de Microsoft .
Desactive esta opción para ocultar el vínculo predeterminado de Microsoft.

Opcionalmente, proporcione su propio Texto para mostrar y Dirección URL. El
texto y los vínculos no tienen que estar relacionados con la privacidad y las
cookies.
Mostrar "Términos de uso": esta opción también se selecciona de forma

predeterminada y muestra el vínculo de "Términos de uso" de Microsoft .
Desactive esta opción para ocultar el vínculo predeterminado de Microsoft.

Opcionalmente, proporcione su propio Texto para mostrar y Dirección URL. El
texto y los vínculos no tienen que estar relacionados con sus términos de uso.
） Importante
El vínculo predeterminado "Términos de uso" de Microsoft no es el mismo

que los términos de uso del acceso condicional. Ver los términos aquí no
significa que haya aceptado esos términos y condiciones.
Formulario de inicio de sesión
Logotipo de banner: seleccione un archivo de imagen PNG o JPG de un logotipo
de tamaño de banner (corto y ancho) para que aparezca en las páginas de inicio
de sesión.
Logotipo cuadrado (tema claro): seleccione un archivo de imagen PNG cuadrado

o JPG del logotipo que se usará en exploradores que usan un tema de color claro.
Este logotipo se usa para representar su organización en la interfaz web de
Microsoft Entra y en Windows.
Logotipo cuadrado (tema oscuro): seleccione un archivo de imagen PNG

cuadrado o JPG del logotipo que se usará en exploradores que usan un tema de
color oscuro. Este logotipo se usa para representar su organización en la interfaz
web de Microsoft Entra y en Windows. Si el logotipo se ve bien en fondos claros y
oscuros, no es necesario agregar un logotipo de tema oscuro.
Texto de la sugerencia de nombre de usuario: escriba el texto de la sugerencia

para el campo de entrada de nombre de usuario en la página de inicio de sesión.
Si los invitados usan la misma página de inicio de sesión, no se recomienda usar el
texto de sugerencia aquí.
Texto de la página de inicio de sesión: escriba el texto que aparece en la parte

inferior de la página de inicio de sesión. Puede usar este texto para comunicar
información adicional, como el número de teléfono de su departamento de
soporte técnico o una declaración legal. Esta página es pública, por lo que no
proporcione información confidencial aquí. Este texto debe ser Unicode y no
superar los 1024 caracteres.
Para comenzar un párrafo nuevo, use la tecla Intro dos veces. También puede
cambiar el formato del texto para incluir negrita, cursiva, un subrayado o un enlace
en el que se pueda hacer clic. Use la siguiente sintaxis para agregar formato al
texto:
Hipervínculo: [text](link)
Negrita: **text** o __text__
Cursiva: *text* o _text_
Subrayado: ++text++
） Importante
Los hipervínculos que se agregan al texto de página de inicio de sesión se

representan como texto en entornos nativos, como en aplicaciones móviles y
de escritorio.
Autoservicio de restablecimiento de contraseña:

Mostrar autoservicio de restablecimiento de contraseña (SSPR): active la casilla
para activar SSPR.
Dirección URL común: escriba la dirección URL de destino en que los usuarios
restablecen sus contraseñas. Esta dirección URL aparece en las pantallas de
recopilación de nombres de usuario y contraseña.
Texto para mostrar de la recopilación de nombres de usuario: reemplace el texto
predeterminado por su propio texto de recopilación de nombre de usuario
personalizado.
Texto para mostrar de la recopilación de contraseñas: reemplace el texto
predeterminado por su propio texto de recopilación de contraseñas de cliente.
Revisar
Todas las opciones disponibles aparecen en una lista para que pueda revisar todo lo que
ha personalizado o dejado en la configuración predeterminada. Cuando haya
terminado, seleccione el botón Crear.
Una vez creada la experiencia de inicio de sesión predeterminada, seleccione el botón

Editar para realizar los cambios. No se puede eliminar una experiencia de inicio de
sesión predeterminada después de crearla, pero puede quitar toda la configuración
personalizada.
Personalización de la experiencia de inicio de sesión por

idioma del explorador
Puede crear una experiencia de inicio de sesión personalizada para los usuarios que
inician sesión mediante un idioma del navegador específico, personalizando los
elementos de marca para este idioma del explorador. Esta personalización invalida las
configuraciones realizadas en la personalización de marca predeterminada. Si no realiza
ningún cambio en los elementos se muestran los elementos predeterminados.

2. Vaya a Identidad>Experiencias de usuario>Marca de la compañía.
3. Seleccione Añadir idioma del explorador.
El proceso para personalizar la experiencia es el mismo que el de la experiencia de inicio

de sesión predeterminada, excepto si selecciona un idioma en la lista desplegable de la
sección Aspectos básicos. Se recomienda agregar texto personalizado en las mismas
áreas que la experiencia de inicio de sesión predeterminada.
Microsoft Entra ID admite la funcionalidad de derecha a izquierda para idiomas como

árabe y hebreo que se leen de derecha a izquierda. El diseño se ajusta automáticamente,
en función de la configuración del explorador del usuario.
Pasos siguientes
Ver la guía de referencia de plantillas CSS
Más información sobre los permisos de usuario predeterminados en Microsoft
Entra ID.
Administrar el mensaje "mantener sesión iniciada"
Artículo • 26/10/2023
Se ha cambiado el nombre de Azure Active Directory (Azure AD) a Microsoft Entra ID

para comunicar mejor la funcionalidad multinube y multiplataforma del producto y
unificar la nomenclatura de la familia de productos de Microsoft Entra.
En este artículo se proporcionan los procedimientos recomendados y soporte técnico

para clientes y organizaciones que desean actualizar su documentación o contenido con
el nuevo nombre e icono del producto.
Requisitos previos
Antes de cambiar las instancias de Azure AD a Microsoft Entra ID en la documentación o
el contenido, familiarícese con las instrucciones de Nuevo nombre para Azure AD para:
Comprender el nombre del producto y por qué hemos realizado el cambio

Descargar el nuevo icono de producto
Obtener una lista de nombres que no cambiarán
Obtener respuestas a las preguntas más frecuentes y más
Evaluar y determinar el ámbito de las

actualizaciones de cambio de nombre del
contenido
Auditar sus experiencias para buscar referencias a Azure AD y sus iconos.
Examine el contenido para identificar referencias a Azure AD y sus sinónimos. Compile

una lista detallada de todas las instancias.
Busque los términos siguientes: Azure Active Directory (Azure AD) , Azure Active
Directory , Azure AD y AAD
Busque gráficos con el icono de Azure AD ( ) para reemplazarlos por el
icono de Microsoft Entra ID ( )
Puede descargar el nuevo icono de Microsoft Entra ID aquí: Iconos de arquitectura de

Microsoft Entra
Identificar excepciones en la lista:
No realice cambios importantes.

Revise la sección ¿Qué nombres no cambian? en la guía de nomenclatura y
observe qué terminología de Azure AD no cambia.
No cambiar las instancias de Active Directory . Solo se cambia el nombre de
Azure Active Directory , no Active Directory , que es el nombre abreviado de un
producto diferente, Windows Server Active Directory.
Evalúe y priorice en función del uso futuro. Tenga en cuenta qué contenido debe
actualizarse en función de si está orientado al usuario o tiene una amplia visibilidad
dentro de su organización, audiencia o base de clientes. Puede decidir que algún código
o contenido no necesita actualizarse si tiene una exposición limitada a los usuarios
finales.
Decida si el contenido con fecha existente, como vídeos o blogs, merece la pena
actualizarse para futuros espectadores. Está bien no cambiar el nombre del contenido
antiguo. Para ayudar a los usuarios finales, es posible que quiera agregar una
declinación de responsabilidades, como "Azure AD ahora es Microsoft Entra ID".
Actualización de la nomenclatura en el
contenido
Actualice el contenido y las experiencias de la organización mediante las herramientas
pertinentes.
Cómo usar "buscar y reemplazar" para el contenido

basado en texto
1. Casi todas las herramientas de edición ofrecen la funcionalidad "buscar y
reemplazar", ya sea de forma nativa o mediante complementos. Use su aplicación
preferida.
2. Use "buscar y reemplazar" para buscar las cadenas Azure Active Directory (Azure
AD) , Azure Active Directory , Azure AD y AAD .
3. No reemplace todas las instancias por Microsoft Entra ID.
4. Revise si cada instancia hace referencia al producto o a una característica del

producto.
Azure AD como nombre del producto solo debería reemplazarse por
Microsoft Entra ID.
Las características o funcionalidades de Azure AD se convierten en
características o funcionalidades de Microsoft Entra. Por ejemplo, “Acceso
condicional de Azure AD” se transforma en “Acceso condicional de
Microsoft Entra”.
Automatización de la edición masiva mediante código

personalizado
Utilice los siguientes criterios para determinar qué cambios necesita realizar en las
instancias de Azure Active Directory (Azure AD) , Azure Active Directory , Azure AD y
AAD .
1. Si la cadena de texto se encuentra en el diccionario de nombres de términos

anteriores, cámbiela al término nuevo.
2. Si una marca de puntuación sigue a Azure Active Directory (Azure AD) , Azure
Active Directory , Azure AD , o AAD , reemplace con Microsoft Entra ID porque es
el nombre del producto.
3. Si Azure Active Directory (Azure AD) , Azure Active Directory , Azure AD o AAD ,
va seguido de for , Premium , Plan , P1 , o P2 , reemplace por Microsoft Entra ID
porque hace referencia a un nombre de SKU o a un plan de servicio.
4. Si un artículo ( a , an o the ) o posesivo ( your o your organization's ) precede a

( Azure Active Directory (Azure AD) , Azure Active Directory , Azure AD o AAD ),
reemplace por Microsoft Entra porque es un nombre de característica. Por
ejemplo:
a. "un inquilino de Azure AD" se convierte en "un inquilino de Microsoft Entra"
b. "el inquilino de Azure AD de la organización" se convierte en "su inquilino de
Microsoft Entra"
5. Si Azure Active Directory (Azure AD) , Azure Active Directory , Azure AD , o AAD
va seguido de un adjetivo o nombre no en los pasos anteriores, reemplace por
Microsoft Entra porque es un nombre de característica. Por ejemplo, Azure AD
Conditional Access se convierte en Microsoft Entra Conditional Access y Azure
AD tenant se convierte en Microsoft Entra tenant .
6. De lo contrario, reemplace Azure Active Directory (Azure AD) , Azure Active

Directory , Azure AD , o AAD por Microsoft Entra ID .
Consulte la sección Glosario de terminología actualizada para refinar aún más la lógica
personalizada.
Actualizar gráficos e iconos

1. Reemplace el icono de Azure AD por el icono de Microsoft Entra ID.
2. Reemplace títulos o texto que contenga Azure Active Directory (Azure AD) , Azure
Active Directory , Azure AD , o AAD por Microsoft Entra ID .
Script de PowerShell de ejemplo

Se puede usar el siguiente script de PowerShell como línea de base para cambiar el
nombre de las referencias de Azure AD en la documentación o el contenido. Este
ejemplo de código:
Examina los archivos .resx dentro de una carpeta especificada y todas las
carpetas anidadas.
Edita los archivos reemplazando las referencias a Azure Active Directory (Azure
AD) , Azure Active Directory , Azure AD o AAD por la terminología correcta según
Nuevo nombre para Azure AD.
Edite el script de línea de base según sus necesidades y el ámbito de los archivos que
necesite actualizar. Es posible que tenga que tener en cuenta los casos perimetrales y
modificar el script según cómo haya definido los mensajes en los archivos de origen. El
script no está totalmente automatizado. Si se usa el script tal cual, se deben revisar las
salidas y es posible que se tengan que realizar ajustes adicionales para seguir las
instrucciones de Nuevo nombre para Azure AD.
PowerShell
# Define the old and new terminology

$terminology = @(
@{ Key = 'Azure AD External Identities'; Value = 'Microsoft Entra
External ID' },
@{ Key = 'Azure AD Identity Governance'; Value = 'Microsoft Entra ID
Governance' },
@{ Key = 'Azure AD Verifiable Credentials'; Value = 'Microsoft Entra
Verified ID' },
@{ Key = 'Azure AD Workload Identities'; Value = 'Microsoft Entra
Workload ID' },
@{ Key = 'Azure AD Domain Services'; Value = 'Microsoft Entra Domain
Services' },
@{ Key = 'Azure AD access token authentication'; Value = 'Microsoft
Entra access token authentication' },
@{ Key = 'Azure AD admin center'; Value = 'Microsoft Entra admin center'
},
@{ Key = 'Azure AD portal'; Value = 'Microsoft Entra admin center' },
@{ Key = 'Azure AD application proxy'; Value = 'Microsoft Entra
application proxy' },
@{ Key = 'Azure AD authentication'; Value = 'Microsoft Entra
authentication' },
@{ Key = 'Azure AD Conditional Access'; Value = 'Microsoft Entra
Conditional Access' },
@{ Key = 'Azure AD cloud-only identities'; Value = 'Microsoft Entra
cloud-only identities' },
@{ Key = 'Azure AD Connect'; Value = 'Microsoft Entra Connect' },
@{ Key = 'AD Connect'; Value = 'Microsoft Entra Connect' },
@{ Key = 'AD Connect Sync'; Value = 'Microsoft Entra Connect Sync' },
@{ Key = 'Azure AD Connect Sync'; Value = 'Microsoft Entra Connect Sync'
},
@{ Key = 'Azure AD domain'; Value = 'Microsoft Entra domain' },
@{ Key = 'Azure AD Domain Services'; Value = 'Microsoft Entra Domain
Services' },
@{ Key = 'Azure AD Enterprise Applications'; Value = 'Microsoft Entra
enterprise applications' },
@{ Key = 'Azure AD federation services'; Value = 'Active Directory
Federation Services' },
@{ Key = 'Azure AD hybrid identities'; Value = 'Microsoft Entra hybrid
identities' },
@{ Key = 'Azure AD identities'; Value = 'Microsoft Entra identities' },
@{ Key = 'Azure AD role'; Value = 'Microsoft Entra role' },
@{ Key = 'Azure AD'; Value = 'Microsoft Entra ID' },
@{ Key = 'AAD'; Value = 'ME-ID' },
@{ Key = 'Azure AD auth'; Value = 'Microsoft Entra auth' },
@{ Key = 'Azure AD-only auth'; Value = 'Microsoft Entra-only auth' },
@{ Key = 'Azure AD object'; Value = 'Microsoft Entra object' },
@{ Key = 'Azure AD identity'; Value = 'Microsoft Entra identity' },
@{ Key = 'Azure AD schema'; Value = 'Microsoft Entra schema' },
@{ Key = 'Azure AD seamless single sign-on'; Value = 'Microsoft Entra
seamless single sign-on' },
@{ Key = 'Azure AD self-service password reset'; Value = 'Microsoft
Entra self-service password reset' },
@{ Key = 'Azure AD SSPR'; Value = 'Microsoft Entra SSPR' },
@{ Key = 'Azure AD group'; Value = 'Microsoft Entra group' },
@{ Key = 'Azure AD login'; Value = 'Microsoft Entra login' },
@{ Key = 'Azure AD managed'; Value = 'Microsoft Entra managed' },
@{ Key = 'Azure AD entitlement'; Value = 'Microsoft Entra entitlement'
},
@{ Key = 'Azure AD access review'; Value = 'Microsoft Entra access
review' },
@{ Key = 'Azure AD Identity Protection'; Value = 'Microsoft Entra ID
Protection' },
@{ Key = 'Azure AD pass-through'; Value = 'Microsoft Entra pass-through'
},
@{ Key = 'Azure AD password'; Value = 'Microsoft Entra password' },
@{ Key = 'Azure AD Privileged Identity Management'; Value = 'Microsoft
Entra Privilegd Identity Management' },
@{ Key = 'Azure AD registered'; Value = 'Microsoft Entra registered' },
@{ Key = 'Azure AD reporting and monitoring'; Value = 'Microsoft Entra
reporting and monitoring' },
@{ Key = 'Azure AD enterprise app'; Value = 'Microsoft Entra enterprise
app' },
@{ Key = 'Azure AD cloud-only identities'; Value = 'Microsoft Entra
cloud-only identities' },
@{ Key = 'Cloud Knox'; Value = 'Microsoft Entra Permissions Management'
},
@{ Key = 'Azure AD Premium P1'; Value = 'Microsoft Entra ID P1' },
@{ Key = 'AD Premium P1'; Value = 'Microsoft Entra ID P1' },
@{ Key = 'Azure AD Premium P2'; Value = 'Microsoft Entra ID P2' },
@{ Key = 'AD Premium P2'; Value = 'Microsoft Entra ID P2' },
@{ Key = 'Azure AD F2'; Value = 'Microsoft Entra ID F2' },
@{ Key = 'Azure AD Free'; Value = 'Microsoft Entra ID Free' },
@{ Key = 'Azure AD for education'; Value = 'Microsoft Entra ID for
education' },
@{ Key = 'Azure AD work or school account'; Value = 'Microsoft Entra
work or school account' },
@{ Key = 'federated with Azure AD'; Value = 'federated with Microsoft
Entra' },
@{ Key = 'Hybrid Azure AD Join'; Value = 'Microsoft Entra hybrid join'
},
@{ Key = 'Azure Active Directory External Identities'; Value =
'Microsoft Entra External ID' },
@{ Key = 'Azure Active Directory Identity Governance'; Value =
'Microsoft Entra ID Governance' },
@{ Key = 'Azure Active Directory Verifiable Credentials'; Value =
'Microsoft Entra Verified ID' },
@{ Key = 'Azure Active Directory Workload Identities'; Value =
'Microsoft Entra Workload ID' },
@{ Key = 'Azure Active Directory Domain Services'; Value = 'Microsoft
Entra Domain Services' },
@{ Key = 'Azure Active Directory access token authentication'; Value =
'Microsoft Entra access token authentication' },
@{ Key = 'Azure Active Directory admin center'; Value = 'Microsoft Entra
admin center' },
@{ Key = 'Azure Active Directory portal'; Value = 'Microsoft Entra admin
center' },
@{ Key = 'Azure Active Directory application proxy'; Value = 'Microsoft
Entra application proxy' },
@{ Key = 'Azure Active Directory authentication'; Value = 'Microsoft
Entra authentication' },
@{ Key = 'Azure Active Directory Conditional Access'; Value = 'Microsoft
Entra Conditional Access' },
@{ Key = 'Azure Active Directory cloud-only identities'; Value =
'Microsoft Entra cloud-only identities' },
@{ Key = 'Azure Active Directory Connect'; Value = 'Microsoft Entra
Connect' },
@{ Key = 'Azure Active Directory Connect Sync'; Value = 'Microsoft Entra
Connect Sync' },
@{ Key = 'Azure Active Directory domain'; Value = 'Microsoft Entra
domain' },
domain' },
@{ Key = 'Azure Active Directory Domain Services'; Value = 'Microsoft
Entra Domain Services' },
@{ Key = 'Azure Active Directory Enterprise Applications'; Value =
'Microsoft Entra enterprise applications' },
@{ Key = 'Azure Active Directory federation services'; Value = 'Active
Directory Federation Services' },
@{ Key = 'Azure Active Directory hybrid identities'; Value = 'Microsoft
Entra hybrid identities' },
@{ Key = 'Azure Active Directory identities'; Value = 'Microsoft Entra
identities' },
@{ Key = 'Azure Active Directory role'; Value = 'Microsoft Entra role'
},
@{ Key = 'Azure Active Directory'; Value = 'Microsoft Entra ID' },
@{ Key = 'Azure Active Directory auth'; Value = 'Microsoft Entra auth'
},
@{ Key = 'Azure Active Directory-only auth'; Value = 'Microsoft Entra-
only auth' },
@{ Key = 'Azure Active Directory object'; Value = 'Microsoft Entra
object' },
@{ Key = 'Azure Active Directory identity'; Value = 'Microsoft Entra
identity' },
@{ Key = 'Azure Active Directory schema'; Value = 'Microsoft Entra
schema' },
@{ Key = 'Azure Active Directory seamless single sign-on'; Value =
'Microsoft Entra seamless single sign-on' },
@{ Key = 'Azure Active Directory self-service password reset'; Value =
'Microsoft Entra self-service password reset' },
@{ Key = 'Azure Active Directory SSPR'; Value = 'Microsoft Entra SSPR'
},
@{ Key = 'Azure Active Directory SSPR'; Value = 'Microsoft Entra SSPR'
},
domain' },
@{ Key = 'Azure Active Directory group'; Value = 'Microsoft Entra group'
},
@{ Key = 'Azure Active Directory login'; Value = 'Microsoft Entra login'
},
@{ Key = 'Azure Active Directory managed'; Value = 'Microsoft Entra
managed' },
@{ Key = 'Azure Active Directory entitlement'; Value = 'Microsoft Entra
entitlement' },
@{ Key = 'Azure Active Directory access review'; Value = 'Microsoft
Entra access review' },
@{ Key = 'Azure Active Directory Identity Protection'; Value =
'Microsoft Entra ID Protection' },
@{ Key = 'Azure Active Directory pass-through'; Value = 'Microsoft Entra
pass-through' },
@{ Key = 'Azure Active Directory password'; Value = 'Microsoft Entra
password' },
@{ Key = 'Azure Active Directory Privileged Identity Management'; Value
= 'Microsoft Entra Privilegd Identity Management' },
@{ Key = 'Azure Active Directory registered'; Value = 'Microsoft Entra
registered' },
@{ Key = 'Azure Active Directory reporting and monitoring'; Value =
'Microsoft Entra reporting and monitoring' },
@{ Key = 'Azure Active Directory enterprise app'; Value = 'Microsoft
Entra enterprise app' },
@{ Key = 'Azure Active Directory cloud-only identities'; Value =
'Microsoft Entra cloud-only identities' },
@{ Key = 'Azure Active Directory Premium P1'; Value = 'Microsoft Entra
ID P1' },
@{ Key = 'Azure Active Directory Premium P2'; Value = 'Microsoft Entra
ID P2' },
@{ Key = 'Azure Active Directory F2'; Value = 'Microsoft Entra ID F2' },
@{ Key = 'Azure Active Directory Free'; Value = 'Microsoft Entra ID
Free' },
@{ Key = 'Azure Active Directory for education'; Value = 'Microsoft
Entra ID for education' },
@{ Key = 'Azure Active Directory work or school account'; Value =
'Microsoft Entra work or school account' },
@{ Key = 'federated with Azure Active Directory'; Value = 'federated
with Microsoft Entra' },
@{ Key = 'Hybrid Azure Active Directory Join'; Value = 'Microsoft Entra
hybrid join' },
@{ Key = 'AAD External Identities'; Value = 'Microsoft Entra External
ID' },
@{ Key = 'AAD Identity Governance'; Value = 'Microsoft Entra ID
Governance' },
@{ Key = 'AAD Verifiable Credentials'; Value = 'Microsoft Entra Verified
ID' },
@{ Key = 'AAD Workload Identities'; Value = 'Microsoft Entra Workload
ID' },
@{ Key = 'AAD Domain Services'; Value = 'Microsoft Entra Domain
Services' },
@{ Key = 'AAD access token authentication'; Value = 'Microsoft Entra
access token authentication' },
@{ Key = 'AAD admin center'; Value = 'Microsoft Entra admin center' },
@{ Key = 'AAD portal'; Value = 'Microsoft Entra admin center' },
@{ Key = 'AAD application proxy'; Value = 'Microsoft Entra application
proxy' },
@{ Key = 'AAD authentication'; Value = 'Microsoft Entra authentication'
},
@{ Key = 'AAD Conditional Access'; Value = 'Microsoft Entra Conditional
Access' },
@{ Key = 'AAD cloud-only identities'; Value = 'Microsoft Entra cloud-
only identities' },
@{ Key = 'AAD Connect'; Value = 'Microsoft Entra Connect' },
@{ Key = 'AAD Connect Sync'; Value = 'Microsoft Entra Connect Sync' },
@{ Key = 'AAD domain'; Value = 'Microsoft Entra domain' },
@{ Key = 'AAD Domain Services'; Value = 'Microsoft Entra Domain
Services' },
@{ Key = 'AAD Enterprise Applications'; Value = 'Microsoft Entra
enterprise applications' },
@{ Key = 'AAD federation services'; Value = 'Active Directory Federation
Services' },
@{ Key = 'AAD hybrid identities'; Value = 'Microsoft Entra hybrid
identities' },
@{ Key = 'AAD identities'; Value = 'Microsoft Entra identities' },
@{ Key = 'AAD role'; Value = 'Microsoft Entra role' },
@{ Key = 'AAD'; Value = 'Microsoft Entra ID' },
@{ Key = 'AAD auth'; Value = 'Microsoft Entra auth' },
@{ Key = 'AAD-only auth'; Value = 'Microsoft Entra-only auth' },
@{ Key = 'AAD object'; Value = 'Microsoft Entra object' },
@{ Key = 'AAD identity'; Value = 'Microsoft Entra identity' },
@{ Key = 'AAD schema'; Value = 'Microsoft Entra schema' },
@{ Key = 'AAD seamless single sign-on'; Value = 'Microsoft Entra
seamless single sign-on' },
@{ Key = 'AAD self-service password reset'; Value = 'Microsoft Entra
self-service password reset' },
@{ Key = 'AAD SSPR'; Value = 'Microsoft Entra SSPR' },
@{ Key = 'AAD SSPR'; Value = 'Microsoft Entra SSPR' },
@{ Key = 'AAD group'; Value = 'Microsoft Entra group' },
@{ Key = 'AAD login'; Value = 'Microsoft Entra login' },
@{ Key = 'AAD managed'; Value = 'Microsoft Entra managed' },
@{ Key = 'AAD entitlement'; Value = 'Microsoft Entra entitlement' },
@{ Key = 'AAD access review'; Value = 'Microsoft Entra access review' },
@{ Key = 'AAD Identity Protection'; Value = 'Microsoft Entra ID
Protection' },
@{ Key = 'AAD pass-through'; Value = 'Microsoft Entra pass-through' },
@{ Key = 'AAD password'; Value = 'Microsoft Entra password' },
@{ Key = 'AAD Privileged Identity Management'; Value = 'Microsoft Entra
Privilegd Identity Management' },
@{ Key = 'AAD registered'; Value = 'Microsoft Entra registered' },
@{ Key = 'AAD reporting and monitoring'; Value = 'Microsoft Entra
reporting and monitoring' },
@{ Key = 'AAD enterprise app'; Value = 'Microsoft Entra enterprise app'
},
@{ Key = 'AAD cloud-only identities'; Value = 'Microsoft Entra cloud-
only identities' },
@{ Key = 'AAD Premium P1'; Value = 'Microsoft Entra ID P1' },
@{ Key = 'AAD Premium P2'; Value = 'Microsoft Entra ID P2' },
@{ Key = 'AAD F2'; Value = 'Microsoft Entra ID F2' },
@{ Key = 'AAD Free'; Value = 'Microsoft Entra ID Free' },
@{ Key = 'AAD for education'; Value = 'Microsoft Entra ID for education'
},
@{ Key = 'AAD work or school account'; Value = 'Microsoft Entra work or
school account' },
@{ Key = 'federated with AAD'; Value = 'federated with Microsoft Entra'
},
@{ Key = 'Hybrid AAD Join'; Value = 'Microsoft Entra hybrid join' }
)
$postTransforms = @(
@{ Key = 'Microsoft Entra ID B2C'; Value = 'Azure AD B2C' },
@{ Key = 'Microsoft Entra ID B2B'; Value = 'Microsoft Entra B2B' },
@{ Key = 'ME-ID B2C'; Value = 'AAD B2C' },
@{ Key = 'ME-ID B2B'; Value = 'Microsoft Entra B2B' },
@{ Key = 'ME-IDSTS'; Value = 'AADSTS' },
@{ Key = 'ME-ID Connect'; Value = 'Microsoft Entra Connect' }
@{ Key = 'Microsoft Entra ID tenant'; Value = 'Microsoft Entra tenant' }
@{ Key = 'Microsoft Entra ID organization'; Value = 'Microsoft Entra
tenant' }
@{ Key = 'Microsoft Entra ID account'; Value = 'Microsoft Entra account'
}
@{ Key = 'Microsoft Entra ID resources'; Value = 'Microsoft Entra
resources' }
@{ Key = 'Microsoft Entra ID admin'; Value = 'Microsoft Entra admin' }
@{ Key = ' an Microsoft Entra'; Value = ' a Microsoft Entra' }
@{ Key = '>An Microsoft Entra'; Value = '>A Microsoft Entra' }
@{ Key = ' an ME-ID'; Value = ' a ME-ID' }
@{ Key = '>An ME-ID'; Value = '>A ME-ID' }
@{ Key = 'Microsoft Entra ID administration portal'; Value = 'Microsoft
Entra administration portal' }
@{ Key = 'Microsoft Entra ID Advanced Threat'; Value = 'Azure Advanced
Threat' }
@{ Key = 'Entra ID hybrid join'; Value = 'Entra hybrid join' }
@{ Key = 'Microsoft Entra ID join'; Value = 'Microsoft Entra join' }
@{ Key = 'ME-ID join'; Value = 'Microsoft Entra join' }
@{ Key = 'Microsoft Entra ID service principal'; Value = 'Microsoft
Entra service principal' }
@{ Key = 'Download Microsoft Entra Connector'; Value = 'Download
connector' }
@{ Key = 'Microsoft Microsoft'; Value = 'Microsoft' }
)
# Sort the replacements by the length of the keys in descending order

$terminology = $terminology.GetEnumerator() | Sort-Object -Property {
$_.Key.Length } -Descending
$postTransforms = $postTransforms.GetEnumerator() | Sort-Object -Property {
$_.Key.Length } -Descending
# Get all resx files in the current directory and its subdirectories,
ignoring .gitignored files.
Write-Host "Getting all resx files in the current directory and its
subdirectories, ignoring .gitignored files."
$gitIgnoreFiles = Get-ChildItem -Path . -Filter .gitignore -Recurse
$targetFiles = Get-ChildItem -Path . -Include *.resx -Recurse
$filteredFiles = @()
foreach ($file in $targetFiles) {
$ignoreFile = $gitIgnoreFiles | Where-Object { $_.DirectoryName -eq
$file.DirectoryName }
if ($ignoreFile) {
$excludedPatterns = Get-Content $ignoreFile.FullName | Select-String
-Pattern '^(?!#).*' | ForEach-Object { $_.Line }
if ($excludedPatterns -notcontains $file.Name) {
$filteredFiles += $file
}
}
else {
$filteredFiles += $file
}
}
$scriptPath = $MyInvocation.MyCommand.Path
$filteredFiles = $filteredFiles | Where-Object { $_.FullName -ne $scriptPath
}
# This command will get all the files with the extensions .resx in the
current directory and its subdirectories, and then filter out those that
match the patterns in the .gitignore file. The Resolve-Path cmdlet will find
the full path of the .gitignore file, and the Get-Content cmdlet will read
its content as a single string. The -notmatch operator will compare the full
name of each file with the .gitignore content using regular expressions, and
return only those that do not match.
Write-Host "Found $($filteredFiles.Count) files."
function Update-Terminology {
param (
[Parameter(Mandatory = $true)]
[ref]$Content,
[Parameter(Mandatory = $true)]
[object[]]$Terminology
)
foreach ($item in $Terminology.GetEnumerator()) {

$old = [regex]::Escape($item.Key)
$new = $item.Value
$toReplace = '(?<!(name=\"[^$]{1,100}|https?://aka.ms/[a-z0-9/-]
{1,100}))' + $($old)
# Replace the old terminology with the new one

$Content.Value = $Content.Value -replace $toReplace, $new
}
}
# Loop through each file

foreach ($file in $filteredFiles) {
# Read the content of the file
$content = Get-Content $file.FullName
Write-Host "Processing $file"
Update-Terminology -Content ([ref]$content) -Terminology $terminology

Update-Terminology -Content ([ref]$content) -Terminology $postTransforms
$newContent = $content -join "`n"

if ($newContent -ne (Get-Content $file.FullName -Raw)) {
Write-Host "Updating $file"
# Write the updated content back to the file
Set-Content -Path $file.FullName -Value $newContent
}
}
Comunicar el cambio a los clientes

Para ayudar a los clientes con la transición, resulta útil agregar una nota:
"Azure Active Directory ahora es Microsoft Entra ID" o seguir el nuevo nombre con
"anteriormente Azure Active Directory" durante el primer año.
Pasos siguientes
Mantenerse al día con las novedades de Microsoft Entra ID (anteriormente Azure
AD)
Introducción al uso de Microsoft Entra ID en el Centro de administración de
Microsoft Entra
Obtener más información sobre Microsoft Entra con contenido de Microsoft Learn
Comentarios
¿Le ha resultado útil esta página?  Sí  No
Proporcionar comentarios sobre el producto | Obtener ayuda en Microsoft Q&A

Sacar el máximo partido a la
documentación de Microsoft Entra
Artículo • 06/12/2023
En la documentación de Microsoft Entra, puede que observe algunos cambios en cómo

se explican las cosas. Estos cambios están diseñados para ayudarle a mejorar su
seguridad y facilitar la navegación.
Privilegio mínimo
A medida que la organización comienza a administrar Microsoft Entra, la
documentación orienta a los administradores sobre el uso de un concepto denominado
"privilegios mínimos", por el que los administradores solo usan el rol necesario para
realizar el trabajo en cuestión. Este concepto es uno de los tres principios rectores de
una estrategia de confianza cero de:
Comprobación explícita
Uso del acceso con privilegios mínimos
Asunción de que hay brechas
Verá que este concepto aparece en el primer paso del contenido resaltado como en el
ejemplo siguiente con un vínculo a la definición de los roles con privilegios mínimos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como

Administrador de seguridad.
En algunos casos extremos, sigue siendo necesario el rol de Administrador global, un rol
con grandes privilegios, y así lo indicamos.
Microsoft recomienda que los administradores no trabajen a diario con una asignación
de roles con privilegios activa. Para combatir estos malos hábitos, las organizaciones
pueden usar características como:
Privileged Identity Management para elevar los privilegios de sus cuentas de forma
limitada temporalmente a estos roles de administrador con privilegios elevados.
Administración de permisos de Microsoft Entra para identificar y corregir los
usuarios con privilegios excesivos en infraestructuras de varias nubes en Microsoft
Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).
Búsqueda del rol correcto

Use los recursos siguientes para buscar el rol adecuado para los administradores.
Tareas comunes asignadas a los roles aplicables

Listado de roles integrados de Microsoft Entra
Navegación en el portal
Hay muchas maneras de encontrar características y varios portales que puede usar,
incluidos los ejemplos siguientes:
Centro de administración de Microsoft Entra

Azure Portal
Centro de administración de Microsoft Intune
Centro de administración de Microsoft 365
En la documentación, nos centramos principalmente en el Centro de administración de

Microsoft Entra y en la ruta más corta a las características. Guiamos a los usuarios a las
características mediante un método de navegación de izquierda a derecha, como en el
ejemplo siguiente:
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.

Este enfoque ayuda a los administradores que no están familiarizados con una
característica a entender cómo encontrar lo que buscan de forma estandarizada. Los
administradores más avanzados pueden encontrar otras formas de realizar las mismas
tareas, incluido el uso de Microsoft Graph API, pero en el contenido nos centramos
principalmente en estos pasos.
Pasos siguientes
Mejorar la posición de seguridad
¿Qué es la Confianza cero?
Recursos de seguridad
Cómo crear, invitar y eliminar usuarios
Artículo • 30/11/2023
Este artículo explica cómo crear un nuevo usuario, invitar a un invitado externo y
eliminar un usuario en su inquilino.
Las instrucciones para el proceso de creación de usuarios heredados se pueden

encontrar en el artículo Agregar o eliminar usuarios.
７ Nota
Para obtener información sobre la visualización y eliminación de datos personales,

revise las instrucciones de Microsoft en el sitio Servicio de tratamiento de datos de
solicitudes de interesados de Windows Enterprise para el RGPD y la CCPA. Para
obtener información general sobre RGPD, consulte Información sobre los
procedimientos recomendados para el cumplimiento del RGPD y la sección
RGPD del portal de confianza de servicios .
Antes de empezar
Antes de crear o invitar a un nuevo usuario, tómese un tiempo para revisar los tipos de
usuarios, sus métodos de autenticación y su acceso dentro del inquilino de Microsoft
Entra. Por ejemplo, ¿necesita crear un invitado interno, un usuario interno o un invitado
externo? ¿El nuevo usuario necesita privilegios de invitado o miembro?
Miembro interno: es más probable que estos usuarios sean empleados a tiempo
completo de su organización.
Invitado interno: estos usuarios tienen una cuenta en el inquilino, pero tienen
privilegios de nivel de invitado. Es posible que se hayan creado en el inquilino
antes de la disponibilidad de la colaboración B2B.
Miembro externo: estos usuarios se autentican mediante una cuenta externa, pero
tienen acceso de miembro al inquilino. Estos tipos de usuarios son comunes en
organizaciones multiinquilino.
Invitado externo: estos usuarios son invitados verdaderos del inquilino, que se
autentican mediante un método externo y que tienen privilegios de nivel de
invitado.
Para obtener más información sobre las diferencias entre invitados internos y externos y
miembros, consulte Propiedades de colaboración B2B.
Los métodos de autenticación varían en función del tipo de usuario que cree. Los
invitados internos y los miembros tienen credenciales en su inquilino de Microsoft Entra
que pueden ser administrados por los administradores. Estos usuarios también pueden
restablecer su propia contraseña. Los miembros externos se autentican en su inquilino
de Microsoft Entra de origen y su inquilino de Microsoft Entra autentica al usuario a
través de un inicio de sesión federado con el inquilino de Microsoft Entra del miembro
externo. Si los miembros externos olvidan su contraseña, el administrador de su
inquilino de Microsoft Entra puede restablecerla. Los invitados externos configuran su
propia contraseña mediante el vínculo que reciben por correo electrónico cuando se
crea su cuenta.
Revisar los permisos de usuario predeterminados también puede ayudarle a determinar

el tipo de usuario que necesita crear. Para obtener más información, consulte Establecer
permisos de usuario predeterminados.
Roles necesarios
El rol requerido de menor privilegio varía según el tipo de usuario que esté agregando y
si necesita asignar roles de Microsoft Entra al mismo tiempo. El administrador global
puede crear usuarios y asignar roles, pero siempre que sea posible debe usar el rol con
privilegios mínimos.
ﾉ Expandir tabla
Tarea Role
Creación de un nuevo usuario Administrador de usuarios
Invitar a un invitado externo Invitador de usuarios
Asignación de roles de Microsoft Entra Administrador de roles con privilegios
Creación de un nuevo usuario
 Sugerencia
donde comienza.
1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como

Administrador de usuario.
2. Vaya aIdentidad>Usuarios>Todos los usuarios.
3. Seleccione Nuevo usuario>Crear nuevo usuario.
4. Completa las pestañas restantes en la página Nuevo usuario (como se muestra a

continuación).
Conceptos básicos
La pestaña Aspectos básicos contiene los campos principales necesarios para crear un
nuevo usuario.
Nombre principal de usuario: escriba un nombre de usuario único y seleccione un

dominio en el menú después del símbolo @. Seleccione Dominio no enumerado
si necesita crear un nuevo dominio. Para obtener más información, consulte
Incorporación de un nombre de dominio personalizado.
Alias de correo: si necesita escribir un alias de correo electrónico distinto del
nombre principal de usuario que especificó, desactive la opción Derivar del
nombre principal de usuario y, a continuación, escriba el alias de correo.
Nombre para mostrar: escriba el nombre del usuario, como Chris Green o
Chris A. Green.
Contraseña: proporcione una contraseña para que el usuario use durante el inicio
de sesión inicial. Desactive la opción Generar contraseña automáticamente para
escribir otra contraseña.
Cuenta habilitada: esta opción está activada de manera predeterminada.
Desactívela para impedir que el nuevo usuario pueda iniciar sesión. Puede cambiar
esta configuración después de crear el usuario. Esta configuración se llamó
Bloquear inicio de sesión en el proceso de creación de usuario heredado.
Seleccione el botón Revisar y crear para crear el nuevo usuario o Siguiente:

propiedades para completar la sección siguiente.

propiedades para completar la sección siguiente.
Propiedades
Hay seis categorías de propiedades de usuario que puede proporcionar. Estas
propiedades se pueden agregar o actualizar después de crear el usuario. Para gestionar
estos detalles, vaya a Identidad>Usuarios>Todos los usuarios y seleccione un usuario
para actualizar.
Identidad: introduzca el nombre y apellido del usuario. Establezca el tipo de

usuario como Miembro o Invitado.
Información del trabajo: agregue cualquier información relacionada con el trabajo
del usuario, como el puesto, departamento o administrador.
Información de contacto: agregue cualquier información de contacto pertinente
del usuario.
Controles parentales: para organizaciones como los distritos escolares de
educación secundaria, es posible que sea necesario proporcionar el grupo de edad
del usuario. Los menores tienen 12 años, los usuarios que no se consideran adultos
tienen de 13 a 18 años y los adultos tienen 18 años o más. La combinación del
grupo de edad y el consentimiento que se proporcione en las opciones parentales
determinan la clasificación del grupo de edad legal. La clasificación de grupos de
edad legal puede limitar el acceso y la autoridad del usuario.
Configuración: especifique la ubicación global del usuario.

asignaciones para completar la sección siguiente.
Assignments
Puede asignar el usuario a una unidad administrativa, grupo o rol de Microsoft Entra
cuando se crea la cuenta. Puede asignar al usuario hasta 20 grupos o roles. Solo puede
asignar el usuario a una unidad administrativa. Las asignaciones se pueden agregar
después de crear el usuario.
Para asignar un grupo al nuevo usuario:
1. Seleccione +Agregar grupo.
2. En el menú que aparece, elija hasta 20 grupos de la lista y seleccione el botón

Seleccionar.
3. Seleccione el botón Revisar y crear.

Para asignar un rol al nuevo usuario:
1. Seleccione +Agregar rol.

2. En el menú que aparece, elija hasta 20 roles de la lista y seleccione el botón
Seleccionar.
Para agregar una unidad administrativa al nuevo usuario:
1. Seleccione +Agregar unidad administrativa.

2. En el menú que aparece, elija una unidad administrativa de la lista y seleccione el
botón Seleccionar.
Revisar y crear
La pestaña final captura varios detalles clave del proceso de creación del usuario. Revise
los detalles y seleccione el botón Crear si todo está correcto.
Invitación de un usuario externo

El proceso general para invitar a un usuario invitado externo es similar, excepto algunos
detalles en la pestaña Aspectos básicos y el proceso de invitación por correo
electrónico. No se pueden asignar usuarios externos a unidades administrativas.

3. Seleccione Nuevo usuario>Invitar a un usuario externo.

4. Completa las pestañas restantes en la página Nuevo usuario (como se muestra a
continuación).
Conceptos básicos para usuarios externos

En esta sección, invita al invitado a su inquilino mediante su dirección de correo
electrónico. Si necesita crear un usuario invitado con una cuenta de dominio, use el
proceso de creación de un nuevo usuario, pero cambie el Tipo de usuario a Invitado.
Correo electrónico: escriba la dirección de correo electrónico del usuario invitado

que está invitando.
Nombre para mostrar: proporcione el nombre para mostrar.
Mensaje de invitación: seleccione la casilla Enviar mensaje de invitación para
personalizar un breve mensaje para el invitado. Proporcione un destinatario CC, si
es necesario.
Invitación de usuarios invitados
Al invitar a un usuario invitado externo mediante el envío de una invitación por correo
electrónico, puede comprobar el estado de la invitación desde los detalles del usuario.

2. Seleccione el usuario invitado.
3. En la sección Mi fuente, busque el icono de Colaboración B2B.
Si el estado de la invitación es PendingAcceptance, seleccione el vínculo

Reenviar invitación para enviar otro correo electrónico.
También puede seleccionar las Propiedades del usuario y ver el Estado de
invitación.
Agregar otros usuarios
Puede haber escenarios en los que desee crear manualmente cuentas de consumidor en
el directorio de Azure Active Directory B2C (Azure AD B2C). Para más información sobre
cómo crear cuentas de consumidor, consulte Creación y eliminación de usuarios
consumidores en Azure AD B2C.
Si tiene un entorno con Microsoft Entra ID (nube) y Windows Server Active Directory
(local), puede agregar nuevos usuarios mediante la sincronización de los datos de la
cuenta de usuario existentes. Para obtener más información sobre entornos híbridos y
usuarios, consulte Integración de directorios locales con Microsoft Entra ID.
Eliminación de usuarios
Puede eliminar un usuario existente mediante el Centro de administración de
Microsoft Entra .
Debe tener una asignación de roles de administrador global, administrador de

autenticación con privilegios o administrador de usuarios para eliminar usuarios de
la organización.
Los administradores globales y los administradores de autenticación con
privilegios pueden eliminar cualquier usuario, incluidos otros administradores.
Los administradores de usuarios pueden eliminar cualquier usuario que no sea
administrador, administradores del departamento de soporte técnico y otros
administradores de usuarios.
Para obtener más información, consulte los Permisos del rol de administrador en
Microsoft Entra ID.
Siga estos pasos para eliminar un usuario:

3. Busque y seleccione el usuario que desea eliminar.
4. Seleccione Eliminar usuario.
El usuario se elimina y ya no aparece en la página Todos los usuarios. El usuario se

puede ver en la página Usuarios eliminados durante los próximos 30 días y puede
restaurarse durante ese tiempo. Para obtener más información sobre cómo restaurar un
usuario, consulte Restaurar o eliminar un usuario eliminado recientemente mediante
Microsoft Entra ID.
Cuando se elimina un usuario, las licencias consumidas por el usuario se ponen a

disposición de otros usuarios.
７ Nota
Para actualizar la identidad, la información de contacto o la información del trabajo

de los usuarios cuyo origen de autoridad es Windows Server Active Directory, debe
usar Windows Server Active Directory. Después de completar la actualización, debe
esperar a que se complete el ciclo de sincronización siguiente para poder ver los
cambios.
Pasos siguientes
Obtener más información sobre los usuarios de colaboración B2B
Revisión de permisos predeterminados de usuario
Agregar un dominio personalizado
Asignación o eliminación de licencias
Artículo • 01/12/2023
Muchos servicios de Microsoft Entra exigen que asigne licencias a cada uno de los
usuarios o grupos (y los miembros asociados) para ese servicio. Solo los usuarios con
licencias activas podrán acceder y usar los servicios de Microsoft Entra licenciados que
presentan este requisito. Las licencias se aplican a cada inquilino y no se transfieren a
otros inquilinos.
Planes de licencia disponibles

Hay varios planes de licencia de Microsoft Entra ID:
Microsoft Entra ID Free

Microsoft Entra ID P1
Para obtener información específica acerca de cada plan de licencia y los detalles de
licencias asociados, consulte ¿Qué licencia necesito? Para suscribirse a los planes de
licencia de Microsoft Entra ID P1 o P2, consulte aquí.
No todos los servicios de Microsoft están disponibles en todas las ubicaciones. Antes de
poder asignar una licencia a un grupo, tiene que especificar la Ubicación de uso para
todos los miembros. Puede establecer este valor Microsoft Entra yendo a
Identidad>Usuarios>Todos los usuarios>seleccione un usuario>Propiedades.
Cuando se asignan licencias a un grupo o se realizan actualizaciones masivas, como la

deshabilitación del estado de sincronización de la organización, cualquier usuario cuya
ubicación de uso no se haya especificado hereda la ubicación del inquilino.
Consulta de los planes de licencia y sus detalles

Puede ver los planes de servicio disponibles —incluidas las licencias individuales—,
comprobar las fechas de caducidad pendientes y ver el número de asignaciones
disponibles.
Para buscar el plan de servicio y sus detalles
 Sugerencia
donde comienza.
1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos

un Lector de directorios.
2. Vaya a Identidad>Facturación>Licencias.
3. Seleccione Todos los productos para ver la página Todos los productos y ver los
números en Asignado, Disponible y Expira próximamente para los planes de
licencias.
７ Nota
Los números se definen como:
Total número total de licencias adquiridas

Asignada: número de licencias asignadas a los usuarios
Disponible: número de licencias disponibles para su asignación,
incluidas las que expiran en breve
Expira pronto: número de licencias que expiran pronto
4. Seleccione un nombre de plan para ver sus usuarios y grupos con licencias.
Asignación de licencias a usuarios o grupos

Cualquier persona que tenga una necesidad empresarial de usar un servicio de
Microsoft Entra con licencia debe tener las licencias necesarias. Puede agregar derechos
de licencia a usuarios o a un grupo completo.
Para asignar una licencia a un usuario

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como
administrador de licencia.
3. Seleccione el nombre del plan de licencia que quiera asignar al usuario.
4. Después de seleccionar el plan de licencia, seleccione Asignar.
5. En la página Asignar, seleccione Usuarios y grupos y, luego, busque y seleccione

el usuario al que va a asignar la licencia.
6. Seleccione Opciones de asignación, asegúrese de tener activadas las opciones de
licencia apropiadas y, luego, seleccione Aceptar.
La página Asignar licencia se actualiza para mostrar que hay un usuario

seleccionado y que las asignaciones están configuradas.
７ Nota
No todos los servicios de Microsoft están disponibles en todas las

ubicaciones. Antes de poder asignar una licencia a un usuario, tiene que
especificar la Ubicación de uso. Puede establecer este valor en
Identidad>Usuarios>Todos los usuarios>seleccione un usuario>Propiedades.
Cuando se asignan licencias a un grupo o se realizan actualizaciones masivas,
como la deshabilitación del estado de sincronización de la organización,
cualquier usuario cuya ubicación de uso no se haya especificado hereda la
ubicación del inquilino.
7. Seleccione Asignar.
El usuario se agrega a la lista de usuarios con licencia y tiene acceso a los servicios
de Microsoft Entra incluidos.
７ Nota
También se pueden asignar licencias directamente a un usuario desde la

página Licencias del usuario. Si un usuario tiene una licencia asignada a través
de una pertenencia a un grupo y quiere asignar la misma licencia
directamente al usuario, solo se puede realizar esta acción desde la página
Productos mencionada en el paso 1.
Para asignar una licencia a un grupo

administrador de licencia.
3. Seleccione el nombre del plan de licencia que quiera asignar al grupo.
4. En la página Producto, seleccione Asignar.
5. En la página Asignar, seleccione Usuarios y grupos y, luego, busque y seleccione

el grupo al que va a asignar la licencia.
6. Seleccione Opciones de asignación, asegúrese de tener activadas las opciones de
licencia apropiadas y, luego, seleccione Aceptar.
La página Asignar licencia se actualiza para mostrar que hay un usuario

seleccionado y que las asignaciones están configuradas.
7. Seleccione Asignar.
El grupo se agrega a la lista de grupos con licencias, y todos los miembros tienen
acceso a los servicios de Microsoft Entra incluidos.
Eliminación de una licencia
Puede quitar una licencia desde la página de usuario de Microsoft Entra de un usuario,
desde la página de información general del grupo en una asignación de grupo o
empezando desde la página Licencias de Microsoft Entra ID para ver los usuarios y
grupos de una licencia.
Para quitar una licencia de un usuario

1. En la página Usuarios con licencias para el plan de servicio, seleccione el usuario
que ya no debe tener la licencia. Por ejemplo, Alain Charon.
2. Seleccione Quitar licencia.
） Importante
Las licencias que un usuario hereda de un grupo no se pueden quitar directamente.

En su lugar, tiene que quitar el usuario del grupo desde el que haya heredado la
licencia.
Para quitar una licencia de un grupo

1. En la página Grupos con licencias para el plan de licencia, seleccione el grupo que
ya no debe tener la licencia.
2. Seleccione Quitar licencia.

７ Nota
Cuando una cuenta de usuario local sincronizada con Microsoft Entra no está
en el ámbito de la sincronización, o si la sincronización se quita, el usuario se
eliminará de forma temporal en Microsoft Entra ID. Cuando esto ocurre, las
licencias asignadas directamente a ese usuario o a través de licencias basadas
en grupos se marcarán como suspendidas en lugar de como eliminadas.
Pasos siguientes
Después de haber asignado las licencias, puede seguir los procesos a continuación:
Identificación y resolución de problemas de asignación de licencias

Cómo agregar usuarios a un grupo para obtener licencias
Escenarios, limitaciones y problemas conocidos del uso de grupos para administrar
las licencias en Microsoft Entra ID
Add or change profile information (Incorporación o modificación de la información
del perfil)
Asignar roles de usuario con Microsoft
Entra ID
Artículo • 01/12/2023
La capacidad de administrar recursos se concede mediante la asignación de roles que

proporcionan los permisos necesarios. Los roles se pueden asignar a usuarios o grupos
individuales. Para alinearse con los principios rectores de Confianza cero, use directivas
Just-In-Time y Just-Enough-Access al asignar roles.
Antes de asignar roles a los usuarios, revise los siguientes artículos de Microsoft Learn:
Más información sobre los roles de Microsoft Entra

Más información sobre el control de acceso basado en rol
Exploración de los roles integrados de Azure
Asignación de roles
Hay dos pasos principales para el proceso de asignación de roles. En primer lugar, debe
seleccionar el rol que se va a asignar. A continuación, debe ajustar la configuración y la
duración del rol.
Seleccione el rol que se va a asignar
 Sugerencia
donde comienza.

Administrador de roles con privilegios.


3. Busque y seleccione el usuario que obtiene la asignación de roles.
4. Seleccione Roles asignados en el menú lateral y, a continuación, seleccione

Agregar asignaciones.
5. Seleccione un rol para asignar de la lista desplegable y seleccione el botón
Siguiente.
Ajuste la configuración del rol

Puede asignar roles como aptos o activos. Los roles aptos se asignan a un usuario, pero
el usuario debe elevarlos a Just-In-Time a través de Privileged Identity Management
(PIM). Para obtener más información sobre cómo usar PIM, consulte Privileged Identity
Management.
1. En la sección Configuración de la página Agregar asignaciones, seleccione una
opción de Tipo de asignación.
2. Deje seleccionada la opción Elegible permanentemente en caso de que el rol

deba estar siempre disponible para que el usuario lo eleve.
Si desactiva esta opción, puede especificar un intervalo de fechas para la

elegibilidad del rol.
3. Seleccione el botón Asignar.
Los roles asignados aparecen en la sección asociada al usuario, por lo que los roles
aptos y activos se muestran por separado.
Actualizar roles
Puede cambiar la configuración de una asignación de roles, por ejemplo, para cambiar
un rol de activo a apto.
2. Busque y seleccione el usuario que obtiene la actualización de roles.
3. Vaya a la página Roles asignados y seleccione el vínculo Actualizar para el rol que
debe cambiarse.
4. Cambie la configuración según sea necesario y seleccione el botón Guardar.


Quitar roles
Puede quitar asignaciones de roles de la página Roles administrativos de un usuario
seleccionado.
2. Busque y seleccione el usuario que quita la asignación de roles.
3. Vaya a la página Roles asignados y seleccione el vínculo Quitar para el rol que
debe quitarse. Confirme el cambio en el mensaje emergente.
Pasos siguientes
Adición o eliminación de usuarios

del perfil)
Adición de usuarios invitados de otro directorio
Explore otras tareas de administración de usuarios

Administración del mensaje "¿Desea
mantener la sesión iniciada?" símbolo
del sistema
Artículo • 30/11/2023
El mensaje ¿Quiere mantener la sesión iniciada? aparece después de que un usuario

inicie sesión correctamente. Este proceso se conoce como Mantener la sesión iniciada
(KMSI) y anteriormente formaba parte del proceso de personalización de marca.
En este artículo se explica cómo funciona el proceso de KMSI, cómo habilitarlo para los
clientes y cómo solucionar problemas de KMSI.
¿Cómo funciona?
Si un usuario responde Sí al mensaje "¿Desea mantener la sesión iniciada?" mensaje, se
emitirá una cookie de autenticación persistente. La cookie deberá almacenarse en sesión
para que KMSI funcione. KMSI no funciona con cookies almacenadas localmente. Si
KMSI no está habilitado, se emitirá una cookie no persistente y durará 24 horas o hasta
que se cierra el explorador.
En el siguiente diagrama se muestra el flujo de inicio de sesión del usuario para un

inquilino administrado y un inquilino federado mediante el mensaje de KMSI. Este flujo
contiene lógica inteligente para que la opción ¿Quiere mantener la sesión iniciada? no
se muestra si el sistema de aprendizaje automático detecta un inicio de sesión de alto
riesgo o un inicio de sesión desde un dispositivo compartido. Para los inquilinos
federados, el mensaje se muestra cuando el usuario se autentica correctamente en el
servicio de identidad federada.
Algunas características de SharePoint Online y Office 2010 dependen de que los

usuarios puedan elegir seguir conectados. Si desactiva la opción Mostrar la opción de
mantener la sesión iniciada, los usuarios pueden ver otros mensajes durante el proceso
de inicio de sesión.
Requisitos de licencia y rol
La configuración de la opción "Mantener la sesión iniciada" (KMSI) requiere una de las
siguientes licencias:
Office 365 (para aplicaciones de Office)
Microsoft 365
Debe tener el rol Administrador global para habilitar la opción "¿Desea mantener la
sesión iniciada?". .
Habilitación del mensaje "¿Desea mantener la

sesión iniciada?" símbolo del sistema
 Sugerencia
donde comienza.
La configuración de KMSI se administra en Configuración de usuario.

2. Vaya a Identidad>Usuarios>Configuración de usuarios.

3. Establezca el botón de alternancia Mostrar el mensaje para mantener la sesión
del usuario iniciada en Sí.
Solución de problemas de la opción
"¿Mantener la sesión iniciada?" issues
Si un usuario no responde al mensaje ¿Quiere mantener la sesión iniciada? y abandona
el intento de inicio de sesión, aparecerá una entrada en el registro de inicio de sesión de
Microsoft Entra. El mensaje que ve el usuario se denomina "interrupción".
Los detalles sobre el error de inicio de sesión se encuentran en los registros de inicio de
sesión. Seleccione el usuario afectado de la lista y localice los siguientes detalles en la
sección Información básica.
Código de error de inicio de sesión: 50140

Motivo del error: Este error se produjo debido a una interrupción en "Mantener la
sesión iniciada" cuando el usuario estaba iniciando sesión.
Para evitar que los usuarios vean la interrupción, establezca Mostrar la opción para
mantener la sesión iniciada en No en la configuración de usuario. Este valor deshabilita
el mensaje de KMSI para todos los usuarios del directorio.
También puede usar los controles persistentes de sesión del explorador con el acceso
condicional para impedir que los usuarios vean el mensaje de KMSI. Esta opción le
permite deshabilitar el mensaje de KMSI para un grupo de usuarios seleccionado (por
ejemplo, los administradores globales) sin que ello afecte al comportamiento de inicio
de sesión del resto de usuarios del directorio.
Para asegurar que el aviso de KMSI se muestre sólo cuando pueda beneficiar al usuario,
el aviso de KMSI no se muestra intencionadamente en los siguientes escenarios:
El usuario ha iniciado sesión mediante el inicio de sesión único de conexión directa

y la autenticación integrada de Windows (IWA)
El usuario inició sesión mediante los Servicios de federación de Active Directory
(AD FS) y Autenticación integrada de Windows
El usuario es un invitado en el inquilino
La puntuación de riesgo del usuario es alta
El inicio de sesión se produce durante el flujo de consentimiento del usuario o
administrador
El control de sesión del explorador persistente se configura en una directiva de
acceso condicional
Pasos siguientes
Aprenda a personalizar la personalización de marca para las experiencias de inicio
de sesión
Administrar la configuración de usuario Microsoft Entra ID
Incorporación o actualización de la
configuración y la información de perfil
de un usuario
Artículo • 01/12/2023
La información y la configuración de perfil de un usuario se pueden administrar de

forma individual y para todos los usuarios del directorio. Al examinar estos valores
juntos, puede ver cómo funcionan en conjunto los permisos, las restricciones y otras
conexiones.
En este artículo se explica cómo agregar información de perfil de usuario, como una
imagen de perfil e información específica del trabajo. También puede optar por permitir
que los usuarios conecten sus cuentas de LinkedIn o restrinjan el acceso al portal de
administración de Microsoft Entra. Es posible que algunas configuraciones se
administren en más de un área. Para obtener más información acerca de la adición de
nuevos usuarios, vea cómo agregar o eliminar usuarios en Microsoft Entra ID.
Adiciones o cambios a la información del perfil
 Sugerencia
donde comienza.
Cuando se crean nuevos usuarios, solo se agregan algunos detalles a su perfil de

usuario. Si su organización necesita más detalles, se pueden agregar después de crear el
usuario.


3. Seleccione un usuario.
4. Hay dos maneras de editar los detalles del perfil de usuario. Seleccione Editar
propiedades en la parte superior de la página o seleccione Propiedades.
5. Después de realizar los cambios, seleccione el botón Guardar.
Si seleccionó la opción Editar propiedades:
La lista completa de propiedades aparece en modo de edición en la categoría

Todos.
Para editar las propiedades en función de la categoría, seleccione una categoría en
la parte superior de la página.
Seleccione el botón Guardar de la parte inferior de la página para guardar los
cambios.
Si seleccionó la opción de la pestaña Propiedades:
La lista completa de propiedades aparecerá para que la revise.

Para editar una propiedad, seleccione el icono con forma de lápiz situado junto al
encabezado de la categoría.
Seleccione el botón Guardar de la parte inferior de la página para guardar los
cambios.
Categorías de perfil
Hay seis categorías de detalles de perfil que puede editar.
Identidad: agregue o actualice un valor de identidad adicional para el usuario

como, por ejemplo, el apellido conyugal. Puede establecer este nombre de forma
independiente de los valores de Nombre y Apellidos. Por ejemplo, podría utilizarlo
para incluir iniciales, un nombre de empresa o para cambiar la secuencia de
nombres mostrada. Si tiene dos usuarios con el mismo nombre, como "Chris
Green", podría usar la cadena de identidad para establecer sus nombres en "Chris
B. Green" y "Chris R. Green".
Información del trabajo: agregue cualquier información relacionada con el trabajo

del usuario, como el puesto, departamento o administrador.
Información de contacto: agregue cualquier información de contacto pertinente

del usuario.
Controles parentales: para organizaciones como los distritos escolares de

educación secundaria, es posible que sea necesario proporcionar el grupo de edad
del usuario. Los menores tienen 12 años, los usuarios que no se consideran adultos
tienen de 13 a 18 años y los adultos tienen 18 años o más. La combinación del
grupo de edad y el consentimiento que se proporcione en las opciones parentales
determinan la clasificación del grupo de edad legal. La clasificación de grupos de
edad legal puede limitar el acceso y la autoridad del usuario.
Configuración: establezca si el usuario puede iniciar sesión en el inquilino de

Microsoft Entra. También puede especificar la ubicación global del usuario.
Local: las cuentas sincronizadas desde Windows Server Active Directory incluyen
valores adicionales no aplicables a las cuentas de Microsoft Entra.
７ Nota
Debe usar Windows Server Active Directory para actualizar la identidad, la

información de contacto o la información del trabajo para los usuarios cuyo origen
de autoridad es Windows Server Active Directory. Después de completar la
actualización, debe esperar a que se complete el próximo ciclo de sincronización
antes de poder ver los cambios.
Incorporación o edición de la imagen de perfil

En la página de información general del usuario, seleccione el icono de la cámara en la
esquina inferior derecha de la miniatura del usuario. Si no se ha agregado ninguna
imagen, las iniciales del usuario aparecen aquí. Esta imagen aparece en Microsoft Entra
ID y en las páginas personales del usuario, tales como la página myapps.microsoft.com.
Todos los cambios se guardan para el usuario.
７ Nota
Si tiene problemas para actualizar la imagen de perfil de un usuario, asegúrese de

que la aplicación empresarial de Office 365 Exchange Online esté habilitada para
que los usuarios inicien sesión.
Administración de la configuración de todos

los usuarios
En el área Configuración de usuario, puede ajustar varias opciones de configuración
que afectan a todos los usuarios. Algunas opciones de configuración se administran en
un área independiente y se vinculan desde esta página. Esta configuración requiere el
rol Administrador global.

2. Vaya a Identidad>Usuarios>Configuración de usuarios.

La siguiente configuración se puede administrar desde Configuración de usuario.
Permitir que los usuarios registren sus propias aplicaciones

Impedir que los usuarios que no son administradores creen sus propios inquilinos
Para obtener más información, consulte Permisos de usuario predeterminados
Permitir a los usuarios crear grupos de seguridad
Restricciones de acceso de usuarios invitados
Guest users have the same access as members (most inclusive) (Los usuarios
invitados tienen el mismo acceso que los miembros [principalmente inclusivo])
Guest users have limited access to properties and memberships of directory
objects (Los usuarios invitados tienen acceso limitado a las propiedades y
pertenencias de los objetos de directorio)
Guest user access is restricted to properties and memberships of their own
directory objects (most restrictive) (El acceso de los usuarios invitados está
restringido a las propiedades y pertenencias de sus propios objetos de
directorio [opción más restrictiva])
Restricción del acceso al portal de administración de Microsoft Entra
Permitir a los usuarios que conecten su cuenta profesional o educativa con
LinkedIn
Habilitar el mensaje "¿Desea mantener la sesión iniciada?"
Administrar la configuración de colaboración externa
Acceso de usuarios invitados
Configuración de la invitación de usuarios
Configuración de salida de usuario externo
Restricciones de colaboración
Administración de la configuración de características de usuario
Los usuarios pueden utilizar las características de versión preliminar de Mis
aplicaciones
Los administradores pueden tener acceso a Mi personal.
Pasos siguientes
Creación de un grupo básico e incorporación de miembros
Vea la documentación sobre administración de usuarios empresariales de
Microsoft Entra
Restablecer la contraseña de un usuario
Artículo • 25/10/2023
Los administradores pueden restablecer la contraseña de un usuario si se olvida la

contraseña, si el usuario bloquea su dispositivo o si nunca ha recibido una contraseña.
７ Nota
Si no es administrador y necesita instrucciones acerca de cómo restablecer su

contraseña profesional o educativa, consulte Restablecimiento de la contraseña
profesional o educativa .
Si el inquilino no es el directorio principal de un usuario, no podrá restablecer su

contraseña. Esto significa que si el usuario inicia sesión en su organización
mediante una cuenta de otra organización, una cuenta de Microsoft o una cuenta
de Google, no podrá restablecer su contraseña.
Si el usuario tiene una fuente de autoridad como Windows Server Active Directory,
solo podrá restablecer la contraseña si ha activado la escritura diferida de
contraseñas y el dominio del usuario está administrado. En el caso de los dominios
federados, no se admite el cambio de contraseña del usuario. En este caso, debe
cambiar la contraseña de usuario en el Active Directory local.
Si el usuario tiene una fuente de autoridad como Microsoft Entra ID externo, no

podrá restablecer la contraseña. Solo el usuario o un administrador de ese inquilino
pueden restablecer la contraseña.
Para restablecer una contraseña
 Sugerencia
donde comienza.

Administrador de contraseñas.

3. Seleccione el usuario que necesita el restablecimiento y haga clic en Restablecer
contraseña.
Se muestra la página Alain Charon - Perfil con la opción Restablecer contraseña.
4. En la página Restablecer contraseña, seleccione Restablecer contraseña.
７ Nota
Al usar Microsoft Entra ID, una contraseña temporal se genera

automáticamente para el usuario. En cambio cuando se usa Active Directory
local, se crea la contraseña del usuario.
5. Copie la contraseña y proporciónela al usuario. El usuario deberá cambiar la

contraseña durante el siguiente proceso de inicio de sesión.
７ Nota
La contraseña temporal nunca expira. La próxima vez que el usuario inicie

sesión, la contraseña seguirá funcionando, sin importar cuánto tiempo haya
transcurrido desde que se generó la contraseña temporal.
） Importante
Si un administrador no puede restablecer la contraseña del usuario y en los

registros de eventos de la aplicación en el servidor de Microsoft Entra Connect
aparece el código de error hr=80231367, revise los atributos del usuario en Active
Directory. Si el atributo AdminCount está establecido en 1, impedirá que un
administrador restablezca la contraseña del usuario. El atributo AdminCount debe
establecerse en 0 para que los administradores puedan restablecer la contraseña
del usuario.
Pasos siguientes
Después de restablecer la contraseña del usuario, puede realizar los siguientes procesos
básicos:

del perfil)
O bien, puede realizar otros escenarios de usuario complejos, como asignar delegados,
usar directivas y compartir cuentas de usuario. Para obtener más información acerca de
otras acciones disponibles, consulte la documentación de administración de usuarios en
Microsoft Entra.
Restauración o eliminación de un
usuario recientemente eliminado
Artículo • 01/12/2023
Después de eliminar a un usuario, la cuenta permanece en estado de suspensión

durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede
restaurar, junto con todas sus propiedades.
Después de que pase esa ventana de 30 días, el proceso de eliminación se inicia de

forma automática y no se puede detener. Durante este tiempo, se bloquea la
administración de usuarios eliminados temporalmente. Esta limitación también se aplica
a la restauración de un usuario eliminado temporalmente a través de una coincidencia
durante el ciclo de sincronización de inquilinos para escenarios híbridos locales.
Puede ver a los usuarios que se pueden restaurar, restaurar un usuario eliminado o
eliminar permanentemente a un usuario con el Centro de administración de
Microsoft Entra.
） Importante
Ni usted ni la asistencia técnica de Microsoft pueden restaurar a un usuario

eliminado permanentemente.
Permisos necesarios
Debe tener uno de los roles siguientes para restaurar y eliminar permanentemente a los
usuarios.
Administrador global
Soporte para asociados de nivel 1
Soporte para asociados de nivel 2
Administrador de usuarios
Visualización de los usuarios que se pueden

restaurar
Puede ver a todos los usuarios que se eliminaron hace menos de 30 días. Estos usuarios
se pueden restaurar.
Para ver a los usuarios que se pueden restaurar
 Sugerencia
donde comienza.

2. Vaya aIdentidad>Usuarios>Usuarios eliminados.
3. Revise la lista de usuarios que están disponibles para restaurar.
Restauración de un usuario recién eliminado

Al eliminarse una cuenta de usuario de la organización, esta está en estado suspendido.
Se conserva toda la información de la organización de la cuenta. Cuando se restaura un
usuario, también se restaura esta información de la organización.
７ Nota
Una vez que se restaura un usuario, también se restauran las licencias que se
asignaron al usuario en el momento de la eliminación aunque no haya puestos
disponibles para esas licencias. Si a partir de ese momento consumes más licencias
de las que adquiriste, tu organización podría incumplir temporalmente todo lo
relativo al uso de licencias.
Para restaurar a un usuario
1. En la página Usuarios eliminados, busque y seleccione uno de los usuarios
disponibles. Por ejemplo, Mary Parker.
2. Seleccione Restaurar usuario.
Eliminar un usuario permanentemente

Puede eliminar permanentemente un usuario desde la organización sin esperar a que
transcurran los 30 días de la eliminación automática. Ni usted, ni otro administrador, ni
la asistencia técnica de Microsoft pueden restaurar a un usuario eliminado
permanentemente.
７ Nota
Si se elimina permanentemente a un usuario por error, tendrá que crear un nuevo

usuario y escribir manualmente toda la información anterior. Para más información
acerca de cómo crear un usuario, consulte cómo agregar o eliminar usuarios.
Para eliminar un usuario permanentemente

1. En la página Usuarios eliminados, busque y seleccione uno de los usuarios
disponibles. Por ejemplo, Rae Huff.
2. Seleccione Eliminar permanentemente.


Pasos siguientes
Después de haber restaurado o eliminado los usuarios, puede hacer lo siguiente:

del perfil)
Adición de usuarios invitados de otra organización
Para más información acerca de otras tareas de administración de usuarios disponibles,

consulte la documentación de administración de usuarios en Microsoft Entra.
¿Cuáles son los permisos de usuario
predeterminados en Microsoft Entra ID?
Artículo • 28/10/2023
En Microsoft Entra ID, a todos los usuarios se les concede un conjunto de permisos
predeterminados. El acceso de un usuario consta del tipo de usuario, sus asignaciones de roles
y su propiedad de objetos individuales.
En este artículo se describen dichos permisos predeterminados y se ofrece una comparación

de los valores predeterminados de los usuarios miembros e invitados. Los permisos de usuario
predeterminados solo se pueden cambiar en la configuración del usuario en Microsoft Entra
ID.
Usuarios miembros e invitados

El conjunto de permisos predeterminados depende de si el usuario es miembro nativo del
inquilino (usuario miembro) o si el usuario se incorpora desde otro directorio como un
invitado de la colaboración B2B (usuario invitado). Para obtener más información sobre cómo
añadir usuarios invitados, consulte ¿Qué es la colaboración B2B de Microsoft Entra?. Estas son
las funcionalidades de los permisos predeterminados:
Los usuarios miembro pueden registrar aplicaciones, administrar el número de teléfono

móvil y la fotografía de su propio perfil, cambiar su contraseña e invitar a los invitados de
B2B. Estos usuarios también pueden leer toda la información del directorio (con algunas
excepciones).
Los usuarios invitados tienen permisos de directorio restringidos. Pueden administrar su

propio perfil, cambiar su propia contraseña y recuperar algo de información sobre otros
usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del
directorio.
Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios, los
grupos y otros objetos de directorio. Los invitados se pueden agregar a los roles de
administrador, que les conceden permisos completos de lectura y escritura. Los invitados
también pueden invitar a otros usuarios.
Comparación de los permisos predeterminados de

miembros e invitados
Ámbito Permisos de usuarios Permisos de usuarios Permisos de usuarios
miembros invitados predeterminados administrados
restringidos
Usuarios y Enumerar la lista de Leer sus propiedades Leer sus

contactos todos los usuarios y Leer el nombre para propiedades
contactos mostrar, el correo Cambiar su
Leer todas las electrónico, el nombre contraseña
propiedades de inicio de sesión, la Administrar su
públicas de fotografía, el nombre número de teléfono
usuarios y principal de usuario y las móvil
contactos propiedades de tipo de
Invitar a los usuario de otros
invitados usuarios y contactos
Cambiar su Cambiar su contraseña
contraseña Buscar otro usuario por
Administrar su id. de objeto (si se
número de teléfono permite)
móvil Leer información de
Administrar su foto administrador y
Invalidar sus tokens subordinado directo de
de actualización otros usuarios
Grupos Crear grupos de Leer las propiedades de Leer el id. de objeto

seguridad los grupos no ocultos, de los grupos
Crear grupos de incluida la pertenencia y unidos
Microsoft 365 la propiedad (incluso de Leer la pertenencia
Enumerar la lista de grupos no unidos) y la propiedad de
todos los grupos Leer las pertenencias a los grupos unidos
Leer todas las grupos de Microsoft 365 en algunas
propiedades de los ocultos para los grupos a aplicaciones de
grupos los que se ha unido Microsoft 365 (si se
Leer las Buscar grupos por permite)
pertenencias a nombre para mostrar o
grupos no ocultos Id. de objeto (si se
Leer las permite)
pertenencias a
grupos de
Microsoft 365
ocultos para los
grupos a los que se
ha unido
Administrar las
propiedades, la
propiedad y la
pertenencia de los
grupos propiedad
del usuario
Agregar invitados a
los grupos que se
poseen
restringidos
Administrar la
configuración de
pertenencia
dinámica
Eliminar los grupos
que se poseen
Restaurar los
grupos de
Microsoft 365 que
se poseen
Aplicaciones Registrar (crear) Leer las propiedades de Leer las

aplicaciones nuevas las aplicaciones propiedades de las
Enumerar la lista de registradas y aplicaciones
todas las empresariales registradas y
aplicaciones Lista de los permisos empresariales
Leer las concedidos a las Lista de los
propiedades de las aplicaciones permisos
aplicaciones concedidos a las
registradas y aplicaciones
empresariales
Administrar las
propiedades,
asignaciones y
credenciales de las
aplicaciones que se
poseen
Crear o eliminar las
contraseñas de la
aplicación de los
usuarios
Eliminar las
aplicaciones que se
poseen
Restaurar las
aplicaciones que se
poseen
Lista de los
permisos
concedidos a las
aplicaciones
Dispositivos Enumerar la lista de Sin permisos Sin permisos

todos los
dispositivos
Leer todas las
propiedades de los
dispositivos
restringidos
Administrar todas
las propiedades de
los dispositivos que
se poseen
Organización Leer toda la Leer el nombre para Leer el nombre

información de la mostrar de la empresa para mostrar de la
compañía Leer todos los dominios empresa
Leer todos los Leer la configuración de Leer todos los
dominios la autenticación basada dominios
Leer la en certificados
configuración de la
autenticación
basada en
certificados
Leer todos los
contratos de los
asociados
Lea los detalles
básicos de la
organización
multiinquilino y los
inquilinos activos
Roles y Leer todos los roles Sin permisos Sin permisos

ámbitos y las pertenencias
administrativas
Leer todas las
propiedades y la
pertenencia de las
unidades
administrativas
Suscripciones Lectura de todas las Sin permisos Sin permisos

suscripciones bajo
licencia
Habilitar
pertenencias del
plan de servicio
Directivas Leer todas las Sin permisos Sin permisos

propiedades de las
directivas
Administrar todas
las propiedades de
restringidos
las directivas que se

poseen
Restringir los permisos predeterminados de los

usuarios miembros
Es posible agregar restricciones a los permisos predeterminados de los usuarios.
Puede restringir los permisos predeterminados de los usuarios miembros de las maneras
siguientes:
Ｕ Precaución
El uso del switch Restringir el acceso al portal de administración de Microsoft Entra NO

es una medida de seguridad . Para obtener más información sobre la funcionalidad,
consulte la tabla siguiente.
Permiso Explicación del valor
Registrar aplicaciones Si se selecciona No en esta opción, se impide que los usuarios creen
registros de aplicaciones. Después, puede devolver la capacidad a personas
concretas agregándolas al rol de desarrollador de aplicaciones.
Permitir a los usuarios Si se selecciona No en esta opción, se impide que los usuarios conecten su
conectar su cuenta cuenta profesional o educativa con su cuenta de LinkedIn. Para más
profesional o educativa información, consulte Consentimiento y uso compartido de datos de
con LinkedIn conexiones de cuentas de LinkedIn.
Crear grupos de Si se selecciona No en esta opción, se impide que los usuarios creen grupos
seguridad de seguridad. Tanto los administradores globales como los administradores
de usuarios pueden seguir creando grupos de seguridad. Para obtener más
información, consulte Microsoft Enters cmdlets for configuring group
settings.
Crear grupos de Si esta opción se establece en No, se impide que los usuarios creen grupos
Microsoft 365 de Microsoft 365. Si esta opción se establece en Algunos, se permite que un
conjunto de usuarios creen grupos de Microsoft 365. Tanto los
administradores globales como los administradores de usuarios pueden
seguir creando grupos de Microsoft 365. Para obtener más información,
consulte Microsoft Enters cmdlets for configuring group settings.
Restringir el acceso al ¿Qué hace este cambio?

portal de administración No permite a los no administradores navegar por el portal de
de Microsoft Entra administración de Microsoft Entra.
Sí impide a los usuarios que no son administradores examinar el portal de

administración de Microsoft Entra. Los usuarios que no son administradores
y que son propietarios de grupos o aplicaciones no pueden utilizar
Azure Portal para administrar los recursos que les pertenecen.
¿Qué es lo que no hace?

No restringe el acceso a los datos de Microsoft Entra mediante PowerShell,
Microsoft Graph API u otros clientes, como Visual Studio.
No restringe el acceso mientras el usuario tenga asignado un rol
personalizado (o cualquier rol).
¿Cuándo debo usar este cambio?

Use esta opción para evitar que los usuarios configuren erróneamente los
recursos que poseen.
¿Cuándo no debo usar este cambio?

No use este modificador como una medida de seguridad. En su lugar, cree
una directiva de acceso condicional que tenga como destino Microsoft
Azure Management que bloquee el acceso de los usuarios que no son
administradores a Microsoft Azure Management.
¿Cómo puedo otorgar solo a un usuario no administrador específico la

capacidad de usar el portal de administración de Microsoft Entra?
Establezca esta opción en Sí y asígneles un rol como lector global.
Restricción del acceso al portal de administración de Microsoft Entra

Una directiva de acceso condicional que tenga como destino Microsoft
Azure Management tiene como destino el acceso a toda la administración
de Azure.
Impedir que los usuarios Los usuarios pueden crear inquilinos en el ID de Microsoft Entra y en el
que no sean portal de administración de Microsoft Entra en Administrar inquilino. La
administradores creen creación de un inquilino se registra en el registro de auditoría bajo la
inquilinos categoría DirectoryManagement y la actividad Create Company (Crear
empresa). Cualquier persona que cree un inquilino se convierte en el
administrador global de ese inquilino. El inquilino recién creado no hereda
ningún ajuste ni configuración.
¿Qué hace este cambio?

Establecer esta opción en Sí restringe la creación de inquilinos de Microsoft
Entra a los roles de administrador global o creador de inquilinos. Establecer
esta opción en No permite a los usuarios que no son administradores crear
inquilinos de Microsoft Entra. La creación de inquilinos seguirá
registrándose en el registro de auditoría.
Cómo conceder solo a los usuarios específicos que no sea administradores

la capacidad de crear nuevos inquilinos?
Establezca esta opción en Sí y asígneles el rol de creador de inquilinos.
Restricción de Esta configuración se puede encontrar en el centro de administración de

recuperación de claves Microsoft Entra en configuración del dispositivo. Si establece esta opción en
de BitLocker para los Sí, se impide que los usuarios puedan recuperar las claves de BitLocker de
dispositivos de autoservicio para sus dispositivos en propiedad. Los usuarios tendrán que
propiedad de los ponerse en contacto con el departamento de soporte técnico de la

usuarios organización para recuperar las claves de BitLocker. Establecer esta opción
en No permite a los usuarios recuperar sus claves de BitLocker.
Leer a otros usuarios Esta configuración solo está disponible en Microsoft Graph y PowerShell. Si
establece esta marca en $false , se impide que quienes no son
administradores lean la información de los usuarios desde el directorio. Esta
marca no impide que puedan leer la información de los usuarios en otros
servicios de Microsoft, como Exchange Online.
Esta configuración está pensada para circunstancias especiales, por lo que

no se recomienda establecer la marca en $false .
A continuación se muestra la opción Restringir usuarios que no son administradores para

crear inquilinos
Restringir los permisos predeterminados de los

usuarios invitados
Puede restringir los permisos predeterminados de los usuarios invitados de las maneras
siguientes.
７ Nota
La opción Restricciones del acceso de usuarios invitados reemplazó a la opción Los

permisos de los usuarios invitados están limitados. Para obtener orientación sobre el
uso de esta función, consulte Restringir permisos de acceso de invitado en Microsoft
Entra ID.
Restricciones de Establecer esta opción en Los usuarios invitados tienen el mismo acceso que los
acceso de miembros concede de manera predeterminada todos los permisos de usuario
usuarios miembro a los usuarios invitados.
invitados
Establecer esta opción en El acceso de los usuarios invitados está restringido a las
propiedades y pertenencias de sus propios objetos de directorio restringe de
manera predeterminada el acceso de un invitado solo a su propio perfil de usuario.
Ya no se permite el acceso a otros usuarios ni siquiera al buscar por nombre
principal de usuario, Id. de objeto o nombre para mostrar. Además, ya no se permite
el acceso a la información de grupos, incluidas las pertenencias a grupos.
Esta configuración no impide el acceso a grupos unidos de otros servicios de

Microsoft 365, como Microsoft Teams. Para más información, consulte Microsoft
Teams guest access (Acceso de invitado en Microsoft Teams).
Los usuarios invitados se pueden seguir agregando a los roles Administrador

independientemente de esta configuración de permiso.
Los invitados Establecer esta opción en Sí permite que los invitados inviten a otros usuarios. Para
pueden invitar más información, consulte Configuración de la colaboración externa.
Propiedad del objeto
Permisos de propietario del registro de una aplicación

Cuando un usuario registra una aplicación, se agrega automáticamente como propietario de la
misma. Como propietario, puede administrar los metadatos de la aplicación, como el nombre
y los permisos que solicita la aplicación. También pueden administrar la configuración
específica del inquilino de la aplicación, como la configuración de inicio de sesión único (SSO)
y las asignaciones de usuarios.
Un propietario también puede agregar o quitar otros propietarios. A diferencia de los

administradores globales, los propietarios solo pueden administrar las aplicaciones que
poseen.
Permisos de propietario de las aplicaciones empresariales

Cuando un usuario agrega una aplicación empresarial, se agrega automáticamente como
propietario. Como propietario, también puede administrar la configuración específica del
inquilino de la aplicación, como la configuración de SSO, el aprovisionamiento y las
asignaciones de usuarios.

administradores globales, los propietarios solo pueden administrar las aplicaciones que
poseen.
Permisos de propietario de grupo
Cuando un usuario crea un grupo, se agrega automáticamente como propietario de dicho
grupo. Como propietario, puede administrar las propiedades del grupo (como el nombre) y
administrar la pertenencia al grupo.

administradores globales y los administradores de usuarios, los propietarios pueden
administrar solo los grupos que poseen.
Para asignar un propietario de grupo, consulte Administración de propietarios de un grupo.
Permisos de propiedad
Las siguientes tablas describen los permisos específicos en Microsoft Entra ID que los usuarios
miembros tienen sobre los objetos de su propiedad. Los usuarios solo tienen estos permisos
en los objetos que poseen.
Registros de aplicación que se poseen

Los usuarios pueden realizar las siguientes acciones en los registros de aplicación que poseen:
Acción Descripción
microsoft.directory/applications/audience/update Actualice la propiedad applications.audience

en Microsoft Entra ID.
microsoft.directory/applications/authentication/update Actualice la propiedad

applications.authentication en Microsoft
Entra ID.
microsoft.directory/applications/basic/update Actualice las propiedades básicas de las

aplicaciones en Microsoft Entra id.
microsoft.directory/applications/credentials/update Actualice la propiedad

applications.credentials en Microsoft Entra
ID.
microsoft.directory/applications/delete Elimine las aplicaciones en Microsoft Entra ID.
microsoft.directory/applications/owners/update Actualice la propiedad applications.owners en

Microsoft Entra ID.
microsoft.directory/applications/permissions/update Actualice la propiedad

applications.permissions en Microsoft Entra
ID.
microsoft.directory/applications/policies/update Actualice la propiedad applications.policies

microsoft.directory/applications/restore Restaurar aplicaciones en Microsoft Entra ID.
Aplicaciones empresariales que se poseen

Los usuarios pueden realizar las siguientes acciones en las aplicaciones empresariales que
poseen. Una aplicación empresarial se compone de la entidad de servicio, una o varias
directivas de aplicación y, a veces, un objeto de aplicación en el mismo inquilino que la
entidad de servicio.
microsoft.directory/auditLogs/allProperties/read Leer todas las propiedades (incluidas

las propiedades con privilegios) de
los registros de auditoría en
Microsoft Entra ID.
microsoft.directory/policies/basic/update Actualice las propiedades básicas de

las directivas en Microsoft Entra id.
microsoft.directory/policies/delete Eliminar directivas en Microsoft Entra

ID.
microsoft.directory/policies/owners/update Actualice la propiedad

policies.owners en Microsoft Entra
ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualice la propiedad

servicePrincipals.appRoleAssignedTo
microsoft.directory/servicePrincipals/appRoleAssignments/update Actualice la propiedad

users.appRoleAssignments en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Actualice la propiedad

servicePrincipals.audience en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Actualice la propiedad

servicePrincipals.authentication en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Actualice las propiedades básicas de

las entidades de servicio en Microsoft
Entra ID.
microsoft.directory/servicePrincipals/credentials/update Actualice la propiedad

servicePrincipals.credentials en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete Elimine las entidades de servicio en

Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update Actualice la propiedad

servicePrincipals.owners en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Actualice la propiedad

servicePrincipals.permissions en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Actualice la propiedad

servicePrincipals.policies en
Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades (incluidas

las propiedades con privilegios) de
los informes de inicio de sesión en
Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Administrar las credenciales y los

secretos de aprovisionamiento de
aplicaciones
microsoft.directory/servicePrincipals/synchronizationJobs/manage Inicio, reinicio y detención de los

trabajos de sincronización de
aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creación y administración de

esquemas y trabajos de
sincronización de aprovisionamiento
de aplicaciones
microsoft.directory/servicePrincipals/synchronization/standard/read Lectura de la configuración de

aprovisionamiento asociada a la
entidad de servicio
Dispositivos que se poseen

Los usuarios pueden realizar las siguientes acciones en los dispositivos que poseen:
microsoft.directory/devices/bitLockerRecoveryKeys/read Lea la propiedad

devices.bitLockerRecoveryKeys en Microsoft
Entra ID.
microsoft.directory/devices/disable Deshabilite los dispositivos en Microsoft Entra

ID.
Grupos que se poseen
Los usuarios pueden realizar las siguientes acciones en los grupos que poseen.
７ Nota
Los propietarios de grupos dinámicos deben tener un rol de Administrador global,

Administrador de grupo, Administrador de Intune o Administrador de usuarios para editar
las reglas de pertenencia a grupos. Para obtener más información, consulte Crear o
actualizar un grupo dinámico en Microsoft Entra ID.
microsoft.directory/groups/appRoleAssignments/update Actualice la propiedad

groups.appRoleAssignments en Microsoft Entra
ID.
microsoft.directory/groups/basic/update Actualice las propiedades básicas de los

grupos en Microsoft Entra ID.
microsoft.directory/groups/delete Elimine grupos en Microsoft Entra ID.
microsoft.directory/groups/members/update Actualice la propiedad groups.members en

Microsoft Entra ID.
microsoft.directory/groups/owners/update Actualice la propiedad groups.owners en

Microsoft Entra ID.
microsoft.directory/groups/restore Elimine grupos en Microsoft Entra ID.
microsoft.directory/groups/settings/update Actualice la propiedad groups.settings en

Microsoft Entra ID.
Pasos siguientes
Para obtener más información sobre la configuración de Restricciones de acceso de
usuario invitado , consulte Restringir permisos de acceso de invitado en Microsoft Entra
ID.
Para obtener más información sobre cómo asignar roles de administrador de Microsoft
Entra, consulte Asignar un usuario a roles de administrador en Microsoft Entra ID.
Para más información sobre cómo se controla el acceso a los recursos en Microsoft
Azure, consulte Descripción de acceso a los recursos de Azure.
Para obtener más información sobre cómo se relaciona Microsoft Entra ID con su
suscripción de Azure, consulte Cómo se asocian las suscripciones de Azure con Microsoft
Entra ID.
Administración de usuarios.
Comentarios

Más información sobre los grupos y los
derechos de acceso en Microsoft Entra
ID
Artículo • 28/11/2023
Microsoft Entra ID proporciona varias maneras para administrar el acceso a recursos,

aplicaciones y tareas. Con los grupos de Microsoft Entra, puede conceder acceso y
permisos a un grupo de usuarios en lugar de hacerlo para cada usuario individual. Uno
de los principales principios de seguridad de Confianza cero consiste en limitar el acceso
a los recursos de Microsoft Entra solo a aquellos usuarios que necesiten dicho acceso.
En este artículo se proporciona información general sobre cómo se pueden usar juntos
los grupos y los derechos de acceso para facilitar la administración de los usuarios de
Microsoft Entra, a la vez que se aplican los procedimientos recomendados de seguridad.
Microsoft Entra ID permite usar grupos para administrar el acceso a aplicaciones, datos
y recursos. Los recursos pueden:
Parte de la organización de Microsoft Entra, como permisos para administrar

objetos a través de roles en Microsoft Entra ID
Externo a la organización, como para aplicaciones de software como servicio
(SaaS)
Servicios de Azure
Sitios de SharePoint
Recursos locales
Algunos grupos no se pueden administrar en Azure Portal:
Los grupos sincronizados desde Active Directory local solo se pueden administrar
en Active Directory local.
Las listas de distribución y los grupos de seguridad habilitados para correo, solo se
administran en el centro de administración de Exchange o en el centro de
administración de Microsoft 365. Debe iniciar sesión en el centro de
administración de Exchange o en el centro de administración de Microsoft 365
para administrar estos grupos.
Antes de crear un grupo debe saber que:

Existen dos tipos de grupos y tres tipos de pertenencia a grupos. Revise las opciones a
fin de encontrar la combinación adecuada para su escenario.
Tipos de grupo:
Seguridad: se usa para administrar el acceso de usuarios y equipos a los recursos
compartidos.
Por ejemplo, puede crear un grupo de seguridad para que todos los miembros del
grupo tengan el mismo conjunto de permisos de seguridad. Entre los miembros de un
grupo de seguridad pueden incluirse usuarios, dispositivos, otros grupos y entidades de
servicio, que definen la directiva de acceso y los permisos. Entre los propietarios de un
grupo de seguridad pueden incluirse usuarios y entidades de servicio.
Microsoft 365: proporciona oportunidades de colaboración al conceder a los miembros

del grupo acceso a un buzón compartido, calendarios, archivos, sitios de SharePoint y
mucho más.
Esta opción también permite ofrecer acceso al grupo a personas de fuera de la

organización. Entre los miembros de un grupo de Microsoft 365 solo pueden incluirse
usuarios. Entre los propietarios de un grupo de Microsoft 365 pueden incluirse usuarios
y entidades de servicio. Para obtener más información sobre los Grupos de
Microsoft 365, vea Más información sobre los grupos de Microsoft 365 .
Tipos de pertenencia:
Asignado: permite agregar usuarios específicos como miembros de un grupo y
que tengan permisos exclusivos.
Usuario dinámico: permite usar reglas de pertenencia dinámicas para agregar y

quitar miembros automáticamente. Si los atributos de un miembro cambian, el
sistema examina las reglas del grupo dinámico del directorio para comprobar si el
miembro cumple los requisitos de la regla (se agrega) o ya no cumple los
requisitos de las reglas (se elimina).
Dispositivo dinámico: permite usar reglas de grupo dinámico para agregar y

quitar dispositivos automáticamente. Si los atributos de un dispositivo cambian, el
sistema examina las reglas del grupo dinámico del directorio para comprobar si el
dispositivo cumple los requisitos de la regla (se agrega) o ya no cumple los
requisitos de las reglas (se elimina).
） Importante
Puede crear un grupo dinámico para dispositivos o usuarios, pero no para

ambos. No se puede crear un grupo de dispositivos basado en los atributos
de los propietarios de los dispositivos. Las reglas de pertenencia de
dispositivo solo pueden hacer referencia a atribuciones de dispositivos. Para
más información sobre cómo crear un grupo dinámico para usuarios y
dispositivos, consulte Creación de un grupo dinámico y comprobación de su
estado.
Antes de agregar derechos de acceso a un

grupo debe saber que:
Después de crear un grupo de Microsoft Entra, debe concederle el acceso adecuado.
Cada aplicación, recurso y servicio que necesite permisos de acceso se debe administrar
por separado, ya que es posible que los permisos de uno no sean los mismos que los de
otros. Conceda acceso mediante el principio de privilegios mínimos para ayudar a
reducir el riesgo de ataque o una vulneración de seguridad.
Funcionamiento de la administración de acceso en

Microsoft Entra ID
Microsoft Entra ID le ayuda a proporcionar acceso a los recursos de su organización, ya
que proporciona derechos de acceso a un usuario individual o a todo un grupo de
Microsoft Entra. El uso de grupos permite que el propietario del recurso o al propietario
del directorio de Microsoft Entra asigne un conjunto de permisos de acceso a todos los
miembros del grupo. El propietario del recurso o del directorio también puede conceder
derechos de administrador, por ejemplo, a un administrador de departamento o a un
administrador del departamento de soporte técnico, y prmitir que dicha persona
agregue y quite miembros. Para obtener información sobre cómo administrar
propietarios de grupos, consulte el artículo Administración de grupos.
Formas de asignar derechos de acceso
Después de crear un grupo, debe decidir cómo asignar derechos de acceso. Explore las
diferentes maneras de asignar derechos de acceso para determinar el mejor proceso
para su escenario.
Asignación directa. El propietario del recurso asigna directamente el usuario al

recurso.
Asignación de un grupo. El propietario del recurso asigna un grupo de Microsoft

Entra al recurso, que automáticamente concede a todos sus miembros acceso al
recurso. La pertenencia a un grupo la administran el propietario del grupo y el
propietario del recurso, lo que permite a ambos propietarios agregar o quitar
miembros del grupo. Para obtener más información sobre la administración de la
pertenencia a grupos, consulte el artículo Administración de grupos.
Asignación basada en reglas. El propietario del recurso crea un grupo y usa una
regla para definir qué usuarios están asignados a un recurso concreto. La regla se
basa en atributos que se asignan a usuarios individuales. El propietario del recurso
administra la regla, lo que determina los atributos y valores que son necesarios
para permitir el acceso al recurso. Para más información, consulte Creación de un
grupo dinámico y comprobación de su estado.
Asignación de una autoridad externa. El acceso procede de un origen externo,

como un directorio local o una aplicación SaaS. En esta situación, el propietario del
recurso asigna al grupo para proporcionar acceso al recurso y, después, el origen
externo administra los miembros del grupo.
¿Pueden los usuarios unirse a grupos sin que se les

asignen?
El propietario del grupo puede permitir a los usuarios buscar los grupos a los que se van
a unir, en lugar de asignarlos. El propietario también puede configurar el grupo para
que acepte todos los usuarios que se unan a o para que exija aprobación.
Cuando un usuario solicita unirse a un grupo, la solicitud se reenvía al propietario del

mismo. Si es necesario, el propietario puede aprobar la solicitud y se notifica al usuario
de la pertenencia al grupo. Si tiene varios propietarios y uno de ellos la rechaza, el
usuario recibe una notificación, pero no se agrega al grupo. Para más información e
instrucciones acerca de cómo permitir a los usuarios solicitar su unión a grupos,
consulte Configuración de Microsoft Entra ID para que los usuarios puedan solicitar
unirse a grupos.
Pasos siguientes
Creación y administración de grupos y pertenencia a grupos de Microsoft Entra
Más información sobre la concesión de licencias por grupos en Microsoft Entra ID
Administrar el acceso a las aplicaciones SaaS mediante grupos
Administrar reglas dinámicas de los usuarios de un grupo
Obtenga información sobre Privileged Identity Management para los roles de
Microsoft Entra
Inicio rápido: Creación de un grupo con
miembros y vista de todos los grupos y
miembros
Artículo • 13/12/2023
Puede ver los grupos existentes en la organización y los miembros de los grupos
mediante el centro de administración de Microsoft Entra. Los grupos se usan para
administrar usuarios que necesitan el mismo acceso y permisos para servicios y
aplicaciones potencialmente restringidos.
En este inicio rápido, configurará un nuevo grupo y asignar miembros a dicho grupo. A
continuación, verá el grupo de la organización y los miembros asignados. En esta guía,
creará un usuario y un grupo que podrá usar en otros tutoriales e inicios rápidos.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Requisitos previos
Antes de comenzar, deberá:
Cree un inquilino de Microsoft Entra. Para más información, consulte Acceso a

Azure Portal y creación de un nuevo inquilino.
Creación de un grupo nuevo

Cree un nuevo grupo llamado MDM policy - West. Para más información acerca de cómo
crear un grupo, consulte Cómo crear un grupo básico y agregar miembros.
 Sugerencia
donde comienza.

2. Vaya aIdentidad>Grupos>Todos los grupos.
3. Seleccione Nuevo grupo.

4. Rellene la página Grupo:
Tipo de grupo: seleccione Seguridad

Nombre de grupo: escriba MDM policy - West
Tipo de pertenencia: seleccione Asignado.
5. Seleccione Crear.
Creación de un nuevo usuario

Debe existir un usuario antes de agregarse como miembro del grupo, por lo que deberá
crear un nuevo usuario. En este inicio rápido, se ha agregado un usuario con el nombre
Alain Charon. Revise primero la pestaña “Nombres de dominio personalizados” para
obtener el nombre de dominio verificado en el que quiera crear usuarios. Para más
información acerca de cómo crear un usuario, consulte Cómo agregar o eliminar
usuarios.
2. Seleccione Nuevo usuario>Crear nuevo usuario.
3. Rellene la página Usuario:
Nombre principal de usuario: escriba alain@contoso.com.

Nombre para mostrar: escriba Alain Charon.
4. Copie la contraseña generada automáticamente que se proporciona en el cuadro

de texto Contraseña y seleccione Crear.
Adición de un miembro del grupo

Ahora que tiene un grupo y un usuario, puede agregar a Alain Charon como un
miembro del grupo MDM policy - West. Para obtener más información sobre la adición
de miembros a grupos, consulte el artículo Administración de grupos.

2. Seleccione el grupo MDM policy - West creado anteriormente.
3. En la página Información general de MDM policy - West, seleccione Miembros.
4. Seleccione Agregar miembros y, a continuación, busque y seleccione Alain
Charon.
5. Elija Seleccionar.
Visualización de todos los grupos
Puede ver todos los grupos de la organización en la página Grupos - Todos los grupos.
Vaya aIdentidad>Grupos>Todos los grupos.
Aparecerá la página Todos los grupos con todos los grupos activos.
búsqueda de un grupo
Use la página Todos los grupos para buscar el grupo MDM policy - West.
2. En la página Todos los grupos, escriba MDM en el cuadro Buscar.
Los resultados de la búsqueda aparecen bajo el cuadro Buscar, incluido el grupo

MDM policy - West.
3. Seleccione el grupo MDM policy – West.
4. Puede ver la información del grupo en la página Información general de MDM

policy - West, incluido el número de miembros del grupo.
Visualización de los miembros del grupo
Ahora que ha encontrado el grupo, puede ver todos los miembros asignados.
Seleccione Miembros en el área Administrar y, a continuación, revise la lista completa

de los nombres de los miembros asignados a ese grupo específico, incluido Alain
Charon.
Limpieza de recursos
El grupo que acaba de crear se usa en otros artículos de esta documentación. Si prefiere
no usar este grupo, puede eliminarlo junto con sus miembros asignados mediante los
siguientes pasos:
2. En la página Todos los grupos, busque el grupo MDM policy - West.
3. Seleccione el grupo MDM policy - West.
Aparece la página Información general de MDM policy - West.
4. Seleccione Eliminar.
El grupo y los miembros asociados se eliminan.

） Importante
Esta operación no elimina al usuario Alain Charon, solo su pertenencia al

grupo eliminado.
Para eliminar su usuario de prueba: vaya aIdentidad>Usuarios>Todos los

usuarios, seleccione su usuario de prueba y elija Eliminar.
Pasos siguientes
Avance al siguiente artículo para obtener información sobre cómo asociar una
suscripción a su directorio.
Asociación de una suscripción a Azure

Administrar grupos de Microsoft Entra y
la pertenencia a grupos
Artículo • 30/11/2023
Los grupos de Microsoft Entra se usan para administrar usuarios que necesitan todos el
mismo acceso y permisos a recursos, como aplicaciones y servicios potencialmente
restringidos. En lugar de agregar permisos especiales a usuarios individuales, puede
crear un grupo que aplique los permisos especiales a cada miembro de ese grupo.
En este artículo se tratan los escenarios de grupos básicos en los que se agrega un
único grupo a un único recurso y los usuarios se agregan como miembros de ese grupo.
Para escenarios más complejos, como membresías dinámicas y creación de reglas,
consulte la Documentación sobre administración de usuarios de Microsoft Entra.
Antes de agregar grupos y miembros, obtenga información sobre los grupos y los tipos
de pertenencia para ayudarle a decidir qué opciones usar cuando cree un grupo.
Creación de un grupo básico y adición de

miembros
 Sugerencia
donde comienza.
Puede crear un grupo básico y agregar los miembros al mismo tiempo mediante el
centro de administración de Microsoft Entra. Los roles de Microsoft Entra que pueden
administrar grupos incluyen Administrador de grupos, Administrador de usuarios,
Administrador de roles con privilegios o Administrador global. Revisión de los roles
apropiados de Microsoft Entra para la administración de grupos
Para crear un grupo básico y agregar miembros:
1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos

como administrador de grupos.
3. Seleccione Nuevo grupo.

4. Seleccione un Tipo de grupo. Para obtener más información sobre los tipos de
grupo, consulte el artículo Información sobre los grupos y los tipos de pertenencia.
Si selecciona el tipo de grupo de Microsoft 365, se habilitará la opción

Dirección de correo electrónico del grupo.
5. Introduzca un Nombre de grupo. Elija un nombre que sea fácil de recordar y que
tenga sentido para el grupo. Se realizará una comprobación para determinar si el
nombre ya está en uso. Si el nombre del grupo ya está en uso, se le pedirá que lo
modifique.
El nombre del grupo no puede comenzar con un espacio. Al iniciar el nombre

con un espacio, se impide que el grupo aparezca como una opción para
pasos como agregar asignaciones de roles a los miembros del grupo.
6. Dirección de correo electrónico del grupo: solo está disponible para los tipos de
grupo de Microsoft 365. Escriba manualmente una dirección de correo electrónico
o use la que se creó a partir del nombre de grupo que proporcionó.
7. Descripción de grupo. Agregue una descripción opcional al grupo.
8. Cambie el Ajuste de los roles de Microsoft Entra pueden ser asignados al grupo a
sí para usar este grupo para asignar roles de Microsoft Entra a los miembros.
Esta opción solo está disponible con licencias Premium P1 o P2.

Debe tener el rol de Administrador de roles con privilegios o Administrador
global.
Al habilitar esta opción, se selecciona automáticamente Asignado como tipo
de pertenencia.
La capacidad de agregar roles mientras se crea el grupo se agrega al proceso.
Obtenga más información sobre los grupos a los que se pueden asignar
roles.
9. Seleccione un tipo de pertenencia. Para obtener más información sobre los tipos
de grupos, consulte el artículo Información sobre los grupos y los tipos de
pertenencia.
10. De manera opcional, agregue Propietarios o Miembros. Los miembros y

propietarios se pueden agregar después de crear el grupo.
a. Seleccione el vínculo de Propietarios o Miembros para rellenar una lista de
todos los usuarios del directorio.
b. Elija usuarios de la lista y, a continuación, en la parte inferior de la ventana,
seleccione el botón Seleccionar.
11. Seleccione Crear. Se ha creado el grupo y está listo para que administre otras
configuraciones.
Desactivación del correo electrónico de bienvenida al
grupo
Cuando los usuarios se agregan a un nuevo grupo de Microsoft 365, se envía una
notificación de bienvenida a todos, independientemente del tipo de pertenencia.
Cuando cambian los atributos de un usuario o dispositivo, se procesan todas las reglas
de grupo dinámico de la organización para comprobar si hay posibles cambios de
pertenencia. Los usuarios que se agregan también reciben la notificación de bienvenida.
Este comportamiento se puede desactivar en Exchange PowerShell.
Agregar o quitar miembros y propietarios

Los miembros y propietarios se pueden agregar y quitar de los grupos existentes. El
proceso es el mismo para los miembros y propietarios. Necesitará el rol Administrador
de grupos o Administrador de usuarios para agregar y quitar miembros y propietarios.
¿Necesita agregar varios miembros a la vez? Obtenga información sobre la opción

Agregar miembros en bloque.
Agregar miembros o propietarios de un grupo

3. Selccione el grupo que necesita administrar.
4. Seleccione Miembros o Propietarios.

5. Seleccione + Agregar (miembros o propietarios).
6. Desplácese por la lista o bien introduzca un nombre en el cuadro de búsqueda.

Puede elegir varios nombres a la vez. Cuando esté listo, seleccione el botón
Seleccionar.
La página Información general del grupo se actualiza para mostrar el número de

miembros que ahora se agregan al grupo.
Quitar miembros o propietarios de un grupo

3. Selccione el grupo que necesita administrar.

4. Seleccione Miembros o Propietarios.
5. Active la casilla que está junto a un nombre de la lista y seleccione el botón Quitar.
Edición de la configuración del grupo

Puede editar el nombre del grupo, la descripción o el tipo de pertenencia. Necesitará el
rol Administrador de grupos o Administrador de usuarios para editar la configuración
de un grupo.
Para editar la configuración de un grupo:

3. Desplácese por la lista o introduzca un nombre de grupo en el cuadro de

búsqueda. Selccione el grupo que necesita administrar.
4. Seleccione Propiedades en el menú lateral.

5. Actualice la información de configuración general según sea necesario, incluidos:
Nombre de grupo. Edite el nombre de grupo existente.
Descripción de grupo. Edite la descripción de grupo existente.
Tipo de grupo. No se puede cambiar el tipo de grupo después de que se ha

creado. Para cambiar el tipo de grupo, debe eliminar el grupo y crear uno
nuevo.
Tipo de pertenencia. Cambie el tipo de pertenencia de un grupo. Si ha

habilitado la opción Roles de Microsoft Entra pueden ser asignados al
grupo, no podrá cambiar el tipo de membresía. Para obtener más
información sobre los tipos de pertenencia disponibles, consulte el artículo
Información sobre grupos y tipos de pertenencia.
Id. de objeto. No se puede cambiar el identificador de objeto, pero puede

copiarlo para usarlo en los comandos de PowerShell para el grupo. Para
obtener más información sobre el uso de los cmdlets de PowerShell, consulte
cmdlets de Microsoft Entra para configurar ajustes de grupo.
Incorporación o eliminación de un grupo desde

otro grupo
Puede agregar un grupo de seguridad existente a otro grupo de seguridad existente (lo
que también se conoce como grupos anidados). En función de los tipos de grupo,
puede agregar un grupo como miembro de otro grupo, al igual que un usuario, que
aplica configuraciones como roles y accede a los grupos anidados. Necesitará el rol
Administrador de grupos o Administrador de usuarios para editar la pertenencia al
grupo.
Actualmente, no se admite:
Agregar grupos a un grupo sincronizado con Active Directory local.

Agregar grupos de seguridad a grupos de Microsoft 365.
Agregar grupos de Microsoft 365 a grupos de seguridad u otros grupos de
Microsoft 365.
Asignar aplicaciones a grupos anidados.
Aplicar licencias a grupos anidados.
Agregar grupos de distribución en escenarios de anidamiento.
agregar grupos de seguridad como miembros de otros grupos de seguridad que
estén habilitados para recibir correo.
Agregar grupos como miembros de un grupo asignable a roles.
Incorporación de un grupo a otro grupo

3. En la página Todos los grupos, busque y seleccione el grupo que quiera que se
convierta en miembro de otro grupo.
７ Nota
Solo puede agregar su grupo como miembro a otro grupo a la vez. Los
caracteres comodín no se admiten en el cuadro de búsqueda Seleccionar
grupo.
4. En la página Información general del grupo, seleccione Pertenencias a grupos en
el menú lateral.
5. Seleccione + Agregar miembros.
6. Busque el grupo del que quiere que su grupo sea miembro y elija Seleccionar.
En este ejercicio, vamos a agregar "Directiva de MDM: Oeste" al grupo "Directiva

MDM: Todas las organizaciones". El grupo "MDM: directiva: Oeste" tendrá el
mismo acceso que el grupo "Directiva MDM: Todas las organizaciones".
Ahora puede revisar la página "MDM policy - West - Group memberships" para
consultar la relación entre el grupo y el miembro.
Para obtener una vista detallada de la relación entre el grupo y el miembro, seleccione
el nombre del grupo primario (Directiva de MDM - Todas las organizaciones) y observe
los detalles de la página "Directiva de MDM - Oeste".
Eliminación de un grupo de otro grupo

Puede quitar un grupo de seguridad existente de otro grupo de seguridad; pero al
quitar el grupo también se quitan los accesos heredados de sus miembros.
1. En la página Todos los grupos, busque y seleccione el grupo que necesita quitar
como miembro de otro grupo.
2. En la página Información general del grupo, seleccione Pertenencias a grupos.
3. Seleccione el grupo primario en la página Pertenencias a grupos.

4. Seleccione Quitar.
En este ejercicio, ahora vamos a quitar "Directiva de MDM - Oeste" del grupo
"Directiva MDM - Todas las organizaciones".
Eliminar un grupo
Puede eliminar un grupo para infinidad de motivos, pero normalmente será porque:
Elección de la opción de Tipo de grupo incorrecta.

Ha creado un grupo duplicado por error.
Ya no necesita el grupo.

3. Busque y seleccione el grupo que quiera eliminar.
Pasos siguientes
Obtenga más información sobre los grupos y la asignación de derechos de acceso
a grupos
Administrar grupos mediante los comandos de PowerShell
Administrar reglas dinámicas de los usuarios de un grupo
Escenarios, limitaciones y problemas conocidos del uso de grupos para administrar
las licencias en Microsoft Entra ID
Asociación o adición de una suscripción de Azure al Microsoft Entra ID
¿Qué es la concesión de licencias por
grupos en Microsoft Entra ID?
Artículo • 25/10/2023
Los servicios en la nube de pago de Microsoft, como Microsoft 365, Enterprise Mobility
+ Security, Dynamics 365 y otros productos similares, requieren licencias. Estas licencias
se asignan a cada usuario que necesita acceso a estos servicios. Para administrar las
licencias, los administradores usan uno de los portales de administración (ya sea Office
o Azure) y los cmdlets de PowerShell. Microsoft Entra ID es la infraestructura subyacente
que admite la administración de identidades para todos los servicios en la nube de
Microsoft. Microsoft Entra ID almacena información sobre los estados de asignación de
licencias de los usuarios.
Microsoft Entra ID incluye licencias basadas en grupos, lo que le permite asignar una o
varias licencias de producto a un grupo. Microsoft Entra ID garantiza que las licencias se
asignen a todos los miembros del grupo. A todos los miembros nuevos que se unan al
grupo se les asignarán las licencias correspondientes. Cuando salen del grupo, se quitan
esas licencias. La administración de licencias elimina la necesidad de automatizar la
administración de licencias a través de PowerShell para reflejar los cambios que se
producen en la organización y en la estructura de departamento por cada usuario.
Requisitos de concesión de licencia

Debe tener una de las siguientes licencias para cada usuario que se beneficia de las
licencias basadas en grupos:
Suscripción de pago o de prueba para Microsoft Entra ID P1 y versiones

posteriores
Edición de pago o de prueba de Microsoft 365 Business Premium, Office 365

Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 para GCCH u
Office 365 E3 para DOD y superior
Número necesario de licencias

Para cualquier grupo al que se le asigne una licencia, también debe tener una licencia
para cada miembro exclusivo. Si bien no tiene que asignar una licencia a cada miembro
del grupo, debe tener al menos suficientes licencias para incluir a todos los miembros.
Por ejemplo, si tiene 1000 miembros exclusivos que forman parte de grupos con licencia
en su inquilino, debe tener al menos 1000 licencias para cumplir el contrato de licencia.
Características
A continuación se indican las características principales de las licencias basadas en
grupos:
Se pueden asignar licencias a todos los grupos de seguridad en Microsoft Entra ID.
Los grupos de seguridad se pueden sincronizar desde el entorno local mediante
Microsoft Entra Connect. También puede crear grupos de seguridad directamente
en Microsoft Entra ID (también denominados grupos solo de nube) o de forma
automática, a través de la característica de grupo dinámico de Microsoft Entra ID.
Cuando se asigna una licencia de producto a un grupo, el administrador puede

deshabilitar uno o varios planes de servicio del producto. Habitualmente, esta
asignación se hace cuando la organización todavía no está preparada para
comenzar a usar un servicio incluido en un producto. Por ejemplo, el administrador
podría asignar Microsoft 365 a un departamento y deshabilitar temporalmente el
servicio Yammer.
Se admiten todos los Servicios en la nube de Microsoft que requieren licencias a

nivel de usuario. Esta compatibilidad incluye todos los productos de Microsoft 365,
Enterprise Mobility + Security y Dynamics 365.
Actualmente, las licencias basadas en grupos están disponibles a través de

Azure Portal y del Centro de administración de Microsoft .
Microsoft Entra ID administra automáticamente las modificaciones de licencia

resultantes de los cambios de pertenencia a grupos. Habitualmente, las
modificaciones de licencia entran en vigor minutos después de un cambio en la
pertenencia.
Un usuario puede ser miembro de varios grupos con directivas de licencia

especificadas. Un usuario también puede tener algunas licencias que se asignaron
directamente, fuera de cualquier grupo. El estado de usuario resultante es una
combinación de todas las licencias de producto y servicio asignadas. Si se le asigna
a un usuario la misma licencia desde varios orígenes, la licencia solo se usará una
vez.
En algunos casos, no se pueden asignar licencias a un usuario. Por ejemplo, es

posible que no haya licencias disponibles suficientes en el inquilino o puede que
se hayan asignado servicios en conflicto al mismo tiempo. Los administradores
tienen acceso a información sobre usuarios para los que Microsoft Entra ID no
pudo procesar íntegramente las licencias de grupo. Pueden realizar acciones
correctivas según esa información.
Agradecemos sus comentarios.

Si tiene comentarios o solicitudes de características, compártalos con nosotros a través
del foro de administradores de Microsoft Entra .
Pasos siguientes
Para más información sobre otros escenarios de administración de licencias basadas en
grupos, consulte:
Asignación de licencias a un grupo en Microsoft Entra ID

Identificación y resolución de problemas de licencias de un grupo en Microsoft
Entra ID
Migración de usuarios individuales con licencia a licencias basadas en grupos en
Microsoft Entra ID
Cómo migrar usuarios entre diferentes licencias de productos con licencias
basadas en grupos de Microsoft Entra ID
Escenarios adicionales para licencias basadas en grupos de Microsoft Entra
Ejemplos de PowerShell para licencias basadas en grupos de Microsoft Entra ID
Información del programa de versión
preliminar de Microsoft Entra ID
Artículo • 18/11/2023
Microsoft Entra ID puede incluir versiones preliminares, beta u otras características,

servicios, software o regiones anteriores al lanzamiento ofrecidos por Microsoft para
obtener la opinión de los clientes ("versiones preliminares"). Las versiones preliminares
se ponen a su disposición con la condición de que acepte las presentes condiciones de
uso, que se describen en las Condiciones generales de los productos de Microsoft para
servicios en línea .
Microsoft puede lanzar versiones preliminares por fases para dar a Microsoft y a los
clientes la oportunidad de evaluar y comprender las nuevas características potenciales.
７ Nota
No todas las características que están en versión preliminar están disponibles con
carácter general. Aunque no es la norma, es posible que Microsoft cancele las
características durante la versión preliminar.
Las fases pueden incluir:
1. Versión preliminar privada: durante esta fase, invitamos a algunos clientes a

participar en el acceso anticipado a nuevos conceptos y características. Esta fase
no incluye soporte formal.
2. Versión preliminar pública: durante esta fase, se permite que cualquier cliente con
la licencia de Microsoft Entra adecuada evalúe la nueva característica. Las versiones
preliminares públicas pueden incluir asistencia al cliente limitada y los contratos de
nivel de servicio normales no se aplicarán. En el caso de las nuevas características
expuestas en el Centro de administración de Microsoft Entra, los clientes pueden
esperar ver banners de información en la interfaz de usuario que lleven su atención
a la nueva experiencia disponible durante la versión preliminar. Al hacer clic en el
banner de información, los clientes pueden participar en la experiencia de la
versión preliminar.
3. Disponibilidad general (GA): una vez completada la versión preliminar pública, la

característica está abierta para que cualquier cliente con licencia la use y recibe
soporte a través de todos los canales de soporte técnico de Microsoft. Tenga en
cuenta que cuando una nueva característica afecta a la funcionalidad existente,
podría cambiar la forma en que usted o sus usuarios usan la funcionalidad.
Cada programa de versión preliminar de Microsoft Entra ID puede tener diferentes

requisitos de participación y dependencias.
Comentarios

Licencias de Microsoft Entra ID
Artículo • 21/12/2023
En este artículo se describen las licencias de los servicios de Microsoft Entra. Está
pensado para responsables de la toma de decisiones de TI, administradores de TI y
profesionales de TI que están considerando el uso de los servicios de Microsoft Entra
para sus organizaciones. Este artículo no es para usuarios finales.
） Importante
Si deseas obtener información sobre licencias de servicios que no aparecen aquí,

consulta la documentación del servicio o la página de precios de Microsoft Entra
ID.
Aprovisionamiento de aplicaciones
Azure AD Application Proxy requiere licencias de Azure AD Premium P1 o P2. Para
obtener más información sobre licencias, consulte la página de precios de
Azure Active Directory .
Autenticación
En la siguiente tabla se enumeran las características disponibles para la autenticación en
las distintas versiones de Microsoft Entra ID. Planee sus necesidades para proteger el
inicio de sesión de usuario y determine qué enfoque cumple esos requisitos. Por
ejemplo, aunque Microsoft Entra ID Free proporciona valores predeterminados de
seguridad con autenticación multifactor, solo se puede utilizar Microsoft Authenticator
para la solicitud de autenticación, incluidas las llamadas de voz y texto. Este enfoque
puede ser una limitación si no puede asegurarse de que Authenticator está instalado en
el dispositivo personal de un usuario.
ﾉ Expandir tabla
Característica Microsoft Entra ID Microsoft Entra ID Office Entra ID Entra ID
Free: valores Free: solo 365 Premium Premium
predeterminados administradores P1 P2
de seguridad globales
(habilitados para
todos los usuarios)
Protección de ✅ ✅ (solo cuentas de ✅ ✅ ✅

cuentas de administrador
administración global de Azure AD)
de inquilinos de
Azure AD con
MFA
Aplicación móvil ✅ ✅ ✅ ✅ ✅
como segundo
factor
Llamada de ✅ ✅ ✅
teléfono como
segundo factor
SMS como ✅ ✅ ✅ ✅
segundo factor
Control ✅ ✅ ✅ ✅
administrativo
sobre métodos
de comprobación
Alerta de fraude ✅ ✅
Informes de MFA ✅ ✅
Saludos ✅ ✅
personalizados
para las llamadas
de teléfono
Identificador de ✅ ✅
llamada
personalizado
para llamadas
telefónicas
IP de confianza ✅ ✅
Recordar MFA ✅ ✅ ✅ ✅
para dispositivos
de confianza
Característica Microsoft Entra ID Microsoft Entra ID Office Entra ID Entra ID
Free: valores Free: solo 365 Premium Premium
predeterminados administradores P1 P2
(habilitados para
todos los usuarios)
MFA para ✅ ✅
aplicaciones
locales
Acceso ✅ ✅
condicional
Acceso ✅
condicional
basado en
riesgos
Autoservicio de ✅ ✅ ✅ ✅ ✅
restablecimiento
de contraseña
(SSPR)
SSPR con ✅ ✅
escritura diferida
Microsoft Entra Connect

El uso de esta característica es gratis y está incluido en su suscripción de Azure.
Estado de Microsoft Entra Connect

El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. A fin de
obtener la licencia correcta para sus requisitos, consulte Comparación de las
características con disponibilidad general de Azure AD .
Acceso condicional de Microsoft Entra

El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para
encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las
características de disponibilidad general de Microsoft Entra ID .
Los clientes con licencias de Microsoft 365 Empresa Premium también tienen acceso a
características de acceso condicional.
Las directivas basadas en riesgo requieren acceso a Identity Protection, que es una
característica de Microsoft Entra ID P2.
Otros productos y características que podrían interactuar con las directivas de acceso
condicional requieren licencias adecuadas para esos productos y características.
Cuando las licencias necesarias para el acceso condicional expiran, las directivas no se
deshabilitan ni eliminan automáticamente. Esto permite a los clientes migrar de las
directivas de acceso condicional sin un cambio repentino en su posición de seguridad.
Las directivas restantes se pueden ver y eliminar, pero ya no se actualizan.
Los valores predeterminados de seguridad sirven de protección contra ataques

relacionados con la identidad y están disponibles para todos los clientes.
Microsoft Entra ID Governance

En las siguientes tablas se describen los requisitos de licencia para las características de
Azure AD Identity Governance.
Características por licencia

En la siguiente tabla se muestran las características disponibles con cada licencia. No
todas las características están disponibles en todas las nubes; consulte Disponibilidad de
características de Microsoft Entra para Azure Government.
ﾉ Expandir tabla
Característica Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra

ID Governance
Aprovisionamiento ✅ ✅ ✅
controlado por
API
controlado por
recursos humanos
Aprovisionamiento ✅ ✅ ✅ ✅
automático de
usuarios en
aplicaciones SaaS
de grupos
ID Governance
automatizado para
aplicaciones SaaS
automático en
aplicaciones
locales
Acceso ✅ ✅ ✅
condicional:
atestación de los
Términos de uso
Administración de ✅ ✅
derechos:
administración de
derechos básica
derechos: ámbito
del acceso
condicional
derechos
MyAccess Search
Administración de ✅
derechos con el id.
comprobado
derechos +
Extensiones
personalizadas
(Logic Apps)
derechos +
Directivas de
asignación
automática
derechos: asignar
directamente
cualquier usuario
ID Governance
(versión
preliminar)
derechos: API de
conversión de
invitado
derechos: período
de gracia (versión
preliminar)
Portal Mi acceso ✅ ✅
derechos: directiva
de patrocinadores
(versión
preliminar)
Privileged Identity ✅ ✅
Management
(PIM)
PIM para grupos ✅ ✅
Controles de ✅ ✅
acceso condicional
de PIM
Revisiones de ✅ ✅
acceso:
certificaciones y
revisiones de
acceso básicas
Revisiones de ✅
acceso: PIM For
Groups(Preview)
Revisiones de ✅
acceso: revisiones
de usuarios
inactivos
Revisiones de ✅ ✅
acceso:
recomendaciones
ID Governance
de usuarios
inactivos
Revisiones de ✅
acceso:
certificación y
revisiones de
acceso asistido
por aprendizaje
automático
Flujos de trabajo ✅
de ciclo de vida
(LCW)
LCW + ✅
Extensiones
personalizadas
(Logic Apps)
Panel de ✅ ✅ ✅
gobernanza de
identidad (versión
preliminar)
Información e ✅
informes: cuentas
de invitado
inactivas (versión
preliminar)
Administración de derechos
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft
Entra para los usuarios de la organización. Algunas funcionalidades de esta característica
pueden funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo

Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el
número de licencias que debe tener.
ﾉ Expandir tabla
Escenario Cálculo Número
de
licencias
Un administrador de Identity Governance en Woodgrove 2000 empleados que 2\.000

Bank crea catálogos iniciales. Una de las directivas pueden solicitar los
especifica que todos los empleados (2000 empleados) paquetes de acceso
pueden solicitar un conjunto específico de paquetes de
acceso. 150 empleados solicitan los paquetes de acceso.
Un administrador de Identity Governance en Woodgrove 2000 empleados 2.000

Bank crea catálogos iniciales. Una de las directivas necesitan licencias.
especifica que todos los empleados (2000 empleados)
pueden solicitar un conjunto específico de paquetes de
acceso. 150 empleados solicitan los paquetes de acceso.
Un administrador de Identity Governance en Woodgrove 350 empleados 351

Bank crea catálogos iniciales. Crean una directiva de necesitan licencias.
asignación automática que concede a todos los miembros
del departamento de ventas (350 empleados) acceso a un
conjunto específico de paquetes de acceso. 350 empleados
se asignan automáticamente a los paquetes de acceso.
Revisiones de acceso
El uso de esta característica requiere suscripciones a Gobierno de id. de Microsoft Entra
para los usuarios de su organización, incluyendo a todos los empleados que estén
revisando el acceso o que tengan su acceso revisado. Algunas funcionalidades de esta
característica podrían funcionar con una suscripción de Microsoft Entra ID P2.

ﾉ Expandir tabla
Escenario Cálculo Número de

licencias
Un administrador crea una revisión de acceso 1 licencia para el propietario del 76

del Grupo A con 75 usuarios y 1 propietario del grupo como revisor y 75
grupo, y asigna el propietario del grupo como licencias para los 75 usuarios.
revisor.
Escenario Cálculo Número de
licencias
Un administrador crea una revisión de acceso 500 licencias para usuarios y 3 503
del Grupo B con 500 usuarios y 3 propietarios licencias para cada propietario
de grupo, y asigna los 3 propietarios de grupo de grupo como revisores.
como revisores.
Un administrador crea una revisión de acceso 500 licencias para cada usuario 500
del Grupo B con 500 usuarios. Realiza una como revisores
autorrevisión.

del Grupo C con 50 usuarios miembros. Realiza como autorrevisores.
una autorrevisión.

del Grupo D con 6 usuarios miembros. Realiza como revisores. No se necesitan
una autorrevisión. licencias adicionales.
Flujos de trabajo de ciclo de vida

Con las licencias de Gobernanza de Microsoft Entra ID para flujos de trabajo de ciclo de
vida, puede hacer lo siguiente:
Crear, administrar y eliminar flujos de trabajo hasta un límite total de 50 flujos de

trabajo.
Desencadenar la ejecución de flujo de trabajo a petición y de forma programada.
Administrar y configurar las tareas existentes para crear flujos de trabajo
específicos de sus necesidades.
Crear hasta 100 extensiones de tareas personalizadas que se usarán en los flujos
de trabajo.
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft

Entra para los usuarios de la organización.
ﾉ Expandir tabla
de
licencias
Un administrador de flujos de trabajo de ciclo de vida 1 licencia para el 251

crea un flujo de trabajo para agregar nuevas administrador de flujos de
contrataciones en el departamento de Marketing al trabajo de ciclo de vida y
grupo de equipos de Marketing. A través de este flujo 250 licencias para los
de trabajo, se asignan 250 nuevas contrataciones al usuarios.
grupo de equipos de Marketing.
Un administrador de flujos de trabajo de ciclo de vida 40 licencias para los 41

crea un flujo de trabajo para dar de baja con antelación usuarios y 1 licencia para
a un grupo de empleados antes de su último día de el administrador de flujos
trabajo. El ámbito de los usuarios que se darán de baja de trabajo de ciclo de
con antelación es de 40 usuarios. vida.
Protección de Microsoft Entra ID

El uso de esta característica requiere licencias de Microsoft Entra ID P2. Para encontrar la
licencia que más se ajuste a sus requisitos, consulte la Comparación de las
características de disponibilidad general de Microsoft Entra ID .
ﾉ Expandir tabla
Funcionalidad Detalles Microsoft Entra ID Microsoft Entra ID P1 Microsoft Entra ID P2

Gratis
/Aplicaciones de
Microsoft 365
Directivas de Directivas No No Sí
riesgo de riesgo
de inicio de
sesión y de
usuario
(mediante
Identity
Protection
o el acceso
condicional)
Informes de Información No No Sí
seguridad general
Informes de Usuarios de Información Información limitada. Acceso total

seguridad riesgo limitada. Solo se Solo se muestran los
muestran los usuarios con riesgo
Funcionalidad Detalles Microsoft Entra ID Microsoft Entra ID P1 Microsoft Entra ID P2
Gratis
/Aplicaciones de
Microsoft 365
usuarios con riesgo medio y alto. No hay

medio y alto. No ningún cajón de
hay ningún cajón detalles ni historial de
de detalles ni riesgos.
historial de riesgos.
Informes de Inicios de Información Información limitada. Acceso total

seguridad sesión no limitada. No se No se muestran
seguros muestran detalles detalles del riesgo ni
del riesgo ni el el nivel de riesgo.
nivel de riesgo.
Informes de Detecciones No Información limitada. Acceso total

seguridad de riesgo No hay ningún cajón
de detalles.
Notificaciones Alertas No No Sí
detectadas
sobre
usuarios en
riesgo
Notificaciones Resumen No No Sí
semanal
Directiva de No No Sí
registro de
MFA
Identidades administradas
No hay requisitos de licencia para usar identidades administradas para recursos de
Azure. Las identidades administradas son una característica de Microsoft Entra ID (Entra
ID) que proporciona una identidad administrada automáticamente para que las
aplicaciones la usen al conectarse a recursos que admiten la autenticación de Azure AD.
Una de las ventajas de usar identidades administradas es que no es necesario
administrar credenciales y se pueden usar sin costo adicional. Para más información,
consulte ¿Qué es Managed Identities for Azure Resources?
Organizaciones multiinquilino
En el inquilino de origen: necesita licencias de Azure AD Premium P1 para usar esta
característica. Cada usuario que se sincroniza con la sincronización entre inquilinos debe
tener una licencia P1 en su inquilino de inicio u origen. A fin de obtener la licencia
correcta para sus requisitos, consulte Comparación de las características con
disponibilidad general de Azure AD .
En el inquilino de destino: la sincronización entre inquilinos se basa en el modelo de

facturación de Azure AD External Identities. Para comprender el modelo de licencias de
identidades externas, consulte Modelo de facturación MAU para Azure AD External
Identities También necesita al menos una licencia de Azure AD Premium P1 en el
inquilino de destino para habilitar el canje automático.
Microsoft Entra Privileged Identity

Management
Para usar Microsoft Entra Privileged Identity Management, el inquilino debe tener una
licencia válida. Además, deben asignarse licencias a los administradores y usuarios
pertinentes. Este artículo describe los requisitos de licencia para usar Privileged Identity
Management. Para usar Privileged Identity Management, debe tener una de las licencias
siguientes:
Licencias válidas para PIM

Necesitará licencias de Microsoft Entra ID Governance o licencias de Azure AD Premium
P2 para usar PIM y todas sus configuraciones. Actualmente, puede definir el ámbito de
una revisión de acceso para abarcar las entidades de servicio con acceso a
Microsoft Entra ID, los roles de recursos con una licencia de Microsoft Entra Premium P2
o los usuarios con la edición Gobierno de id. de Microsoft Entra activa en el inquilino. El
modelo de licencia para entidades de servicio finalizará para la disponibilidad general de
esta característica y es posible que se requieran licencias adicionales.
Licencias que debe tener para PIM

Asegúrese de que su directorio tenga licencias de Microsoft Entra Premium P2 o
Microsoft Entra ID Governance para las siguientes categorías de usuarios:
Usuarios con asignaciones aptas o con límite de tiempo a Azure AD o roles de

Azure administrados mediante PIM
Usuarios con asignaciones aptas o con límites de tiempo como miembros o
propietarios de PIM para grupos
Los usuarios que pueden aprobar o rechazar solicitudes de activación en PIM
Los usuarios asignados a una revisión de acceso
Los usuarios que realizan revisiones de acceso
Escenarios de licencia de ejemplo para PIM

ﾉ Expandir tabla

de
licencias
Woodgrove Bank tiene 10 administradores para diferentes Cinco licencias para 5

departamentos y 2 administradores globales que configuran los administradores
y administran PIM. Eso hace cinco administradores válidos. que sean válidos
Graphic Design Institute tiene 25 administradores, de los 14 licencias para los 17

cuales 14 se administran a través de PIM. La activación de roles válidos +
roles necesita aprobación y hay tres usuarios diferentes en la 3 aprobadores
organización que pueden aprobar las activaciones.
Contoso tiene 50 administradores, de los cuales 42 se 42 licencias para los 53

administran a través de PIM. La activación de roles necesita roles válidos +
aprobación y hay cinco usuarios diferentes en la organización 5 aprobadores +
que pueden aprobar las activaciones. Contoso también 6 revisores
realiza revisiones mensuales de los usuarios asignados a roles
de administrador y los revisores son los administradores de
los usuarios, de los cuales seis no tienen roles de
administrador administrados por PIM.
Cuando una licencia expira para PIM

Si expira una licencia de Microsoft Azure AD Premium P2, Microsoft Entra ID
Governance o una licencia de prueba, las características de Privileged Identity
Management dejarán de estar disponibles en el directorio:
Las asignaciones de roles permanentes para roles de Azure AD no se verán

afectadas.
El servicio Privileged Identity Management en Azure Portal y los cmdlets de Graph
API y las interfaces de PowerShell de Privileged Identity Management ya no estarán
disponibles para que los usuarios activen roles con privilegios, administren el
acceso con privilegios o realicen revisiones de acceso de roles con privilegios.
Se quitarán las asignaciones de roles elegibles de roles de Azure AD, puesto que
los usuarios ya no podrán activar roles con privilegios.
Las revisiones de acceso continuas de los roles de Azure AD finalizarán y se
quitarán las opciones de configuración de Privileged Identity Management.
Privileged Identity Management no volverá a enviar correos electrónicos cuando se
produzcan cambios de asignación de rol.
Control de acceso basado en rol

El uso de roles integrados en Azure AD es gratuito. El uso de roles personalizados
requiere una licencia de Azure AD Premium P1 para cada usuario con una asignación de
rol personalizado. Para obtener la licencia correcta para sus requisitos, consulte
Comparación de las características con disponibilidad general de las ediciones Gratis y
Prémium .
Roles
Unidades administrativas
El uso de unidades administrativas requiere una licencia de Azure AD Premium P1 para
cada administrador de unidad administrativa que tenga asignados roles de directorio en
el ámbito de la unidad administrativa y una licencia de Azure AD Free para cada
miembro de las unidades administrativas. La creación de unidades administrativas está
disponible con una licencia de Azure AD Free. Si usa reglas de pertenencia dinámica
para las unidades administrativas, cada miembro de unidad administrativa requiere una
licencia de Azure AD Premium P1. Para obtener la licencia correcta para sus requisitos,
consulte Comparación de las características con disponibilidad general de las ediciones
Gratis y Prémium .
Unidades administrativas de administración restringida

El uso de unidades administrativas requiere una licencia de Azure AD Premium P1 para
cada administrador de unidad administrativa y licencias de Azure AD Free para los
miembros de las unidades administrativas. Para obtener la licencia correcta para sus
requisitos, consulte Comparación de las características con disponibilidad general de las
ediciones Gratis y Prémium .
Informes y supervisión de Microsoft Entra

Los roles y licencias necesarios pueden variar en función del informe. El administrador
global puede acceder a todos los informes, pero recomendamos utilizar un rol con
acceso de privilegio mínimo para alinearse con las Guías de Confianza cero.
ﾉ Expandir tabla
Registro o informe Roles Licencias
Auditoría Lector de informes Todas las ediciones

Lector de seguridad de Azure AD
Administrador de seguridad
Lector global
Un rol personalizado con el permiso
AuditLogsRead o CustomSecAuditLogsRead
Inicios de sesión Lector de informes Todas las ediciones

Lector de seguridad de Azure AD
Lector global
Un rol personalizado con permisos
SignInLogsRead
Aprovisionamiento Igual que las auditorías e inicios de sesión, Premium P1/P2

además de
Operador de seguridad
Administrador de aplicaciones
Administrador de aplicaciones en la nube
Un rol personalizado con permisos
ProvisioningLogsRead
Uso y conclusiones Lector de seguridad Premium P1/P2

Lector de informes
Identity Protection* Administrador de seguridad Azure AD Free

Operador de seguridad Aplicaciones de
Lector de seguridad Microsoft 365
Lector global Azure AD Premium
Un rol personalizado con permisos P1/P2
IdentityRiskEventReadWrite
Registros de actividad de Administrador de seguridad Premium P1/P2

Microsoft Graph Un rol personalizado con permisos ListKeys
*El nivel de acceso y funcionalidades de Identity Protection varía con el rol y la licencia.
Para más información, consulte los requisitos de licencia de Identity Protection.
Id. verificada por Microsoft Entra
La Id. verificada se incluye actualmente con cualquier suscripción de Azure
Active Directory, incluido Azure AD Free, sin costo adicional. Para obtener información
sobre la Id. verificada y cómo habilitarlo, consulte Introducción a Id. verificada por
Microsoft Entra.
Características en versión preliminar

La información de licencias de las características que se encuentran actualmente en
versión preliminar se incluye aquí cuando es aplicable. Para obtener más información
sobre las características en versión preliminar, consulte ¿Qué novedades hay en
Microsoft Entra ID?
Pasos siguientes
Precios de Microsoft Entra
Precios de Azure AD B2C
Suscríbase a las ediciones P1 o P2 de
Microsoft Entra ID
Artículo • 30/11/2023
Puede comprar y asociar las ediciones P1 o P2 de Microsoft Entra ID con su suscripción

de Azure. Si necesita crear una suscripción de Azure nueva, deberá activar también el
plan de licencias y el acceso al servicio de Microsoft Entra.
Antes de suscribirse a Active Directory Premium 1 o Premium 2, primero debe

determinar qué suscripción o plan existente se va a usar:
Mediante su suscripción de Azure o Microsoft 365 existente

Mediante su plan de licencias de Enterprise Mobility + Security
Mediante un plan de licencias por volumen de Microsoft
Opciones de registro
El registro con su suscripción de Azure con licencias de Microsoft Entra ID activadas y
adquiridas previamente activa automáticamente las licencias en el mismo directorio. Si
no fuera así, aún deberá activar el plan de licencias y el acceso a Microsoft Entra ID. Para
más información sobre la activación del plan de licencias, vea Activación del plan de
licencias. Para obtener más información sobre cómo activar el acceso de Microsoft Entra
ID, consulte Activar el acceso de Microsoft Entra ID.
Registro mediante la suscripción existente de Azure o

Microsoft 365
Como suscriptor de Azure o Microsoft 365, puede comprar las ediciones P1 o P2 de
Microsoft Entra ID en línea. Para obtener pasos detallados, consulte Comprar o quitar
licencias.
Registro mediante su plan de licencias de Enterprise

Mobility + Security
Enterprise Mobility + Security es un conjunto compuesto por las ediciones P1 o P2 de
Microsoft Entra ID, Azure Information Protection y Microsoft Intune. Si ya tuviera una
licencia de EMS, podrá empezar a trabajar con Microsoft Entra ID mediante una de estas
opciones de licencias:
Para más información sobre EMS, vea el sitio web de Enterprise Mobility + Security .
Pruebe EMS con una suscripción de prueba de Enterprise Mobility + Security E5
Adquiera licencias E5 de Enterprise Mobility + Security
Adquiera licencias E3 de Enterprise Mobility + Security
Registro mediante su plan de licencias por volumen de

Microsoft
Con su plan de licencias por volumen de Microsoft, es posible suscribirse a las ediciones
P1 o P2 de Microsoft Entra ID con uno de estos dos programas, en función del número
de licencias que desee obtener:
Para obtener 250 o más licencias, consulte Contrato Enterprise de Microsoft .
Para obtener 5 a 250 licencias, consulte Licencia por volumen abierto .
Para más información sobre las opciones de compra de licencias por volumen, vea
Cómo comprar mediante el programa de licencias por volumen .
Activación del nuevo plan de licencias

Si inició sesión con el nuevo plan de licencias de Microsoft Entra ID, deberá activarlo
para su organización con el correo electrónico de confirmación enviado después de la
compra.
Para activar el plan de licencias

1. Abra el correo electrónico de confirmación recibido de Microsoft después de
suscribirse y luego seleccione Iniciar sesión o Registrarse.
2. Seleccione Iniciar sesión o Registrarse.
Inicie sesión. Seleccione este vínculo si tiene un inquilino existente y luego

inicia sesión con la cuenta de administrador existente. Debe ser
administrador global en el inquilino en el que se activan las licencias.
Registrarse. Seleccione este vínculo si desea abrir la página Crear perfil de

cuenta y cree un inquilino nuevo de Microsoft Entra para el plan de licencias.
Cuando haya terminado, verá un cuadro de confirmación de agradecimiento por activar
el plan de licencias del inquilino.
Active el acceso de Microsoft Entra ID

Si va a agregar nuevas licencias de las ediciones P1 o P2 de Microsoft Entra ID a una
suscripción existente, el acceso de Microsoft Entra ID ya debería activarse. En caso
contrario, deberá activar el acceso a Microsoft Entra ID después de recibir el correo
electrónico de bienvenida.
Una vez aprovisionadas las licencias adquiridas en el directorio, recibirá un correo

electrónico de bienvenida. El correo electrónico confirma que es posible empezar a
administrar las licencias y características de las ediciones P1 o P2 de Microsoft Entra ID o
Enterprise Mobility + Security.
 Sugerencia
No podrá acceder a Microsoft Entra ID en el nuevo inquilino hasta que active el

acceso al directorio de Microsoft Entra ID desde el correo electrónico de
bienvenida.
Para activar el acceso de Microsoft Entra ID

1. Abra el correo electrónico de bienvenida y luego seleccione Iniciar sesión.
2. Después de iniciar sesión correctamente, se le remitirá a una verificación en dos

pasos mediante un dispositivo móvil.
El proceso de activación normalmente tarda solo unos minutos y después es posible

usar el inquilino de Microsoft Entra.
Pasos siguientes
Ahora que tiene las ediciones P1 o P2 de Microsoft Entra ID, podrá personalizar su
dominio, agregar la personalización de marca corporativa, crear un inquilino y agregar
grupos y usuarios.
Características y licencias para la
autenticación multifactor de Microsoft Entra
Artículo • 27/10/2023
Para proteger las cuentas de usuario de la organización, se debe usar la autenticación

multifactor. Esta característica resulta especialmente importante en las cuentas que tienen
acceso con privilegios a los recursos. Los usuarios y administradores globales de Microsoft 365 y
Microsoft Entra disponen de las características básicas de la autenticación multifactor sin cargo
adicional. Si quiere actualizar las características de los administradores o extender la
autenticación multifactor al resto de los usuarios con más métodos de autenticación y un mayor
control, puede adquirir la autenticación multifactor de Microsoft Entra de varias maneras.
） Importante
En este artículo se detallan las diferentes licencias y formas de uso de la autenticación

multifactor de Microsoft Entra. Para obtener información específica sobre precios y
facturación, consulte la Página de precios de Microsoft Entra .
Versiones disponibles de la autenticación

multifactor de Microsoft Entra
Existen varias licencias distintas de la autenticación multifactor de Microsoft Entra, así como
formas de usarla en función de las necesidades de la organización. Todos los inquilinos tienen
derecho a características básicas de autenticación multifactor a través de valores
predeterminados de seguridad. Es posible que ya tenga derecho a usar la autenticación
multifactor avanzada de Microsoft Entra dependiendo de la licencia de Microsoft Entra ID, EMS o
licencia de Microsoft 365 que tenga actualmente. Por ejemplo, los primeros 50 000 usuarios
activos mensuales de Microsoft Entra External ID pueden usar la MFA y otras características de
Premium P1 o P2 de forma gratuita. Para obtener más información, consulte Precios de
Microsoft Entra External ID .
En la tabla siguiente se detallan las diferentes formas de obtener la autenticación multifactor de

Microsoft Entra y algunas de las características y los casos de uso de cada una de ellas.
Si es usuario de Funcionalidades y casos de uso
Microsoft 365 Business EMS E3, Microsoft 365 E3 y Microsoft 365 Empresa Premium incluyen
Premium y EMS o Microsoft Entra ID P1. EMS E5 o Microsoft 365 E5 incluyen Microsoft Entra
Microsoft 365 E3 y E5 ID P2. Puede usar las mismas características de acceso condicional que se
indican en las siguientes secciones para proporcionar autenticación
multifactor a los usuarios.
Si es usuario de Funcionalidades y casos de uso
Microsoft Entra ID P1 Puede usar el Acceso condicional de Microsoft Entra para solicitar a los
usuarios la autenticación multifactor en determinados escenarios o eventos
y adaptarlo así a los requisitos empresariales.
Microsoft Entra ID P2 Proporciona la opción de seguridad más potente y una experiencia de

usuario mejorada. Agrega Acceso condicional basado en riesgos a las
características de Microsoft Entra ID P1 que se adapta a los patrones del
usuario y reduce el número de solicitudes de autenticación multifactor.
Todos los planes de La autenticación multifactor de Microsoft Entra puede habilitarse para todos
Microsoft 365 los usuarios con los valores predeterminados de seguridad. La
administración de la autenticación multifactor de Microsoft Entra se realiza a
través del portal de Microsoft 365. Para mejorar la experiencia del usuario,
actualice a Microsoft Entra ID P1 o P2 y use el acceso condicional. Para
obtener más información, consulte el artículo sobre la protección de los
recursos de Microsoft 365 con la autenticación multifactor.
Office 365 gratis Puede usar los valores predeterminados de seguridad para solicitar a los
Microsoft Entra ID Free usuarios la autenticación multifactor según sea necesario y, aunque no tiene
un control pormenorizado de los usuarios o escenarios habilitados, sí se
proporciona ese paso de seguridad adicional.
Incluso cuando no se usan los valores predeterminados de seguridad para
habilitar la autenticación multifactor para todos los usuarios, se puede
configurar el rol de Administrador global de Microsoft Entra para usar la
autenticación multifactor. Esta característica del nivel de servicio gratuito
garantiza que las cuentas de administrador críticas estén protegidas por la
autenticación multifactor.
Comparación de las características en función de las

licencias
La siguiente tabla proporciona una lista de las características que están disponibles en las
distintas versiones de Microsoft Entra ID para la autenticación multifactor. Planee sus
necesidades de protección para la autenticación de usuarios y, a continuación, determine qué
enfoque cumple esos requisitos. Por ejemplo, aunque Microsoft Entra ID aporta valores
predeterminados de seguridad que proporcionan autenticación multifactor de Microsoft Entra,
solo se puede usar la aplicación de autenticación para dispositivos móviles para la solicitud de
autenticación. Este enfoque puede ser una limitación si no se puede garantizar que la aplicación
de autenticación para dispositivos móviles esté instalada en el dispositivo personal de un
usuario. Consulte Nivel Gratis de Microsoft Entra ID más adelante en este tema para obtener más
información.
Característica Microsoft Entra Microsoft Entra Office Microsoft Entra ID P1 Microsoft Entra ID P2
ID Gratis: Valores ID Gratis: Solo 365
predeterminados administradores
(habilitados para
todos los
usuarios)
Protección de ● ● (solo cuentas ● ● ●

cuentas de de Administrador
administración global de
de inquilinos Microsoft Entra)
de Microsoft
Entra con MFA
Aplicación ● ● ● ● ●
móvil como
segundo
factor
Llamada de ● ● ●
teléfono como
segundo
factor
Mensaje de ● ● ● ●
texto como
segundo
factor
Control ● ● ● ●
administrativo
sobre
métodos de
comprobación
Alerta de ● ●
fraude
Informes de ● ●
MFA
Saludos ● ●
personalizados
para las
llamadas de
teléfono
Identificador ● ●
de llamada
personalizado
para llamadas
telefónicas
Característica Microsoft Entra Microsoft Entra Office Microsoft Entra ID P1 Microsoft Entra ID P2
ID Gratis: Valores ID Gratis: Solo 365
predeterminados administradores
(habilitados para
todos los
usuarios)
IP de ● ●
confianza
Recordar MFA ● ● ● ●
para
dispositivos de
confianza
MFA para ● ●
aplicaciones
locales
Acceso ● ●
condicional
Acceso ●
condicional
basado en
riesgos
Comparación de las directivas de autenticación

multifactor
Nuestro enfoque recomendado para aplicar MFA es usar el acceso condicional. Revise la tabla
siguiente para determinar qué funcionalidades se incluyen en las licencias.
Directiva de Valores predeterminados Acceso MFA por

de seguridad condicional usuario
Administración
Conjunto estándar de reglas de seguridad ●

para proteger su empresa
Activación y desactivación con un solo clic ●
Se incluye en las licencias de Office 365 ● ●

(consulte las consideraciones de licencias)
Plantillas preconfiguradas en el asistente del ● ●

centro de administración de Microsoft 365
Flexibilidad de configuración ●
Funcionalidad
Directiva de Valores predeterminados Acceso MFA por
Exención de usuarios de la directiva de seguridad ●
condicional ●
usuario
Autenticación por llamada telefónica o ● ● ●

mensaje de texto
Autenticación mediante tokens de software y ● ● ●

Microsoft Authenticator
Autenticación mediante FIDO2, ● ●

Windows Hello para empresas y tokens de
hardware
Bloqueo de los protocolos de autenticación ● ● ●

heredados
Protección automática de los nuevos ● ●

empleados
Desencadenadores de MFA dinámicos ●

basados en eventos de riesgo
Directivas de autenticación y autorización ●
Configurable en función de la ubicación y el ●

estado del dispositivo
Compatibilidad con el modo "solo informe" ●
Capacidad de bloquear completamente ●

usuarios o servicios
Comprar y habilitar la autenticación multifactor de

Microsoft Entra
Para usar la autenticación multifactor de Microsoft Entra, regístrese o compre un nivel de
Microsoft Entra apto. Microsoft Entra ID está disponible en cuatro ediciones: Gratis, Office 365,
Premium P1 y Premium P2.
La edición Free se incluye con una suscripción de Azure. Consulte la sección siguiente para
obtener información sobre cómo usar los valores predeterminados de seguridad o cómo
proteger las cuentas con el rol de Administrador global de Microsoft Entra.
Las ediciones de Microsoft Entra ID P1 y P2 están disponibles a través del representante de

Microsoft, el Programa de licencias por volumen abierto y el Programa de proveedores de
soluciones en la nube . Los suscriptores de Azure y Microsoft 365 también pueden comprar
Microsoft Entra ID P1 y P2 en línea. Inicie sesión para comprar.
Después de haber adquirido el nivel de Microsoft Entra necesario, planee e implemente la

autenticación multifactor de Microsoft Entra.
Microsoft Entra ID nivel Gratis
Todos los usuarios de un inquilino de Microsoft Entra ID Gratis pueden usar la autenticación
multifactor de Microsoft Entra mediante los valores predeterminados de seguridad. La aplicación
de autenticación móvil se puede usar para la autenticación multifactor de Microsoft Entra al usar
los valores predeterminados de seguridad de Microsoft Entra ID Gratis.
Más información sobre los valores predeterminados de seguridad de Microsoft Entra

Habilitar los valores predeterminados de seguridad para los usuarios en Microsoft Entra ID
Gratis
Si no quiere habilitar la autenticación multifactor de Microsoft Entra para todos los usuarios,
puede optar por proteger solo las cuentas de usuario con el rol de Administrador global de
Microsoft Entra. Este enfoque proporciona más solicitudes de autenticación para las cuentas de
administrador críticas. Puede habilitar la autenticación multifactor de Microsoft Entra de una de
las siguientes maneras, según el tipo de cuenta que use:
Si usa una cuenta Microsoft, regístrese para la autenticación multifactor .

Si no usa una cuenta Microsoft, active la autenticación multifactor para un usuario o grupo
Pasos siguientes
Para más información sobre los precios, vea Precios de Microsoft Entra .
¿Qué es el acceso condicional?
¿Qué es Identity Protection?
La autenticación multifactor (MFA) también se puede habilitar por usuario.
Comentarios

¿Qué es una puntuación segura de
identidad?
Artículo • 15/12/2023
La puntuación de seguridad de la identidad se muestra como un porcentaje que

funciona como indicador del grado de cumplimiento de las recomendaciones de
Microsoft relativas a la seguridad. Cada acción de mejora de la puntuación de seguridad
de la identidad se adapta a la configuración.
Esta puntuación ayuda a:
Medir de forma objetiva su nivel de seguridad de la identidad

Planear la realización de mejoras en la seguridad de la identidad
Ver si las mejoras han logrado sus objetivos
Puede acceder a la puntuación y ver recomendaciones individuales relacionadas con su

puntuación en las recomendaciones de Microsoft Entra. También puede ver la
puntuación y el panel completo de puntuación de seguridad de identidad, que compara
su puntuación con la de otros inquilinos del mismo sector y de tamaño similar. El panel
también muestra cómo ha cambiado su puntuación con el tiempo.
Si sigue las acciones de mejora de las recomendaciones de Microsoft Entra, podrá:
Mejorar su nivel de seguridad y su puntuación

Aprovechar las características disponibles para su organización como parte de sus
inversiones en identidad
¿Cómo se obtiene la puntuación segura?

La puntuación de seguridad de la identidad está disponible para clientes gratuitos y de
pago.
1. Inicie sesión en el Centro de administración de Microsoft Entrar al menos
comoGlobal Reader.
2. Vaya a Protección>Puntuación de seguridad de la identidad para ver el panel.
La puntuación y las recomendaciones relacionadas también se encuentran

enRecomendaciones>Información general>Recomendaciones.
¿Cómo funciona?
Cada 24 horas, examinamos la configuración de seguridad y comparamos los valores
con los procedimientos recomendados. En función del resultado de esta evaluación, se
calcula una nueva puntuación para el directorio. Es posible que la configuración de
seguridad no esté completamente alineada con la guía del procedimiento recomendado
y que las acciones de mejora solo se cumplan parcialmente. En estos casos, se le
premiará con una parte de la puntuación máxima disponible para el control.
Trabajar con acciones de mejora en el panel

Cada recomendación se mide según su configuración. Si usa productos de terceros para
habilitar una recomendación del procedimiento recomendado, puede indicar esta
configuración en las opciones de una acción de mejora. También puedes establecer que
se ignoren las recomendaciones si no se aplican a su entorno. Las recomendaciones
ignoradas no contribuyen al cálculo de la puntuación.
Dirección de destino: reconoce que la acción de mejora es necesaria y pretende
abordarla en algún momento en el futuro. Este estado también se aplica a las
acciones que se detectan como parcialmente, pero que no se completan por
completo.
Riesgo aceptado: la seguridad siempre debe estar equilibrada con la facilidad de
uso y no todas las recomendaciones funcionan para todos. En ese caso, puede
optar por aceptar el riesgo, o el riesgo restante, y no promulgar la acción de
mejora. No se le conceden puntos y la acción no es visible en la lista de acciones
de mejora. Puede ver esta acción en el historial o deshacerla en cualquier
momento.
Planeado: existen planes concretos para completar la acción de mejora.
Resuelto a través de terceros y Resuelto a través de mitigación alternativa: la
acción de mejora se abordó mediante una aplicación o software de terceros o una
herramienta interna. Obtendrá los puntos que valga la acción, por lo que la
puntuación refleja mejor su postura general de seguridad. Si una herramienta
interna o de terceros ya no cubre el control, puede elegir otro estado. Tenga en
cuenta que Microsoft no tendrá visibilidad sobre la integridad de la
implementación si la acción de mejora está marcada como cualquiera de estos
estados.
Trabajar con recomendaciones de puntuación segura

Las acciones de mejora de puntuación segura de identidad también aparecen en
Microsoft Entra recomendaciones. Ambas aparecen en la misma lista, pero las
recomendaciones de puntuación segura muestran la puntuación.
Para abordar una recomendación de puntuación segura, selecciónela en la lista para ver
los detalles y el plan de acción. Si realiza la acción adecuada, el estado cambia
automáticamente la próxima vez que se ejecute el servicio. También puede marcar la
recomendación como descartada o pospuesta. Para obtener más información sobre
cómo trabajar con recomendaciones, consulte Uso de recomendaciones.
¿Cómo me ayuda?
La puntuación segura le ayuda a:
Medir de forma objetiva su nivel de seguridad de la identidad

Planear la realización de mejoras en la seguridad de la identidad
Ver si las mejoras han logrado sus objetivos
Qué debería saber

Hay varias cosas que se deben tener en cuenta al trabajar con la puntuación segura de
identidad.
¿Quién puede usar la puntuación segura de identidad?
Para acceder a la puntuación de seguridad de la identidad, tiene que tener asignado
uno de los siguientes roles en Microsoft Entra ID.
Roles de lectura y escritura
Con el acceso de lectura y escritura, puede hacer cambios e interactuar directamente

con la puntuación de seguridad de la identidad.
Administrador de Exchange
Administrador de SharePoint
Roles de solo lectura
Con el acceso de solo lectura, no puede editar el estado de una acción de mejora.
Administrador del departamento de soporte técnico

Administrador del soporte técnico del servicio
Lector de seguridad
Operador de seguridad
Lector global
¿Cómo se puntúan los controles?

Los controles se pueden puntuar de dos maneras. Algunos se puntúan en forma binaria:
obtiene el 100 % de la puntuación si tiene la característica o la opción configurada
según nuestra recomendación. Otras puntuaciones se calculan como un porcentaje de la
configuración total. Por ejemplo, si la recomendación de mejora indica que hay un
aumento del 10,71 % como máximo si protege a todos los usuarios con MFA y tiene
protegidos 5 usuarios de un total de 100, se le otorgará una puntuación parcial de
aproximadamente 0,53 % (5 protegidos/100 totales * 10,71 % como máximo = 0,53 %
de puntuación parcial).
¿Qué significa [Not Scored]?

Las acciones con la etiqueta [Not Scored] (Sin puntuación) son las que puede realizar en
su organización, pero que no se puntúan. Por consiguiente, puede mejorar aún más la
seguridad, pero no obtendrá ninguna puntuación por esas acciones ahora mismo.
¿Con qué frecuencia se actualiza la puntuación?

La puntuación se calcula una vez al día (aproximadamente a las 1:00 A.M., hora del
Pacífico). Si realiza algún cambio en una acción medida, la puntuación se actualizará
automáticamente al día siguiente. Un cambio puede tardar hasta 48 horas en reflejarse
en tu puntuación.
Mi puntuación ha cambiado. ¿Cómo averiguo por qué?

Vaya al portal de Microsoft 365 Defender , donde encontrará su puntuación de
seguridad de Microsoft completa. Puede ver fácilmente todos los cambios de la
puntuación segura mediante la revisión de los cambios detallados en la pestaña
Historial.
¿Mide la puntuación segura el riesgo de vulneración de la

seguridad?
No, la puntuación segura no expresa una medida absoluta de la probabilidad de sufrir
una vulneración de la seguridad. Expresa en qué medida has adoptado características
que pueden compensar el riesgo. Ningún servicio puede garantizar la protección y la
puntuación segura no se debe interpretar de ningún modo como una garantía.
¿Cómo debo interpretar la puntuación?

La puntuación mejora por configurar las características de seguridad recomendadas o
por realizar tareas relacionadas con la seguridad (como la lectura de informes). Algunas
acciones se califican por finalización parcial, como habilitar la autenticación multifactor
(MFA) para sus usuarios. Su puntuación segura representa directamente los servicios de
seguridad de Microsoft que usa. Recuerde que debe existir un equilibrio entre seguridad
y facilidad de uso. Todos los controles de seguridad tienen un componente de impacto
en el usuario. Los controles que tienen un impacto bajo en el usuario deben tener poco
o ningún efecto en las operaciones diarias de los usuarios.
Para ver el historial de puntuación, diríjase al portal de Microsoft 365 Defender y

revise la puntuación de seguridad de Microsoft general. Puede revisar los cambios de su
puntuación segura general haciendo clic en Vista de historial. Elija una fecha concreta
para ver los controles que se han habilitado para ese día y los puntos que ha logrado
por cada uno de ellos.
¿Cómo se relaciona la puntuación de seguridad de la

identidad con la puntuación de seguridad de
Microsoft 365?
La puntuación segura de Microsoft contiene cinco categorías distintas de control y
puntuación:
Identidad
data
Dispositivos
Infraestructura
Aplicaciones
La puntuación segura de identidad representa la parte de la identidad de la puntuación

segura de Microsoft, lo que significa que las recomendaciones de la puntuación segura
de identidad y la puntuación de identidad en Microsoft son idénticas.
Protección de las identidades de la
organización con el identificador de
Microsoft Entra ID
Artículo • 25/10/2023
Tratar de proteger a sus trabajadores en el mundo actual puede parecer desalentador,

especialmente cuando tiene que responder rápidamente y proporcionar acceso a
muchos servicios con rapidez. Este artículo está pensado para proporcionar una lista
concisa de todas las acciones que se deben llevar a cabo, lo que ayuda a identificar y
priorizar el orden de implementación de las características de Microsoft Entra en función
del tipo de licencia que posea.
Microsoft Entra ID ofrece muchas características y proporciona muchos niveles de

seguridad para las identidades, ya que determinar qué característica es relevante puede
resultar abrumador en ocasiones. Este documento está diseñado para ayudar a las
organizaciones a implementar servicios rápidamente, pensando principalmente en las
identidades seguras.
En cada tabla se proporciona una recomendación de seguridad coherente para proteger

las identidades frente a ataques de seguridad frecuentes, a la vez que se minimiza la
fricción del usuario.
Esta guía ayudan a:
Configurar el acceso a aplicaciones locales y SaaS de forma segura y protegida

Tanto las identidades híbridas y en la nube
Usuarios que trabajan de forma remota o presencial
Requisitos previos
En esta guía se da por supuesto que ya se han establecido en Microsoft Entra ID las
identidades híbridas o en la nube. Para obtener ayuda para elegir un tipo de identidad,
consulte el artículo Selección del método de autenticación adecuado para su solución
de identidad híbrida de Microsoft Entra.
Tutorial guiado
Para ver un tutorial guiado de muchas de las recomendaciones de este artículo, consulte
la guía Configuración de Microsoft Entra ID al iniciar sesión en el Centro de
Administración de Microsoft 365. Para revisar los procedimientos recomendados sin
iniciar sesión y activar las características de configuración automatizadas, vaya al portal
de instalación de M365 .
Guía para clientes de Microsoft Entra ID Free,

Office 365 o Microsoft 365
Existen muchas recomendaciones que deben seguir los clientes de aplicaciones
Microsoft Entra ID Free, Office 365 o Microsoft 365 para proteger las identidades de sus
usuarios. La tabla siguiente tiene como objetivo resaltar acciones clave de las
suscripciones de licencia siguientes:
Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
Microsoft 365 (Empresa Básico, Aplicaciones para negocios, Empresa Estándar,
Empresa Premium, A1)
Microsoft Entra ID Free (incluido con Azure, Dynamics 365, Intune y Power
Platform)
ﾉ Expandir tabla
Acción recomendada Detalle
Habilitar los valores Proteja todas las aplicaciones e identidades de usuario al

predeterminados de seguridad habilitar MFA y bloquear la autenticación heredada.
Habilitar la sincronización de hash Proporcione redundancia para la autenticación y mejore la

de contraseñas (si se usan seguridad (incluido el bloqueo inteligente, el bloqueo de IP
identidades híbridas) y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de Protege a los usuarios de los bloqueos de cuentas de

ADFS (si procede) extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de El bloqueo inteligente ayuda a bloquear a los actores

Microsoft Entra (si se usan malintencionados que intentan adivinar las contraseñas de
identidades administradas) los usuarios o que usan métodos de fuerza bruta para
obtenerlas.
Deshabilitar el consentimiento del El flujo de trabajo de consentimiento del administrador

usuario final a las aplicaciones proporciona a los administradores una manera segura de
conceder acceso a las aplicaciones que requieren la
aprobación del administrador, de modo que los usuarios
finales no expongan los datos de la empresa. Microsoft
recomienda deshabilitar las operaciones futuras de
consentimiento del usuario para ayudar a reducir el área
expuesta y a mitigar este riesgo.
Integrar aplicaciones SaaS Microsoft Entra ID incluye una galería que contiene miles de
compatibles de la galería con aplicaciones previamente integradas. Algunas de las
Microsoft Entra ID y habilitar el aplicaciones que su organización usa probablemente estén
inicio de sesión único en la galería y se pueda acceder a ellas desde Azure Portal.
Proporcione acceso a las aplicaciones SaaS empresariales de
forma remota y segura mediante una experiencia de usuario
mejorada (SSO).
Automatizar el aprovisionamiento Cree automáticamente roles e identidades de usuario en las

y desaprovisionamiento de aplicaciones en la nube (SaaS) a las que los usuarios
usuarios para aplicaciones SaaS (si necesitan acceder. Además de crear identidades de usuario,
procede) el aprovisionamiento automático incluye el mantenimiento
y la eliminación de identidades de usuario a medida que el
estado o los roles cambian, de modo que mejora la
seguridad de su organización.
Habilitar el acceso híbrido seguro: Publique y proteja sus aplicaciones de autenticación

Protección de aplicaciones heredadas locales y en la nube conectándolas a Microsoft
heredadas con redes y Entra ID con su red o controlador de entrega de
controladores de entrega de aplicaciones existentes.
aplicaciones existentes (si procede)
Habilitar el autoservicio de Esta capacidad reduce las llamadas al departamento de

restablecimiento de contraseña soporte técnico y la pérdida de productividad cuando un
(aplicable solo a cuentas en la usuario no puede iniciar sesión en su dispositivo o en una
nube) aplicación.
Usar roles con privilegios mínimos Asigne a los administradores solo el acceso que necesitan a
siempre que sea posible las áreas a las que necesitan acceso. No todos los
administradores deben ser administradores globales.
Habilitación de la guía de Olvídese de solicitar a los usuarios que cambien

contraseñas de Microsoft periódicamente la contraseña, deshabilite los requisitos de
complejidad y a los usuarios les será más fácil recordar la
contraseña y mantener una segura.
Guía para Microsoft Entra clientes de ID P1

La tabla siguiente tiene como objetivo resaltar las acciones clave de las siguientes
suscripciones de licencia:
id. de Microsoft Entra P1 (id. de Microsoft Entra P1)

Enterprise Mobility + Security (EMS E3)
Microsoft 365 (E3 A3, F1, F3)
ﾉ Expandir tabla
Crear más de un administrador Asigne al menos dos cuentas de administrador global

global permanentes solo en la nube para casos de emergencia.
Estas cuentas no se deben usar diariamente y deben tener
contraseñas largas y complejas.
Habilitar la experiencia de registro Permita que los usuarios se registren para una de las
combinada para Microsoft Entra experiencias comunes: Microsoft Entra Multi-Factor
MFA y SSPR para simplificar la Authentication o el autoservicio de restablecimiento de
experiencia de registro del usuario contraseña.
Configurar MFA para su Asegúrese de que las cuentas están protegidas frente a los
organización riesgos de la autenticación multifactor.

usuario no puede iniciar sesión en su dispositivo o en una
aplicación.
Implementar la escritura diferida Permita la escritura diferida de los cambios de contraseña

de contraseñas (si usa identidades en la nube en un entorno de Windows Server Active
híbridas) Directory local.
Crear y habilitar directivas de MFA para que los administradores protejan las cuentas a las
acceso condicional que se asignan derechos administrativos.
Bloquear los protocolos de autenticación heredados debido

al aumento de riesgo asociado a los protocolos de
autenticación heredados.
MFA para que todos los usuarios y las aplicaciones creen

una directiva de MFA equilibrada para el entorno,
protegiendo a los usuarios y las aplicaciones.
Exigir que MFA para Azure Management proteja los recursos

con privilegios al requerir la autenticación multifactor para
cualquier usuario que tenga acceso a recursos de Azure.



identidades administradas)
los usuarios o que usan métodos de fuerza bruta para
obtenerlas.

Habilitar el acceso remoto a las Habilite Microsoft Entra Application Proxy e intégrela con
aplicaciones heredadas locales con aplicaciones heredadas para que los usuarios tengan acceso
Application Proxy seguro a aplicaciones locales, iniciando sesión con su cuenta
de Microsoft Entra.

mejorada (SSO).

procede) el aprovisionamiento automático incluye el mantenimiento y
la eliminación de identidades de usuario a medida que el
Habilitar el acceso condicional Mejore la seguridad y las experiencias de usuario con el

basado en dispositivos acceso condicional basado en dispositivos. Este paso
garantiza que los usuarios solo pueden tener acceso desde
dispositivos que cumplen los estándares de seguridad y
cumplimiento. A estos dispositivos también se les conoce
como dispositivos administrados. Los dispositivos
administrados pueden ser conformes con Intune o
dispositivos unidos a Microsoft Entra híbrido.
Habilitación de la protección con Proteja a los usuarios del uso de contraseñas poco seguras y
contraseña fáciles de adivinar.

Creación de una lista de Evite que los usuarios creen contraseñas que incluyan
contraseñas prohibidas palabras o frases comunes de su organización o zona.
personalizada específica de la
organización
Implementar métodos de Proporcione a los usuarios métodos cómodos de

autenticación sin contraseña para autenticación sin contraseñas.
los usuarios
Creación de un plan para el acceso Colabore con los usuarios invitados y permítales iniciar
de usuarios invitados sesión en sus aplicaciones y servicios con sus propias
identidades profesionales, educativas o sociales.
Guía para clientes Microsoft Entra ID P2

La tabla siguiente tiene como objetivo resaltar las acciones clave de las siguientes
suscripciones de licencia:
Enterprise Mobility + Security (EMS E5)
Microsoft 365 (E5, A5)
ﾉ Expandir tabla
Crear más de un administrador Asigne al menos dos cuentas de administrador global

global permanentes solo en la nube para casos de emergencia.
Estas cuentas no se deben usar diariamente y deben tener
contraseñas largas y complejas.
Habilitar la experiencia de registro Permita que los usuarios se registren para una de las
combinada para Microsoft Entra experiencias comunes: Microsoft Entra Multi-Factor
MFA y SSPR para simplificar la Authentication o el autoservicio de restablecimiento de
experiencia de registro del usuario contraseña.
Configurar MFA para su Asegúrese de que las cuentas están protegidas frente a los
organización riesgos de la autenticación multifactor.

usuario no puede iniciar sesión en su dispositivo o en una
aplicación.
Implementar la escritura diferida Permita la escritura diferida de los cambios de contraseña

de contraseñas (si usa identidades en la nube en un entorno de Windows Server Active
híbridas) Directory local.
Habilitar las directivas de Identity Administre la implementación de Microsoft Entra

Protection para aplicar el registro autenticación multifactor.
de MFA
Habilitar las directivas de riesgo de Habilite las directivas de inicio de sesión y de usuario de
inicio de sesión y de usuario de Identity Protection. La directiva de inicio de sesión
Identity Protection recomendada está dirigida a los inicios de sesión de riesgo
medio y requiere de MFA. En el caso de las directivas de
usuario, debe dirigirse a los usuarios de alto riesgo que
necesitan la acción de cambio de contraseña.
Crear y habilitar directivas de MFA para que los administradores protejan las cuentas a las
acceso condicional que se asignan derechos administrativos.
Bloquear los protocolos de autenticación heredados debido

al aumento de riesgo asociado a los protocolos de
autenticación heredados.
Exigir que MFA para Azure Management proteja los recursos

con privilegios al requerir la autenticación multifactor para
cualquier usuario que tenga acceso a recursos de Azure.



identidades administradas) los usuarios o que usan métodos de fuerza bruta para
obtenerlas.


Habilitar el acceso remoto a las Habilite Microsoft Entra Application Proxy e intégrela con
aplicaciones heredadas locales con aplicaciones heredadas para que los usuarios tengan acceso
Application Proxy seguro a aplicaciones locales, iniciando sesión con su cuenta
de Microsoft Entra.

mejorada (SSO).

procede) el aprovisionamiento automático incluye el mantenimiento y
la eliminación de identidades de usuario a medida que el
Habilitar el acceso condicional Mejore la seguridad y las experiencias de usuario con el

basado en dispositivos acceso condicional basado en dispositivos. Este paso
garantiza que los usuarios solo pueden tener acceso desde
dispositivos que cumplen los estándares de seguridad y
cumplimiento. A estos dispositivos también se les conoce
como dispositivos administrados. Los dispositivos
administrados pueden ser conformes con Intune o
dispositivos unidos a Microsoft Entra híbrido.
Habilitación de la protección con Proteja a los usuarios del uso de contraseñas poco seguras y
contraseña fáciles de adivinar.

Creación de una lista de Evite que los usuarios creen contraseñas que incluyan
contraseñas prohibidas palabras o frases comunes de su organización o zona.
personalizada específica de la
organización
Implementar métodos de Proporcione a los usuarios métodos cómodos de

autenticación sin contraseña para autenticación sin contraseñas.
los usuarios
Creación de un plan para el acceso Colabore con los usuarios invitados y permítales iniciar
de usuarios invitados sesión en sus aplicaciones y servicios con sus propias
identidades profesionales, educativas o sociales.
Azure Privileged Identity Permite administrar, controlar y supervisar el acceso a

Management recursos importantes de la organización, lo que garantiza
que los administradores tengan acceso solo cuando sea
necesario y reciban aprobación.
Completar una revisión de acceso Trabaje con los equipos de seguridad y dirección para crear
para los roles de directorio de una directiva de revisión de acceso para revisar el acceso de
Microsoft Entra en PIM los administradores de conformidad con las directivas de la
organización.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres
principios rectores de una arquitectura de Confianza cero:
Comprobación explícita
Usar privilegios mínimos
Presunción de intrusiones al sistema
Para obtener más información sobre Confianza cero y otras formas de alinear su
organización con los principios rectores, consulte el Centro de instrucciones de
Confianza cero.
Pasos siguientes
Para obtener instrucciones de implementación detalladas para las características
individuales del identificador de Microsoft Entra, revise los planes de
implementación del proyecto de identificador de Microsoft Entra ID.
Las organizaciones pueden usar la puntuación segura de la identidad para
supervisar su progreso en lo que respecta a otras recomendaciones de Microsoft.
Cinco pasos para integrar las
aplicaciones con el identificador de
Microsoft Entra ID
Artículo • 25/10/2023
Descubra cómo integrar las aplicaciones con Microsoft Entra ID, que es un servicio de
administración de identidades y acceso basado en la nube. Las organizaciones usan
Microsoft Entra ID para la autenticación y autorización seguras, de modo que los
clientes, asociados y empleados pueden acceder a las aplicaciones.
Con el identificador de Microsoft Entra ID, características como el acceso condicional,

Microsoft Entra la autenticación multifactor, el inicio de sesión único y el
aprovisionamiento de aplicaciones facilitan la administración de identidades y accesos
para administrar y proteger más.
Más información:

Cómo funciona: autenticación multifactor de Microsoft Entra
Inicio de sesión único de conexión directa de Microsoft Entra
¿Qué es el aprovisionamiento de aplicaciones en Microsoft Entra ID?
Si su empresa tiene una suscripción de Microsoft 365, es probable que use Microsoft
Entra id. Sin embargo, puede usar Microsoft Entra id. para las aplicaciones. Si centraliza
la administración de aplicaciones, las características de administración de identidades,
las herramientas y las directivas para la cartera de aplicaciones. La ventaja es una
solución unificada que mejora la seguridad, reduce los costos, aumenta la productividad
y permite garantizar el cumplimiento. Además, dispone de acceso remoto a las
aplicaciones locales.
Más información:
Implementación de la infraestructura de identidades para Microsoft 365

¿Qué es la administración de aplicaciones en id. de Microsoft Entra?
identificador de Microsoft Entra para las nuevas

aplicaciones
Cuando su empresa adquiere aplicaciones nuevas, agréguelas al inquilino de Microsoft
Entra. Establezca una directiva de empresa para agregar aplicaciones nuevas a Microsoft
Entra ID.
Vea Inicio rápido: Incorporación de una aplicación empresarial
Microsoft Entra ID tiene una galería de aplicaciones integradas para facilitar el inicio.
Agregue una aplicación de la galería a la organización de Microsoft Entra (vea el vínculo
anterior) y obtenga información sobre la integración de tutoriales de software como
servicio (SaaS).
Consulte: Tutoriales para la integración de aplicaciones SaaS con Microsoft Entra ID
Tutoriales de integración
Use los tutoriales siguientes para descubrir cómo integrar herramientas comunes con el
inicio de sesión único (SSO) de Microsoft Entra.
Tutorial: integración del SSO de Microsoft Entra con ServiceNow

Tutorial: integración del SSO de Microsoft Entra con Workday
Tutorial: integración del SSO de Microsoft Entra con Salesforce
Tutorial: integración del inicio de sesión único (SSO) de Microsoft Entra con AWS
Single-Account Access
Tutorial: integración del SSO de Microsoft Entra con Slack
Aplicaciones que no están en la galería

Puede integrar aplicaciones que no aparezcan en la galería, incluidas las aplicaciones de
su organización o aplicaciones de terceros de proveedores. Envíe una solicitud para
publicar la aplicación en la galería. Para obtener información sobre la integración de
aplicaciones que desarrolla internamente, vea Integración de las aplicaciones que
compilan los desarrolladores.
Más información:
Inicio rápido: Visualización de aplicaciones empresariales

Envíe una solicitud para publicar su aplicación en la galería de aplicaciones de
Microsoft Entra
Determinación del uso de la aplicación y

priorización de la integración
Descubra las aplicaciones que usan los empleados y priorice la integración de las
aplicaciones con Microsoft Entra ID. Use las herramientas de detección en la nube de
Microsoft Defender for Cloud Apps para detectar y administrar aplicaciones que no
administra el equipo de TI. Microsoft Defender para punto de conexión (anteriormente
conocido como Protección contra amenazas avanzada de Microsoft Defender) simplifica
y amplía el proceso de detección.
Más información:
Configuración de Cloud Discovery

Microsoft Defender para punto de conexión
Además, use Servicios de federación de Active Directory (AD FS) en Azure Portal para
detectar aplicaciones de AD FS en su organización. Descubra usuarios únicos que han
iniciado sesión en las aplicaciones y vea información sobre la compatibilidad de la
integración.
Consulte:Revisión del informe de actividad de la aplicación
Migración de aplicaciones
Después de detectar aplicaciones en su entorno, priorice las aplicaciones que quiere
migrar e integrar. Tenga en cuenta los parámetros siguientes:
Aplicaciones usadas con más frecuencia.

Aplicaciones con mayor riesgo.
Las aplicaciones que se retirarán y que, por lo tanto, no se incluyen en la
migración.
Aplicaciones que permanecen en el entorno local.
Consulte: Recursos para migrar aplicaciones al identificador de Microsoft Entra
Integración de aplicaciones y proveedores de

identidades
Durante la detección, puede que haya aplicaciones de las que el equipo de TI no realice
el seguimiento, lo cual puede crear vulnerabilidades. Algunas aplicaciones usan
soluciones de identidad alternativas, como AD FS u otros proveedores de identidades
(IdP). Se recomienda consolidar la administración de identidad y acceso. Dicha
integración aporta las siguientes ventajas:
Reducción de las tarifas de licencias de IdP, autenticación y configuración del

usuario local
Menor sobrecarga administrativa con un proceso simplificado de administración
de identidad y acceso
Habilitación del acceso de inicio de sesión único (SSO) a las aplicaciones en el
portal Aplicaciones
Consulte: Creación de colecciones en el portal Aplicaciones
Uso de Protección de identidad y el acceso condicional para aumentar los datos
del uso de la aplicación y ampliar las ventajas a las aplicaciones agregadas
recientemente
¿Qué es Identity Protection?
Reconocimiento del propietario de la aplicación

A fin de ayudar a administrar la integración de aplicaciones con Microsoft Entra ID, use
el material siguiente para el reconocimiento e interés del propietario de la aplicación.
Modifique el material con su personalización de marca.
Puede descargar lo siguiente:
Archivo ZIP: página de descripción de la integración de aplicación de Microsoft

Entra editable One-Pager
Presentación de Microsoft PowerPoint: directrices de integración de aplicación de
Microsoft Entra
Servicios de federación de Active Directory

Evalúe el uso de AD FS para la autenticación con aplicaciones SaaS, aplicaciones de línea
de negocio, además de aplicaciones de Microsoft 365 y Microsoft Entra.
Mejore la configuración que se muestra en el diagrama anterior moviendo la
autenticación de aplicaciones a Microsoft Entra ID. Habilite el inicio de sesión para
aplicaciones y facilite la detección de aplicaciones con el portal Aplicaciones.
Más información:
Trasladar la autenticación de aplicación al identificador de Microsoft Entra ID

Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones
Vea el siguiente diagrama de autenticación de la aplicación que simplifica Microsoft

Entra ID.
Una vez que Microsoft Entra ID es el IdP central, es posible que pueda interrumpir ADFS.
Puede migrar aplicaciones que utilizan otro IdP basado en la nube. Su organización
puede tener varias soluciones de Administración de identidad y acceso (IAM). La
migración a una infraestructura de Microsoft Entra puede reducir las dependencias de
las licencias de IAM y los costos de infraestructura. Si ha pagado Microsoft Entra ID con
licencias de Microsoft 365, es probable que no tenga que comprar otra solución de IAM.
Integración de aplicaciones locales

Tradicionalmente, la seguridad de las aplicaciones permitía el acceso durante una
conexión a una red corporativa. Pero la organización concede acceso a las aplicaciones
para clientes, asociados o empleados, independientemente de la ubicación. El servicio
Application Proxy en Microsoft Entra ID conecta aplicaciones locales a Microsoft Entra ID
y no requiere servidores perimetrales ni disponer de más infraestructura.
Consulte: Uso de Microsoft Entra proxy de aplicación para publicar aplicaciones locales
para usuarios remotos
En el diagrama siguiente se muestra el servicio Application Proxy procesando una

solicitud de usuario.
Consulte: Adición de una aplicación local para el acceso remoto mediante Application
Proxy en Microsoft Entra ID
Además, integre controladores de entrega de aplicaciones como F5 BIG-IP APM o

Zscaler Private Access con Microsoft Entra ID. Las ventajas son la autenticación moderna
y la administración de identidades, la administración del tráfico y las características de
seguridad. A esta solución se le llama acceso híbrido seguro.
Consulte: Acceso híbrido seguro: protección de aplicaciones heredadas con Microsoft

Entra ID
Para los siguientes servicios, hay Microsoft Entra tutoriales de integración.
Tutorial: integración del SSO de Microsoft Entra con Akamai

Tutorial: integración del inicio de sesión único de Microsoft Entra con Citrix ADC
SAML Connector para Microsoft Entra ID (autenticación basada en Kerberos)
Anteriormente conocido como Citrix Netscaler
Integración de F5 BIG-IP con Microsoft Entra ID
Tutorial: Integración de Zscaler Private Access con Microsoft Entra ID
Integración de las aplicaciones que compilan
los desarrolladores
En las aplicaciones de los desarrolladores, use la Plataforma de identidad de Microsoft
para la autenticación y autorización. Las aplicaciones integradas se registran y
administran como otras aplicaciones de la cartera.
Más información:
Documentación de la plataforma de identidad de Microsoft

Inicio rápido: Registro de una aplicación en la plataforma de identidad de
Microsoft
Los desarrolladores pueden usar la plataforma para aplicaciones internas y orientadas al

cliente. Por ejemplo, use bibliotecas de autenticación de Microsoft (MSAL) para habilitar
la autenticación multifactor y la seguridad a fin de acceder a las aplicaciones.
Más información:
Introducción a la Biblioteca de autenticación de Microsoft (MSAL)

Ejemplos de código de la plataforma de identidad de Microsoft
Vídeo: Información general sobre la Plataforma de identidad de Microsoft para
desarrolladores (33:54)
Paso siguiente
Recursos para migrar aplicaciones a Microsoft Entra ID
Valores predeterminados de seguridad
en Microsoft Entra ID
Artículo • 07/11/2023
Los valores predeterminados de seguridad facilitan la protección de su organización

frente a ataques relacionados con la identidad, como la difusión de contraseñas, la
reproducción y la suplantación de identidad comunes en los entornos actuales.
Microsoft hace que estos valores predeterminados de seguridad configurados

previamente estén disponibles para todos, porque sabemos que la administración de la
seguridad puede ser difícil. En función de nuestros aprendizajes, más del 99,9 % de
estos ataques comunes relacionados con la identidad se detienen mediante la
autenticación multifactor y el bloqueo de la autenticación heredada. Nuestro objetivo es
asegurar de que todas las organizaciones gocen de al menos un nivel básico de
seguridad habilitado sin ningún costo adicional.
Estos controles básicos incluyen:
Exigir que todos los usuarios se registren en la autenticación multifactor

Exigir que los administradores realicen la autenticación multifactor
Exigir que los usuarios realicen la autenticación multifactor cuando sea necesario
Bloquear los protocolos de autenticación heredados
Proteger las actividades con privilegios, como el acceso a Azure Portal
¿Para quiénes son?

Organizaciones que quieren aumentar su posición de seguridad, pero no saben
cómo ni dónde empezar.
Organizaciones que usan el nivel gratuito de las licencias de Microsoft Entra ID.
¿Quién debe usar el acceso condicional?

Si es una organización con licencias de Microsoft Entra ID P1 o P2, es probable que
los valores predeterminados de seguridad tampoco le convengan.
Sin embargo, si su organización tiene requisitos de seguridad complejos, debería
tener en cuenta el acceso condicional.
Habilitación de los valores de seguridad
predeterminados
Si el inquilino se creó el 22 de octubre de 2019, o después, puede que los valores
predeterminados de seguridad ya estén habilitados en el inquilino. Para proteger a
todos los usuarios, los valores predeterminados de seguridad se están implementando
en todos los nuevos inquilinos en el momento de su creación.
Para ayudar a proteger las organizaciones, siempre estamos trabajando para mejorar la
seguridad de los servicios de cuentas de Microsoft. Como parte de esta protección, se
notifica periódicamente a los clientes sobre la habilitación automática de los valores
predeterminados de seguridad si:
No han habilitado las directivas de acceso condicional.

No tienen licencias prémium.
No usan activamente clientes de autenticación heredados.
Después de habilitar esta configuración, todos los usuarios de la organización deberán

registrarse para la autenticación multifactor. Para evitar confusiones, consulte el correo
electrónico que ha recibido, o bien, puede deshabilitar los valores predeterminados de
seguridad después de habilitar la configuración.
Para configurar los valores predeterminados de seguridad en el directorio, debe tener

asignado al menos el rol Administrador de seguridad. De manera predeterminada, a la
primera cuenta de cualquier directorio se le asigna un rol con más privilegios, conocido
como administrador global.
Para habilitar los valores predeterminados de seguridad:

administrador de seguridad.
3. Seleccione Administrar valores predeterminados de seguridad.
4. Establezca Valores predeterminados de seguridad en Habilitado.

Revocación de tokens activos

Como parte de la habilitación de los valores predeterminados de seguridad, los
administradores deben revocar todos los tokens existentes para requerir que todos los
usuarios se registren para la autenticación multifactor. Este evento de revocación obliga
a los usuarios autenticados previamente a autenticarse y registrarse para la
autenticación multifactor. Esta tarea se puede realizar mediante el cmdlet de PowerShell
Revoke-AzureADUserAllRefreshToken.
Directivas de seguridad aplicadas
Exigir que todos los usuarios se registren para la

Los usuarios tienen 14 días para registrarse mediante la aplicación Microsoft
Authenticator o cualquier aplicación compatible con OATH TOTP. Una vez transcurridos
los 14 días, el usuario no podrá iniciar sesión hasta que se complete el registro. El
período de 14 días de un usuario comienza después del primer inicio de sesión
interactivo correcto después de habilitar los valores de seguridad predeterminados.
Cuando los usuarios inician sesión y se les pide que realicen la autenticación multifactor
(MFA), ven una pantalla que les proporciona un número para escribir en la aplicación
Microsoft Authenticator. Esta medida ayuda a evitar que los usuarios caigan en ataques
de fatiga de MFA.
Exigir que los administradores realicen la autenticación
multifactor
Los administradores tienen un mayor acceso a su entorno. Dadas las facultades de estas
altamente privilegiadas cuentas, debe tratarlas con un cuidado especial. Un método
común para mejorar la protección de las cuentas con privilegios es exigir una forma de
verificación de la cuenta más estricta para iniciar sesión, como requerir la autenticación
multifactor.
 Sugerencia
Recomendaciones para los administradores:
Asegúrate de que todos los administradores inician sesión después de

habilitar los valores predeterminados de seguridad para que puedan
registrarse para los métodos de autenticación.
Ten cuentas separadas para la administración y las tareas de productividad
estándar para reducir significativamente la cantidad de veces que se solicita
MFA a tus administradores.
Una vez finalizado el registro, los roles de administrador siguientes deberán realizar una
autenticación multifactor adicional cada vez que inicien sesión:
Administrador de aplicaciones
Administrador de autenticación
Administrador de directivas de autenticación
Administrador de facturación
Administrador de aplicaciones en la nube
Administrador de acceso condicional
Administrador de Exchange
Administrador del departamento de soporte técnico
Administrador de Identity Governance
Administrador de contraseñas
Administrador de autenticación con privilegios
Administrador de roles con privilegios
Administrador de SharePoint
Exigir que los usuarios realicen la autenticación

multifactor cuando sea necesario
Se tiende a pensar que las cuentas de administrador son las únicas cuentas que
necesitan capas adicionales de autenticación. Los administradores tienen un amplio
acceso a información confidencial y pueden realizar cambios en la configuración de
toda la suscripción. Sin embargo, los atacantes suelen dirigirse a los usuarios finales.
Una vez que estos atacantes obtienen acceso, pueden solicitar acceso a información
privilegiada en nombre del titular de la cuenta original. Incluso pueden descargar todo
el directorio para realizar un ataque de suplantación de identidad (phishing) en toda la
organización.
Un método común para mejorar la protección de todos los usuarios es exigir a todos
una forma más estricta de verificación de cuentas, como la autenticación multifactor.
Cuando los usuarios finalicen el registro, se les solicitará otra autenticación siempre que
sea necesario. Microsoft decide cuándo se solicita a un usuario que realice la
autenticación multifactor en función de factores como la ubicación, el dispositivo, el rol
y la tarea. Esta funcionalidad protege todas las aplicaciones registradas, incluidas las
aplicaciones SaaS.
７ Nota
En el caso de los usuarios de conexión directa B2B, deberá cumplirse cualquier

requisito de autenticación multifactor de los valores predeterminados de seguridad
que están habilitados en el inquilino de recursos, incluido el registro de
autenticación multifactor por parte del usuario de conexión directa en su inquilino
principal.
Bloquear los protocolos de autenticación heredados

Para brindar a los usuarios un acceso sencillo a las aplicaciones en la nube, se admite
una variedad de protocolos de autenticación, incluida la autenticación heredada. La
autenticación heredada es un término que hace referencia a una solicitud de
autenticación realizada por:
Clientes que no usan la autenticación moderna (por ejemplo, el cliente de

Office 2010).
Cualquier cliente que use protocolos de correo antiguos, como IMAP, SMTP o
POP3.
Hoy en día, la mayoría de los intentos de inicio de sesión que ponen en peligro la
seguridad proceden de la autenticación heredada. La autenticación heredada no admite
la autenticación multifactor. Incluso si tiene una directiva de autenticación multifactor
habilitada en el directorio, un atacante puede autenticarse mediante un protocolo
antiguo y omitir la autenticación multifactor.
Después de habilitar los valores de seguridad predeterminados en el inquilino, se
bloquearán todas las solicitudes de autenticación realizadas con un protocolo antiguo.
Los valores predeterminados de seguridad bloquean la autenticación básica de
Exchange Active Sync.
２ Advertencia
Antes de habilitar los valores predeterminados de seguridad, asegúrese de que los

administradores no estén usando protocolos de autenticación antiguos. Para más
información, consulte Cómo cambiar la autenticación heredada.
Configuración de una aplicación o un dispositivo multifunción para enviar correos

electrónicos mediante Microsoft 365
Proteger las actividades con privilegios, como el acceso a

Azure Portal
Las organizaciones usan diversos servicios de Azure que se administran mediante la API
de Azure Resource Manager, entre ellos:
Azure Portal
Azure PowerShell
Azure CLI
El uso de Azure Resource Manager para administrar los servicios es una acción con
privilegios elevados. Azure Resource Manager puede modificar las configuraciones de
todo el inquilino, como la configuración del servicio y la facturación de la suscripción. La
autenticación de factor único es vulnerable a una variedad de ataques, como la
suplantación de identidad (phishing) y la difusión de contraseñas.
Es importante comprobar la identidad de los usuarios que quieren acceder a Azure

Resource Manager y actualizar las configuraciones. Para comprobar su identidad, solicite
una autenticación adicional antes de permitir el acceso.
Después de habilitar los valores predeterminados de seguridad en el inquilino, cualquier

usuario que acceda a los servicios siguientes deberá completar la autenticación
multifactor:
Azure portal
Azure PowerShell
Azure CLI
Esta directiva se aplica a todos los usuarios que acceden a los servicios de
Azure Resource Manager, independientemente de si son administradores o usuarios.
Esto se aplica a las API de Azure Resource Manager, como el acceso a la suscripción, las
máquinas virtuales, las cuentas de almacenamiento, etc. Esto no incluye Microsoft Entra
ID ni Microsoft Graph.
７ Nota
Los inquilinos de Exchange Online anteriores a 2017 tienen la autenticación

moderna deshabilitada de forma predeterminada. Para evitar la posibilidad de que
se produzca un bucle de inicio de sesión durante la autenticación a través de estos
inquilinos, debe habilitar la autenticación moderna.
７ Nota
La cuenta de sincronización de Microsoft Entra Connect se excluye de los valores

predeterminados de seguridad y no se le solicitará que se registre ni que realice la
autenticación multifactor. Las organizaciones no deben usar esta cuenta para otros
fines.
Consideraciones de la implementación
Preparación de los usuarios

Es fundamental notificar a los usuarios los próximos cambios, los requisitos de registro y
las acciones que deben realizar. Con el fin de preparar a los usuarios para la nueva
experiencia y ayudar a garantizar un lanzamiento satisfactorio, ponemos a su
disposición plantillas de comunicación y documentación para usuarios . Envíe a los
usuarios a https://myprofile.microsoft.com para que se registren, para lo que deben
seleccionar el vínculo Información de seguridad en esa página.
Métodos de autenticación
Los usuarios con los valores predeterminados de seguridad deben registrar y usar la
autenticación multifactor mediante las Notificaciones de la aplicación Microsoft
Authenticator. Los usuarios pueden utilizar códigos de verificación de la aplicación
Microsoft Authenticator, pero solo pueden registrarse mediante la opción de
notificación. Los usuarios también pueden usar cualquier aplicación de terceros
mediante OATH TOTP para generar códigos.
２ Advertencia
No deshabilite los métodos de la organización si está usando Valores

predeterminados de seguridad. La deshabilitación de los métodos puede dar lugar
a su propia expulsión del inquilino. Deje todos los Métodos disponibles para los
usuarios habilitados en el portal de configuración del servicio MFA.
Usuarios B2B
Los usuarios invitados B2B o los usuarios de conexión directa B2B que acceden al
directorio se tratan igual que los usuarios de la organización.
Estado de MFA deshabilitado

Si su organización es un usuario anterior de autenticación multifactor basada en
usuarios, no se alarme si no ve usuarios con el estado Habilitado o Aplicado en la
página de estado de la autentificación multifactor. Deshabilitado es el estado adecuado
para los usuarios que utilizan valores predeterminados de seguridad o la autenticación
multifactor basada en el acceso condicional.
Deshabilitación de los valores predeterminados de

seguridad
Las organizaciones que decidan implementar directivas de acceso condicional que
reemplacen los valores predeterminados de seguridad deben deshabilitar estos últimos.
Para deshabilitar los valores predeterminados de seguridad en el directorio:

administrador de seguridad.
3. Seleccione Administrar valores predeterminados de seguridad.
4. Establezca Valores predeterminados de seguridaden Deshabilitado (no
recomendado).
Traslado de los valores de seguridad predeterminados a
acceso condicional
Aunque los valores predeterminados de seguridad son una buena línea de base desde
la que iniciar la posición de seguridad, no permiten la personalización que muchas
organizaciones necesitan. Las directivas de acceso condicional proporcionan una amplia
gama de personalizaciones que requieren organizaciones más complejas.
Valores predeterminados de Acceso condicional

seguridad
Licencias Ninguno Al menos Microsoft Entra ID P1.

necesarias
Personalización Ninguna personalización (activado Totalmente personalizable

o desactivado)
Habilitado por Microsoft o administrador Administrador
Complejidad Fácil de usar Totalmente personalizable en función

de sus requisitos
Pasos recomendados al pasar de valores predeterminados de seguridad
Las organizaciones que quieran probar las características del acceso condicional pueden
registrarse para obtener una evaluación gratuita para comenzar.
Después de que los administradores deshabiliten los valores predeterminados de

seguridad, las organizaciones deben habilitar inmediatamente las directivas de acceso
condicional para proteger su organización. Estas directivas deben incluir al menos esas
directivas en la categoría de bases seguras de plantillas de acceso condicional. Las
organizaciones con licencias de Microsoft Entra ID P2 que incluyen Microsoft Entra ID
Protection pueden expandirse en esta lista para incluir directivas basadas en riesgo de
usuario e inicio de sesión para reforzar aún más su postura.
Se recomienda excluir al menos una cuenta de las directivas de acceso condicional Estas
cuentas de acceso de emergencia o de emergencia excluidas ayudan a evitar el
bloqueo de cuentas de todo el inquilino. En el improbable caso de que todos los
administradores estén bloqueados fuera del inquilino, se puede usar la cuenta
administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar
los pasos para recuperar el acceso. Para más información, consulte Administración de
cuentas de acceso de emergencia.
Pasos siguientes
Blog: Presentación de los valores predeterminados de seguridad
Para más información sobre las licencias, consulte la página de precios de
Microsoft Entra .
Comentarios

Bloquear la autenticación heredada con
el acceso condicional de Microsoft Entra
Artículo • 28/10/2023
Para brindar a los usuarios un acceso sencillo a las aplicaciones en la nube, Microsoft
Entra ID admite una amplia variedad de protocolos de autenticación, incluyendo la
autenticación heredada. No obstante, la autenticación heredada no admite cosas como
la autenticación multifactor (MFA). MFA es un requisito común para mejorar la posición
de seguridad en las organizaciones.
En función del análisis de Microsoft, más del 97 % de los ataques de relleno de

credenciales usan la autenticación heredada y más del 99 % de los ataques de difusión
de contraseñas usan protocolos de autenticación heredados. Estos ataques se
detendrían con la autenticación básica deshabilitada o bloqueada.
７ Nota
A partir del 1 de octubre de 2022, comenzaremos a deshabilitar permanentemente

la autenticación básica para Exchange Online en todos los inquilinos de Microsoft
365 independientemente del uso, excepto para la autenticación SMTP. Para
obtener más información, consulte el artículo Degradar la autenticación básica en
Exchange Online.
En su entrada de blog del 12 de marzo de 2020, New tools to block legacy

authentication in your organization , Alex Weinert, Director de seguridad de
identidades en Microsoft, destaca los motivos por los que las organizaciones deben
bloquear la autenticación heredada, y señala otras herramientas que Microsoft
proporciona para realizar esta tarea:
En este artículo se explica cómo configurar las directivas de acceso condicional que
bloquean la autenticación heredada para todas las cargas de trabajo en el inquilino.
Al implementar la protección de bloqueo de autenticación heredada, se recomienda un

enfoque por fases, en lugar de deshabilitarlo para todos los usuarios a la vez. Los
clientes pueden optar por empezar primero a deshabilitar la autenticación básica por
protocolo mediante la aplicación de las directivas de autenticación de Exchange Online
y, opcionalmente, bloquear también la autenticación heredada a través de directivas de
acceso condicional cuando estén listas.
Los clientes sin licencias que incluyen el acceso condicional pueden usar losvalores
predeterminados de seguridad para bloquear la autenticación heredada.
Requisitos previos
En este artículo se supone que está familiarizado con los conceptos básicos del acceso
condicional de Microsoft Entra.
７ Nota
Las directivas de acceso condicional se aplican una vez que se completa la

autenticación en una fase. El acceso condicional no pretende ser una primera línea
de defensa de una organización en escenarios como los ataques por denegación
de servicio (DoS), pero puede usar señales de estos eventos para determinar el
acceso.
Descripción del escenario

Microsoft Entra ID admite los protocolos de autenticación y autorización usados más
comúnmente, incluyendo la autenticación heredada. La autenticación heredada no
puede solicitar a los usuarios la autenticación de segundo factor u otros requisitos de
autenticación necesarios para satisfacer directamente las directivas de acceso
condicional. En este patrón de autenticación se incluye la autenticación básica, un
método estándar del sector ampliamente usado para recopilar información de nombre
de usuario y contraseña. Algunos ejemplos de aplicaciones que usan normalmente o
solo usan la autenticación heredada son:
Microsoft Office 2013 o versiones posteriores.

Aplicaciones que usan protocolos de correo como POP, IMAP y SMTP AUTH.
Para más información sobre la compatibilidad con la autenticación moderna en Office,

consulte Cómo funciona la autenticación moderna para las aplicaciones de cliente de
Office.
La autenticación de un solo factor (por ejemplo, nombre de usuario y contraseña) ya no

es suficiente. No se recomiendan las contraseñas, porque son fáciles de adivinar y
porque los usuarios humanos no suelen elegir contraseñas seguras. Las contraseñas
también son vulnerables ante una variedad de ataques, como suplantación de identidad
(phishing) y difusión de contraseña. Una de las medidas más sencillas que puede tomar
para protegerse contra las amenazas para las contraseñas es implementar la
autenticación multifactor (MFA). Con MFA, incluso si el atacante cuenta con la
contraseña del usuario, la contraseña por sí sola no es suficiente para autenticarse de
manera correcta y acceder a los datos.
¿Cómo se puede evitar que las aplicaciones que usan la autenticación heredada accedan
a los recursos del inquilino? La recomendación es simplemente bloquearlas con una
directiva de acceso condicional. Si es necesario, puede permitir que solo ciertos usuarios
y ubicaciones de red específicas usen aplicaciones basadas en la autenticación
heredada.
Implementación
En esta sección se explica cómo configurar una directiva de acceso condicional para
bloquear la autenticación heredada.
Protocolos de mensajería que admiten la autenticación

heredada
Los siguientes protocolos de mensajería admiten autenticación heredada:
SMTP autenticado: se usa para enviar mensajes de correo electrónico autenticados.

Detección automática: usada por clientes Outlook y EAS para buscar y conectarse a
buzones en Exchange Online.
Exchange ActiveSync (EAS): se usa para conectarse a los buzones en Exchange
Online.
Exchange Online PowerShell: se usa para conectarse a Exchange Online con
PowerShell remoto. Si bloquea la autenticación básica para Exchange Online
PowerShell, debe usar el módulo de Exchange Online PowerShell para conectarse.
Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con
autenticación multifactor.
Servicios web Exchange (EWS): una interfaz de programación que se usa en
Outlook, Outlook para Mac y aplicaciones de terceros.
IMAP4: usado por clientes de correo electrónico IMAP.
SMTP sobre HTTP (MAPI/HTTP): protocolo de acceso al buzón de correo principal
utilizado por Outlook 2010 SP2 y versiones posteriores.
Libreta de direcciones sin conexión (OAB): una copia de las colecciones de listas de
direcciones que Outlook descarga y usa.
Outlook Anywhere (RPC a través de HTTP): protocolo de acceso a buzones de
correo heredado admitido por todas las versiones Outlook actuales.
POP3: usado por clientes de correo electrónico POP.
Servicios web de creación de informes: se usan para recuperar datos de informes
en Exchange Online.
Servicio Outlook: usado por la aplicación de correo electrónico y calendario de
Windows 10.
Otros clientes: otros protocolos que usen autenticación heredada.
Para obtener más información sobre estos protocolos de autenticación y servicios, vea
Informes de actividad de inicio de sesión.
Identificación del uso de la autenticación heredada

Antes de poder bloquear la autenticación heredada en su directorio, debe saber si sus
usuarios tienen aplicaciones cliente que usan autenticación heredada.
Indicadores de registro de inicio de sesión

Administrador de acceso condicional.
2. Vaya a Identidad>Estado de supervisión &>Registros de inicio de sesión.
3. Agregue la columna Aplicación cliente si no se muestra; para ello, haga clic en
Columnas>Aplicación cliente.
4. Seleccione Agregar filtros>Aplicación cliente> seleccione todos los protocolos de
autenticación heredados y haga clic en Aplicar.
5. Si ha activado la versión preliminar de los nuevos informes de actividad de inicio
de sesión, repita los pasos anteriores también en la pestaña Inicios de sesión de
usuario (no interactivos).
Al filtrar se muestran los intentos de inicio de sesión realizados mediante protocolos de

autenticación heredados. Al hacer clic en cada intento de inicio de sesión individual se
muestran más detalles. El campo Aplicación cliente en la pestaña Información básica
indicará qué protocolo de autenticación heredada se usó.
Estos registros indicarán la ubicación en la que los usuarios usan los clientes que
dependen todavía de la autenticación heredada. En el caso de los usuarios que no
aparecen en estos registros y se confirme que no usan la autenticación heredada,
implemente una directiva de acceso condicional solo para ellos.
Además, para ayudar a realizar una evaluación de prioridades de la autenticación

heredada en el inquilino, use Inicios de sesión que utilizan una autenticación heredada.
Indicadores del cliente

Para determinar si un cliente usa autenticación heredada o moderna en función del
cuadro de diálogo que se presenta en el inicio de sesión, consulte el artículo sobre el
desuso de la autenticación básica en Exchange Online.
Consideraciones importantes
Muchos clientes que anteriormente solo admitían la autenticación heredada ahora
admiten la autenticación moderna. Los clientes que admiten la autenticación heredada y
moderna pueden requerir una actualización de la configuración para pasar de la
autenticación heredada a la moderna. Si ve un móvil moderno, un cliente de escritorio
o un explorador para un cliente en los registros de inicio de sesión, significa que está
usando una autenticación moderna. Si tiene un nombre de cliente o protocolo
específico, como Exchange ActiveSync, está usando la autenticación heredada. Los tipos
de cliente en Acceso condicional, Registros de inicio de sesión y el libro de trabajo de
autenticación heredada distinguen entre clientes de autenticación modernos y
heredados.
Los clientes que admiten la autenticación moderna, pero que no están

configurados para usarla, deben actualizarse o volver a configurarse para utilizarla.
Todos los clientes que no admiten la autenticación moderna deben reemplazarse.
） Importante
Exchange Active Sync con la autenticación basada en certificados (CBA)
Al implementar Exchange Active Sync (EAS) con CBA, configure los clientes para
que usen una autenticación moderna. Los clientes que no usen la autenticación
moderna para EAS con CBA no están bloqueados con el desuso de la
autenticación básica en Exchange Online. Sin embargo, las directivas de acceso
condicional configuradas para bloquear la autenticación heredada bloquean estos
clientes.
Para obtener más información sobre cómo implementar la compatibilidad con CBA
con Microsoft Entra ID y la autenticación moderna, consulte Cómo configurar la
autenticación basada en certificados de Microsoft Entra ID (versión preliminar).
Como otra opción, la autenticación basada en certificados realizada en un servidor
de federación se puede usar con la autenticación moderna.
Si usa Microsoft Intune, es posible que pueda cambiar el tipo de autenticación mediante
el perfil de correo electrónico que inserte o implemente en los dispositivos. Si usa
dispositivos iOS (iPhone y iPad), debería echar un vistazo al artículo sobre cómo agregar
la configuración de correo electrónico para dispositivos iOS y iPadOS en Microsoft
Intune.
Bloquear la autenticación heredada

Hay dos maneras de usar las directivas de acceso condicional para bloquear la
autenticación heredada.
Bloqueo directo de la autenticación heredada

Bloqueo indirecto de la autenticación heredada
Bloqueo directo de la autenticación heredada

La forma más sencilla de bloquear la autenticación heredada en toda la organización es
mediante la configuración de una directiva de acceso condicional que se aplica
específicamente a los clientes de autenticación heredados y bloquea el acceso. Al
asignar usuarios y aplicaciones a la directiva, asegúrese de excluir los usuarios y las
cuentas de servicio que todavía deben iniciar sesión con la autenticación heredada. Al
elegir las aplicaciones en la nube en las que se va a aplicar esta directiva, seleccione
Todas las aplicaciones en la nube, aplicaciones de destino como Office 365
(recomendado) o, como mínimo, Office 365 Exchange Online. Las organizaciones
pueden usar la directiva disponible en las plantillas de acceso condicional o la directiva
común Acceso condicional: Bloquear la autenticación heredada como referencia.
Bloqueo indirecto de la autenticación heredada

Si la organización no está lista para bloquear la autenticación heredada completamente,
debe asegurarse de que los inicios de sesión que usan la autenticación heredada no
están omitiendo las políticas que requieren controles de concesión como la
autenticación multifactor. Durante la autenticación, los clientes de autenticación
heredada no admiten el envío de información sobre MFA, el cumplimiento del
dispositivo o el estado de la unión a Microsoft Entra ID. Por lo tanto, aplique directivas
con controles de concesión a todas las aplicaciones cliente para que se bloqueen los
inicios de sesión basados en la autenticación heredada que no puedan satisfacer los
controles de concesión. Con la disponibilidad general de la condición de aplicaciones de
cliente en agosto de 2020, las directivas de acceso condicional recién creadas se aplican
a todas las aplicaciones cliente de forma predeterminada.
Qué debería saber

La directiva de acceso condicional puede tardar hasta 24 horas en entrar en vigor.
Al bloquear el acceso mediante Otros clientes también se impide que PowerShell de

Exchange Online y Dynamics 365 usen la autenticación básica.
La configuración de una directiva para otros clientes bloquea toda la organización ante
determinados clientes como SPConnect. Este bloqueo se produce porque clientes más
antiguos se autentican de formas inesperadas. Este problema no aplica a las
aplicaciones principales de Office, como los clientes de Office anteriores.
Puede seleccionar todos los controles de concesión disponibles para la condición Otros
clientes, pero la experiencia del usuario final siempre es la misma: el acceso bloqueado.
Pasos siguientes
Determinación del impacto mediante el modo de solo informe de acceso
condicional
Si todavía no sabe cómo configurar las directivas de acceso condicional, consulte
Exigir MFA para aplicaciones específicas con el acceso condicional de Microsoft
Entra para ver un ejemplo.
Para más información sobre la compatibilidad con la autenticación moderna,
consulte Cómo funciona la autenticación moderna para las aplicaciones de cliente
de Office
Configuración de una aplicación o un dispositivo multifunción para enviar correos
electrónicos mediante Microsoft 365
Habilitación de la autenticación moderna en Exchange Online
Habilitación de la autenticación moderna para Office 2013 en dispositivos
Windows
Cómo configurar Exchange Server local para usar la autenticación moderna híbrida
Cómo usar la autenticación moderna con Skype Empresarial
Comentarios

Búsqueda del identificador de inquilino
de Microsoft Entra
Artículo • 25/10/2023
Las suscripciones de Azure tienen una relación de confianza con Microsoft Entra ID. Se
confía en Microsoft Entra ID para autenticar usuarios, servicios y dispositivos de la
suscripción. Cada suscripción tiene un identificador de inquilino asociado y hay varias
maneras de encontrarlo.
Búsqueda del identificador de inquilino a

través del centro de administración de
Microsoft Entra
1. Inicie sesión en el Centro de administración de Microsoft Entrar al menos
comoGlobal Reader.
3. Desplácese hacia abajo hasta la sección Id. de inquilino y encontrará el id. de
inquilino en el cuadro.
Búsqueda del identificador de inquilino

mediante Azure Portal
1. Inicie sesión en Azure Portal .
2. Vaya a Microsoft Entra ID>Propiedades.
3. Desplácese hacia abajo hasta la sección Id. de inquilino y encontrará el id. de
inquilino en el cuadro.
Búsqueda del identificador de inquilino con
PowerShell
Para buscar el identificador de inquilino con Azure PowerShell, use el cmdlet Get-
AzTenant .
Azure PowerShell
Connect-AzAccount
Get-AzTenant
Para obtener más información, consulte la referencia del cmdlet Get-AzTenant.
Búsqueda del identificador de inquilino con la

CLI
La CLI de Azure o la CLI de Microsoft 365 se pueden usar para buscar el identificador
de inquilino.
En la CLI de Azure, use uno de los comandos az login, az account list o az account
tenant list. Todos los comandos incluidos a continuación devuelven la propiedad
tenantId para cada una de las suscripciones.
Azure CLI
az login
az account list
az account tenant list
Para obtener más información, vea las referencias de los comandos az login, az account
o az account tenant.
En la CLI de Microsoft 365, use el cmdlet tenant id como se muestra en el ejemplo

siguiente:
cli
m365 tenant id get
Para obtener más información, vea la referencia del comando tenant id. get de
Microsoft 365.
Pasos siguientes
Para crear un nuevo inquilino de Microsoft Entra, consulte Inicio rápido: Creación
de un nuevo inquilino en Microsoft Entra ID.
Para aprender a asociar o agregar una suscripción a un inquilino, consulte

Asociación o incorporación de una suscripción de Azure al inquilino de Microsoft
Entra.
Para aprender a buscar el identificador de objeto, vea Búsqueda del identificador

de objeto de usuario.
Obtención de ayuda y soporte técnico
para Microsoft Entra ID
Artículo • 27/10/2023
La documentación de Microsoft y el contenido de aprendizaje proporcionan

información de soporte técnico y solución de problemas de calidad, pero si tiene un
problema no tratado en nuestro contenido, hay varias opciones para obtener ayuda y
soporte técnico para Microsoft Entra ID. En este artículo se proporcionan las opciones
para encontrar soporte técnico de la comunidad de Microsoft y cómo enviar una
solicitud de soporte técnico con Microsoft.
Pregunte a la comunidad de Microsoft

Comience con nuestros miembros de la comunidad de Microsoft que pueden tener una
respuesta a su pregunta. Estas comunidades proporcionan soporte técnico, comentarios
y discusiones generales sobre productos y servicios de Microsoft. Antes de crear una
solicitud de soporte técnico, consulte los siguientes recursos para obtener respuestas e
información.
Para obtener información sobre cómo hacerlo, inicios rápidos o ejemplos de

código para profesionales de TI y desarrolladores, consulte la documentación
técnica en learn.microsoft.com.
Publique una pregunta en Microsoft Q&A para obtener respuestas a sus preguntas
sobre identidad y acceso directamente de los ingenieros de Microsoft, los
profesionales más valiosos de Azure (MVP) y los miembros de nuestra comunidad
de expertos.
La Comunidad técnica de Microsoft es el lugar en el que nuestros asociados
profesionales de TI y los clientes colaboran, comparten información y aprenden.
Únase a la comunidad para publicar preguntas y enviar sus ideas.
El Centro de información de la Comunidad técnica de Microsoft se usa para
anuncios, entradas de blog, interacciones AMA ("pregunta lo que quieras") con
expertos y mucho más.
Prácticas recomendadas de Microsoft Q&A

Microsoft Q&A es la fuente recomendada por Azure para el soporte técnico de la
comunidad. Se recomienda usar una de las siguientes etiquetas al publicar una
pregunta. Echa un vistazo a nuestras sugerencias para escribir preguntas de calidad.
Componente o área Etiquetas
Biblioteca de autenticación de Microsoft (MSAL) [msal]
Middleware Open Web Interface for .NET (OWIN) [azure-active-directory]
Microsoft Entra B2B / External Identities [azure-ad-b2b]
Azure AD B2C [azure-ad-b2c]
API de Microsoft Graph [azure-ad-graph]
Todas las demás áreas de autenticación y autorización [azure-active-directory]
Apertura de una solicitud de soporte técnico

Si no encuentra una respuesta en estos recursos de autoayuda, puede abrir una solicitud
de soporte técnico en línea. Debe abrir una solicitud de soporte técnico por problema,
para que podamos ponerle en contacto con ingenieros que sean expertos en la materia
en cuestión. Los equipos de ingeniería de Microsoft Entra priorizan su trabajo en función
de las incidencias que se generan desde el soporte, por lo que a menudo se contribuye
a mejorar el servicio.
El soporte técnico está disponible en línea y por teléfono para las suscripciones de pago
y de prueba de Microsoft Azure en incidencias, de preventa, de facturación y de
suscripción globales. El soporte técnico por teléfono y el soporte técnico para la
facturación en línea están disponibles en otros idiomas.
Explore el alcance de las opciones de soporte técnico de Azure y elija el plan que
mejor se adapte a su escenario, ya sea un administrador de TI que administra el
inquilino de su organización, un desarrollador que acaba de comenzar su viaje a la nube
o una gran organización que implementa aplicaciones estratégicas y críticas para el
negocio. Los clientes de Azure pueden crear y administrar las solicitudes de soporte
técnico en Azure Portal.
Si ya tiene un plan de soporte técnico de Azure, abra una solicitud de soporte

técnico aquí .
Si no es cliente de Azure, puede abrir una solicitud de soporte técnico con el

Soporte técnico de Microsoft para empresas .
７ Nota
Si usa Azure AD B2C, abra una incidencia de soporte técnico y cambie primero a un
inquilino de Microsoft Entra que tenga asociada una suscripción de Azure.
Normalmente, se trata del inquilino del empleado o del inquilino predeterminado
que se creó cuando se registró para una suscripción de Azure. Para más
información, consulte Asociación de las suscripciones de Azure con Microsoft
Entra ID.

Administrador de soporte técnico del servicio.
2. Vaya a Ayuda & soporte técnico>Nueva solicitud de soporte técnico.
3. Siga las indicaciones para proporcionarnos la información sobre el problema que

tiene.
Le guiaremos a través de algunos pasos para recopilar información sobre el problema y

ayudarle a resolverlo. Este paso se describe en las secciones siguientes.
1. Descripción del problema

1. En Descripción del problema, escriba una breve descripción en el campo
Resumen.
2. Selección de un tipo de problema.
Las opciones son la facturación y la administración de las suscripciones. Una vez

seleccionada una opción, los campos Tipo de problema y Subtipo Problema
aparecen, rellenados previamente con las opciones asociadas a la selección inicial.
3. Seleccione Siguiente en la parte inferior de la página.
2. Solución recomendada
En función de la información proporcionada, le mostraremos las soluciones
recomendadas que puede usar para intentar resolver el problema. Las soluciones están
escritas por ingenieros de Azure y resolverán la mayoría de los problemas comunes.
Si todavía no puede resolver el problema, seleccione Siguiente para continuar creando

la solicitud de soporte técnico.
3. Detalles adicionales
A continuación, recopilaremos información adicional sobre el problema. Proporcionar
información exhaustiva y detallada en este paso nos ayuda a enrutar la solicitud de
soporte técnico al ingeniero adecuado.
1. Complete la sección detalles del problema para que podamos tener más
información sobre el mismo. Si es posible, indíquenos cuándo se inició el problema
y los pasos para reproducirlo. Puede cargar un archivo, como un archivo de
registro o una salida de diagnósticos. Para obtener más información sobre las
cargas de archivos, consulte Instrucciones de carga de archivos.
2. En la sección Información de diagnóstico avanzada, seleccione Sí o No.
Si elige Sí, el soporte técnico de Azure podrá recopilar información de

diagnóstico avanzada de los recursos de Azure.
Si prefiere no compartir esta información, seleccione No. Para obtener más
información sobre los tipos de archivos que podemos recopilar, consulte la
sección Registros de información de diagnóstico avanzado.
En algunos escenarios, es posible que un administrador del inquilino tenga
que aprobar Soporte técnico de Microsoft acceso a los datos de identidad de
Microsoft Entra.
3. En la sección Método de asistencia, seleccione el método de contacto y el idioma

de asistencia que prefiera.
Algunos detalles están seleccionados previamente.

El plan de soporte técnico y la gravedad se rellenan en función del plan.
El nivel de gravedad máximo depende de su plan de soporte técnico .
4. A continuación, complete la sección Información de contacto para que sepamos

cómo ponernos en contacto con usted.
Seleccione Siguiente cuando haya completado toda la información necesaria.
4. Revisar y crear
Antes de crear la solicitud, revise todos los detalles que va a enviar al soporte técnico.
Puede seleccionar Anterior para volver a cualquier pestaña si necesita realizar cambios.
Cuando esté satisfecho con la solicitud de soporte técnico, seleccione Crear.
Un ingeniero de soporte técnico se pondrá en contacto con usted mediante el método

que haya indicado. Consulte Ámbito de soporte técnico y capacidad de respuesta
para obtener información sobre los tiempos de respuesta inicial.
Obtener soporte técnico de Centro de
administración de Microsoft 365
La compatibilidad con Microsoft Entra ID en el centro de administración de Microsoft
365 se ofrece a los administradores a través del centro de administración. Revise el
artículo soporte técnico de Microsoft 365 para empresas.
Manténgase informado
Las cosas pueden cambiar rápidamente. Los siguientes recursos proporcionan
actualizaciones e información sobre las versiones más recientes.
Actualizaciones de Azure : obtenga información sobre las actualizaciones de

productos, el mapa de ruta y los anuncios importantes.
Novedades de Microsoft Entra ID: conozca las novedades de Microsoft Entra ID,
incluidas las notas de versión más recientes, problemas conocidos, correcciones de
errores, funcionalidades en desuso y próximos cambios.
Blog de Microsoft Entra ID : obtenga noticias e información sobre Microsoft Entra
ID.
Pasos siguientes
Publicación de una pregunta en Microsoft Q&A
Únase a la comunidad técnica de Microsoft
Obtenga información sobre la compatibilidad con identidades de Azure de datos
de diagnóstico a los que puede acceder.
Comentarios

Acerca de las solicitudes de acceso al
Soporte técnico de Microsoft (versión
preliminar)
Artículo • 25/10/2023
Las solicitudes de Soporte técnico de Microsoft se asignan automáticamente a un

ingeniero de soporte con experiencia en la resolución de problemas similares. Para
agilizar la entrega de soluciones, nuestros ingenieros de asistencia utilizan herramientas
de diagnóstico para leer los datos de diagnóstico de identidad de su inquilino.
El acceso del Soporte técnico de Microsoft a sus datos de diagnóstico de identidad solo
se concede con su aprobación, es de solo lectura y dura únicamente mientras estemos
trabajando activamente con usted para resolver su problema.
Para muchas solicitudes de soporte creadas en el centro de administración de Microsoft

Entra, puede administrar el acceso a sus datos de diagnóstico de identidad habilitando
la propiedad "Permitir la recopilación de información de diagnóstico avanzado". Si esta
opción está configurada como "no", nuestros ingenieros de soporte deberán pedirle que
recopile los datos necesarios para resolver su problema, lo que podría ralentizar la
resolución del mismo.
Solicitudes de acceso al Soporte técnico de

Microsoft
A veces, los ingenieros de soporte necesitan su aprobación adicional para acceder a los
datos de diagnóstico de identidad para resolver su problema. Por ejemplo, si un
ingeniero de soporte necesita acceder a los datos de diagnóstico de identidad en una
tenencia de Microsoft Entra diferente de aquella en la que usted creó la solicitud de
soporte, el ingeniero debe pedirle que le conceda acceso a esos datos.
Las solicitudes de acceso al servicio de soporte de Microsoft (versión preliminar) le

permiten administrar el acceso del servicio de Soporte técnico de Microsoft a sus datos
de diagnóstico de identidad para solicitudes de soporte cuando no pueda administrar
dicho acceso en la experiencia de administración de solicitudes de soporte del centro de
Permisos de rol de acceso compatibles

Para administrar las solicitudes de acceso al Soporte técnico de Microsoft, debe estar
asignado a un rol que tenga permiso total para administrar los tickets de soporte
técnico de Microsoft Entra para el inquilino. Este permiso de rol está incluido en los
roles integrados de Microsoft Entra con la acción
microsoft.azure.supportTickets/allEntities/allTasks . Puede ver qué roles de
Microsoft Entra tienen este permiso en el artículo Roles integrados de Microsoft Entra.
Pasos siguientes
Aprobar las solicitudes de acceso al Soporte técnico de Microsoft
Administrar solicitudes de acceso del Soporte técnico de Microsoft
Visualización de registros de solicitudes de acceso del Soporte técnico de
Microsoft
Obtener información sobre cómo Microsoft usa datos para el Soporte técnico de
Azure
Aprobación de solicitudes de acceso del
preliminar)
Artículo • 29/11/2023
En muchas situaciones, habilitar la recopilación de Información de diagnóstico

avanzada durante la creación de una solicitud de acceso de soporte técnico es
suficiente para que el Soporte técnico de Microsoft solucione el problema. Sin embargo,
en algunas situaciones, es posible que se necesite una aprobación independiente para
permitir que el Soporte técnico de Microsoft acceda a los datos de diagnóstico de
identidad.
Las solicitudes de acceso del Soporte técnico de Microsoft (versión preliminar) le

permiten proporcionar a los ingenieros del Soporte técnico de Microsoft acceso a los
datos de diagnóstico en el servicio de identidad para ayudar a resolver las solicitudes de
soporte técnico que envió a Microsoft. Puedes usar el centro de administración
Microsoft Entra y el portal de Azure para administrar las solicitudes de acceso del
Soporte técnico de Microsoft.
En este artículo se describe cómo funciona el proceso y cómo aprobar solicitudes de

acceso del Soporte técnico de Microsoft.
Requisitos previos
Solo los usuarios autorizados del inquilino pueden ver y administrar las solicitudes de
acceso del Soporte técnico de Microsoft. Para ver, aprobar y rechazar solicitudes de
acceso del Soporte técnico de Microsoft, un rol debe tener el permiso
microsoft.azure.supportTickets/allEntities/allTasks . Para ver qué roles tienen este
permiso, busque el permiso necesario en los roles integrados de Microsoft Entra.
Escenarios y flujo de trabajo

Es posible que se necesite una solicitud de acceso de soporte técnico cuando se envíe
una solicitud de soporte técnico al Soporte técnico de Microsoft desde un inquilino
diferente del inquilino en el que se está produciendo el problema. Este escenario se
conoce como escenario entre inquilinos. El inquilino de recursos es el inquilino donde se
está produciendo el problema y el inquilino donde se creó la solicitud de soporte
técnico se conoce como el inquilino de solicitud de soporte técnico.
Echemos un vistazo más de cerca al flujo de trabajo de este escenario:
Se envía una solicitud de soporte técnico desde un inquilino que es diferente del
inquilino en el que se está produciendo el problema.
Un ingeniero del Soporte técnico de Microsoft crea una solicitud de acceso de
soporte técnico para acceder a los datos de diagnóstico de identidad para el
inquilino de recursos.
Un administrador de ambos inquilinos aprueba la solicitud de acceso del Soporte
técnico de Microsoft.
Con la aprobación, el ingeniero de soporte técnico solo tiene acceso a los datos en
el inquilino de recursos aprobado.
Cuando el ingeniero de soporte técnico cierra la solicitud de soporte técnico, se
revoca automáticamente el acceso a los datos de identidad.
Este escenario entre inquilinos es el escenario principal en el que se necesita una

solicitud de acceso de soporte técnico. En estos escenarios, el acceso aprobado por
Microsoft solo es visible en el inquilino de recursos. Para conservar la privacidad entre
inquilinos, un administrador del inquilino de solicitud de soporte técnico no puede ver si
un administrador del inquilino de recursos ha quitado manualmente esta aprobación.
Ver solicitudes en espera

Cuando tenga una solicitud de acceso de soporte técnico pendiente, puede ver y
aprobar esa solicitud desde varios lugares.

2. Vaya a Información y soporte técnico>Diagnosticar y resolver problemas.
3. Seleccione el vínculo desde el mensaje de banner en la parte superior de la página.
O desplácese hasta la parte inferior de la página y seleccione Administrar

solicitudes pendientes en la sección Solicitudes de acceso del Soporte técnico de
Microsoft.
4. Seleccione el vínculo Id. de solicitud de soporte técnico o el vínculo Revisar para

aprobación para la solicitud que necesita aprobar.
Aprobación o rechazo de una solicitud de

soporte técnico
Al ver los detalles de una solicitud de acceso de soporte técnico pendiente, puede
aprobar o rechazar la solicitud.
Para aprobar la solicitud de acceso de soporte técnico, seleccione el botón

Aprobar.
El Soporte técnico de Microsoft ahora tiene acceso de solo lectura a los datos de
diagnóstico de identidad hasta que se complete la solicitud de soporte técnico.
Para rechazar la solicitud de acceso de soporte técnico, seleccione el botón
Rechazar.
El Soporte técnico de Microsoft no tiene acceso a los datos de diagnóstico de
identidad.
Aparece un mensaje que indica que esta opción puede dar lugar a una
resolución más lenta de la solicitud de soporte técnico.
El ingeniero de soporte técnico puede pedirle datos necesarios para
diagnosticar el problema, y usted debe recopilar y proporcionar esa información
al ingeniero de soporte técnico.
Pasos siguientes
Creación de una solicitud de soporte técnico
Administrar solicitudes de acceso del Soporte técnico de Microsoft
Visualización de registros de solicitudes de acceso del Soporte técnico de
Microsoft
Azure
Administrar las solicitudes de acceso al
preliminar)
Artículo • 01/12/2023
Puede usar el centro de administración de Microsoft Entra y el portal de Azure para

administrar las solicitudes de acceso del Soporte técnico de Microsoft (versión
preliminar). Las solicitudes de acceso al servicio de Soporte técnico de Microsoft le
permiten dar acceso a los ingenieros del servicio de Soporte técnico de Microsoft a los
datos de diagnóstico de identidad de su servicio de identidad para ayudar a resolver las
solicitudes de soporte que haya enviado a Microsoft.
Requisitos previos
Solo determinadas funciones de Microsoft Entra están autorizadas a administrar
solicitudes de acceso a Soporte técnico de Microsoft. Para administrar las solicitudes de
acceso a el Soporte técnico de Microsoft, una función debe tener el permiso
microsoft.azure.supportTickets/allEntities/allTasks . Para ver qué roles de Microsoft
Entra tienen este permiso, busque los roles integrados de Microsoft Entra para obtener
el permiso necesario.
Ver las solicitudes de acceso de soporte técnico

3. Desplácese hasta la parte inferior de la página y seleccione Acceso aprobado en la

sección Solicitudes de acceso al Soporte técnico de Microsoft.

4. Seleccione el enlace Id. de solicitud de soporte técnico para la solicitud que

necesita aprobar.
Revocar el acceso a una solicitud de acceso de

soporte técnico aprobada
El cierre de una solicitud de soporte técnico revoca automáticamente el acceso del
ingeniero de soporte técnico a sus datos de diagnóstico de identidad. Puede revocar
manualmente el acceso de Soporte técnico de Microsoft a los datos de diagnóstico de
identidad para la solicitud de soporte antes de que se cierre su solicitud de soporte
técnico.
Seleccione el botón Eliminar acceso para revocar el acceso a una solicitud de acceso de
soporte técnico aprobada.
Cuando se cierra la solicitud de soporte técnico, el estado de una solicitud de acceso

aprobada del Soporte técnico de Microsoft se establece automáticamente en
Completada. Las solicitudes de acceso del Soporte técnico de Microsoft permanecen en
la lista de Accesos aprobados durante 30 días.
Pasos siguientes
Aprobar las solicitudes de acceso al Soporte técnico de Microsoft
Ver los registros de solicitudes de acceso del Soporte técnico de Microsoft
Azure
Ver los registros de actividad para las
solicitudes de acceso del soporte
técnico de Microsoft (versión
preliminar)
Artículo • 25/10/2023
Todas las actividades relacionadas con las solicitudes de acceso al soporte técnico de
Microsoft se incluyen en los registros de auditoría de Microsoft Entra. Las actividades
pueden incluir solicitudes de los usuarios del inquilino o de un servicio automatizado. En
este artículo se describe cómo ver los distintos tipos de registros de actividad.
Requisitos previos
Para acceder al registro de auditoría de un inquilino, es necesario tener uno de los
siguientes roles:
Lector de informes
Lector de seguridad
Cómo acceder a los registros

Es posible acceder a una vista filtrada de los registros de auditoría del inquilino desde el
área de solicitudes de acceso de soporte técnico de Microsoft. Seleccione Registros de
auditoría en el menú lateral para ver los registros de auditoría con la categoría
seleccionada previamente.

3. Desplácese hasta la parte inferior de la página y seleccione Administrar solicitudes

pendientes en la sección Solicitudes de acceso de soporte técnico de Microsoft.
4. Seleccione Registros de auditoría en el menú lateral.

También puede acceder a estos registros desde los registros de auditoría de Microsoft
Entra. Seleccione Directorio principal como servicio y
MicrosoftSupportAccessManagement como categoría.
Tipos de solicitudes
Hay algunos detalles asociados con los registros de auditoría de solicitudes de acceso
de soporte técnico que resultan útiles para comprender. Conocer la diferencia entre los
tipos de solicitud podría ayudar al explorar los registros.
Los registros de actividad de solicitudes de acceso de soporte técnico de Microsoft se

dividen en dos categorías: actividades iniciadas por el usuario y actividades
automatizadas.
Actividades iniciadas por el usuario

Hay tres actividades iniciadas por el usuario que podrá ver en los registros de auditoría.
Estas son acciones solicitadas por los administradores del inquilino.
Aprobación de una solicitud de acceso de soporte técnico de Microsoft

Rechazo de una solicitud de acceso de soporte técnico de Microsoft
Eliminación manual del acceso del soporte técnico de Microsoft antes de que se
cierre la solicitud de soporte técnico
Solicitudes automatizadas
Hay tres actividades que se pueden asociar a solicitudes de acceso del soporte técnico
de Microsoft automatizadas o iniciadas por el sistema:
Creación de una solicitud de acceso de soporte técnico de Microsoft en el inquilino

de solicitudes de soporte técnico
Creación de una aprobación de acceso de soporte técnico de Microsoft en el
inquilino de recursos. Esto se realiza automáticamente después de que un usuario
que sea administrador del inquilino de solicitudes y del inquilino de recursos de
soporte técnico apruebe una solicitud de acceso de soporte técnico de Microsoft
Eliminación del acceso del soporte técnico de Microsoft al cierre de la solicitud de
soporte técnico
Pasos siguientes
Administrar solicitudes de acceso del soporte técnico de Microsoft
Más información sobre los registros de auditoría
¿Qué novedades hay en
Microsoft Entra ID?
Artículo • 14/12/2023
Reciba notificaciones para volver a visitar esta página y obtener actualizaciones;

para ello, copie y pegue la dirección URL
https://learn.microsoft.com/api/search/rss?search=%22Release+notes+-
+Azure+Active+Directory%22&locale=en-us en el lector de fuentes.
Microsoft Entra ID (anteriormente conocido como Azure AD) recibe mejoras

constantemente. Para mantenerse al día de los avances más recientes, este artículo
proporciona información acerca de los elementos siguientes:
Versiones más recientes

Problemas conocidos
Corrección de errores
Funciones obsoletas
Planes de cambios
７ Nota
Si actualmente usa Azure AD o ya ha implementado previamente Azure AD en sus

organizaciones, puede seguir usando el servicio sin interrupción. Todas las
implementaciones, configuraciones e integraciones existentes seguirán
funcionando como lo hacen hoy sin necesidad de ninguna acción por parte del
usuario.
Esta página se actualiza mensualmente, así que visítala periódicamente. Si busca

elementos que tengan más de seis meses, puede encontrarlos en el Archivo de
novedades de Azure Active Directory.
noviembre de 2023
Retirada de la escritura diferida de grupos V2 (versión

preliminar pública) en Entra Connect Sync
Tipo: Plan de cambio
Categoría del servicio: aprovisionamiento
Funcionalidad del producto: Entra Cloud Sync
La versión preliminar pública de Escritura diferida de grupos V2 (GWB) en Entra Connect

Sync ya no estará disponible después del 30 de junio de 2024. Después de esta fecha,
Connect Sync ya no admitirá el aprovisionamiento de grupos de seguridad en la nube
en Active Directory.
Ofrecemos una funcionalidad similar en Entra Cloud Sync denominada

“Aprovisionamiento de grupos en Active Directory” que puedes usar en lugar de GWB V2
para aprovisionar grupos de seguridad en la nube en AD. Se está desarrollando una
funcionalidad mejorada en Cloud Sync, junto con otras nuevas características.
Los clientes que usan esta característica en vista previa en Connect Sync deben cambiar
su configuración de Connect Sync a Cloud Sync. Los clientes pueden optar por mover
toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades) o
pueden ejecutar Cloud Sync en paralelo y mover solo el aprovisionamiento de grupos
de seguridad en la nube a AD a Cloud Sync.
Los clientes que aprovisionan Grupos de Microsoft 365 en AD pueden seguir usando
GWB V1 para esta funcionalidad.
Los clientes pueden evaluar el traslado exclusivo a Cloud Sync mediante este asistente:
https://aka.ms/EvaluateSyncOptions
Disponibilidad general: Microsoft Entra Cloud Sync ahora

admite la capacidad de habilitar la configuración híbrida
de Exchange para los clientes de Exchange
Tipo: Nueva característica
Funcionalidad del producto: Sincronización en la nube de AAD Connect
La capacidad híbrida de Exchange permite la coexistencia de buzones de Exchange en

un entorno local y en Microsoft 365. Microsoft Entra Cloud Sync sincroniza un conjunto
específico de atributos relacionados con Exchange de Microsoft Entra ID en el directorio
local y en los bosques desconectados (no se necesita ninguna confianza de red entre
ellos). Con esta funcionalidad, los clientes existentes que tienen esta característica
habilitada en la sincronización de Microsoft Entra Connect ahora pueden migrar y
aplicar esta característica con la sincronización en la nube de Microsoft Entra. Para más
información, consulte: Escritura diferida híbrida de Exchange con sincronización en la
nube.
Disponibilidad general: Gobernanza de invitados:

Información de invitado inactiva
Categoría del servicio: Notificación
Funcionalidad del producto: Identity Governance
Supervise las cuentas de invitados a escala con información inteligente sobre los
usuarios invitados inactivos de su organización. Personalice el umbral de inactividad en
función de las necesidades de la organización, limite el ámbito de los usuarios invitados
que desea supervisar e identifique a los usuarios invitados que podrían estar inactivos.
Para obtener más información, consulte: Supervisión y limpieza de cuentas de invitado
obsoletas mediante revisiones de acceso.
Versión preliminar pública: propiedad

lastSuccessfulSignIn en signInActivity API
Categoría del servicio: MS Graph
Funcionalidad del producto: Experiencias de usuario final
Se ha agregado una propiedad adicional a la API signInActivity para mostrar la última

hora de inicio de sesión correcto de un usuario específico, independientemente de si el
inicio de sesión fue interactivo o no interactivo. Los datos no se repondrán para esta
propiedad, por lo que debe esperar que se devuelvan solo los datos de inicio de sesión
correctos a partir del 8 de diciembre de 2023.
Disponibilidad general: lanzamiento automático de

directivas de acceso condicional
Categoría del servicio: Acceso condicional
Funcionalidad del producto: Control de acceso
A partir de noviembre de 2023, Microsoft comenzará a proteger automáticamente a los

clientes con directivas de acceso condicional administrado por Microsoft. Estas son
directivas que Microsoft crea y habilita en los inquilinos del cliente. Las siguientes
directivas se implementan en todos los inquilinos aptos, que se notificarán antes de la
creación de directivas:
1. Autenticación multifactor para portales de administración: esta directiva cubre los

roles de administrador con privilegios y exige la autenticación multifactor cuando
un administrador inicia sesión en un portal de administración de Microsoft.
2. Autenticación multifactor para usuarios con autenticación multifactor por usuario:
esta directiva cubre a los usuarios con autenticación multifactor por usuario y
exige la autenticación multifactor para todas las aplicaciones en la nube.
3. Autenticación multifactor para inicios de sesión de alto riesgo: esta directiva cubre
a todos los usuarios y exige la autenticación multifactor y la reautenticación para
los inicios de sesión de alto riesgo.
Para más información, vea:
Las directivas de acceso condicional automático en Microsoft Entra agilizan la

protección de la identidad
Directivas administradas por Microsoft
Disponibilidad general: atributos de seguridad

personalizados en Microsoft Entra ID
Categoría del servicio: administración de directorios
Funcionalidad del producto: Directorio
Los atributos de seguridad personalizados de Microsoft Entra ID son atributos

específicos de la empresa (pares clave-valor) que puede definir y asignar a objetos de
Microsoft Entra. Estos atributos se pueden usar para almacenar información, clasificar
objetos o aplicar un control de acceso detallado para recursos específicos de Azure. Los
atributos de seguridad personalizados se pueden usar con el control de acceso basado
en atributos de Azure (Azure ABAC). Para más información, consulte: ¿Qué son los
atributos de seguridad personalizados en Microsoft Entra ID?.
Se han realizado cambios en los registros de auditoría de atributos de seguridad

personalizados para la disponibilidad general que podrían afectar a las operaciones
diarias. Si ha estado usando registros de auditoría de atributos de seguridad
personalizados durante la versión preliminar, estas son las medidas que debe tomar
antes de febrero de 2024 para asegurarse de que no se interrumpan sus operaciones de
registro de auditoría. Para más información, consulte: Registros de auditoría de atributos
de seguridad personalizados.
Versión preliminar pública: nuevos conectores de
aprovisionamiento en la Galería de aplicaciones de
Azure AD: noviembre de 2023
Categoría del servicio: Aprovisionamiento de aplicaciones
Funcionalidad del producto: Integración de terceros
Hemos incorporado a nuestra galería de aplicaciones las siguientes aplicaciones con

compatibilidad de aprovisionamiento. Ahora, puede automatizar la creación,
actualización y eliminación de cuentas de usuario para estas aplicaciones recién
integradas:
Colloquial
Diffchecker
M-Files
XM Fax y XM SendSecure
Rootly
Entrada o salida simple
Team Today
YardiOne
Para obtener más información acerca de cómo proteger mejor una organización
mediante el aprovisionamiento automatizado de cuentas de usuario, consulte
Automatización del aprovisionamiento de usuarios para aplicaciones SaaS con
Azure AD.
Disponibilidad general: nuevas aplicaciones federadas

disponibles en la galería de aplicaciones de Azure AD,
noviembre de 2023
Categoría del servicio: Aplicaciones empresariales
En noviembre de 2023 se incorporaron a la galería de aplicaciones las siguientes

10 aplicaciones compatibles con la federación:
Citrix Cloud , Freight Audit, Movement by project44, Alohi, AMCS Fleet Maintenance ,
Real Links Campaign App , Propely , Contentstack, Jasper AI, IANS Client Portal,
Avionic Interface Technologies LSMA , CultureHQ, Hone, Collector Systems, NetSfere,
Spendwise , Stage and Screen
La documentación de todas las aplicaciones está disponible aquí:
https://aka.ms/AppsTutorial
Para incluir su aplicación en la galería de aplicaciones de Azure AD, lea los detalles aquí:
https://aka.ms/AzureADAppRequest .
Disponibilidad general: Microsoft Authenticator en

Android es compatible con FIPS 140-3
Categoría de servicio: Aplicación Microsoft Authenticator
Funcionalidad del producto: Autenticación de usuarios
A partir de la versión 6.2310.7174, Microsoft Authenticator para Android es compatible

con el Estándar federal de procesamiento de información (FIPS 140-3) para todas las
autenticaciones de Microsoft Entra, incluyendo claves de acceso enlazadas a dispositivos
resistentes a suplantación de identidad, autenticaciones multifactor (MFA) de inserción,
Inicio de sesión teléfono sin contraseña (PSI) y códigos de acceso de un solo uso (TOTP)
basados en tiempo. Para las organizaciones que usan el Portal de empresa de Intune, es
necesario tener la versión mínima de CP 5.0.6043.0 además de Microsoft Authenticator
versión 6.2310.7174. Microsoft Authenticator en iOS ya es compatible con FIPS 140,
como se anunció el año pasado. Para más información, consulte: Métodos de
autenticación en Microsoft Entra ID: aplicación Microsoft Authenticator.
Octubre de 2023
Versión preliminar pública: administración y cambio de

contraseñas en mi información de seguridad
Categoría del servicio: Mi perfil/cuenta
Mis inicios de sesión (Mis inicios de sesión (microsoft.com) ) ahora admite a los
usuarios finales que administran y cambian sus contraseñas. Los administradores
pueden usar directivas de registro de acceso condicional con puntos fuertes de
autenticación destinados a My Security Info para controlar la experiencia del usuario
final para cambiar las contraseñas. En función de la directiva de acceso condicional, los
usuarios pueden cambiar su contraseña escribiendo su contraseña existente, o si se
autentican con MFA y satisfacen la directiva de acceso condicional, pueden cambiar la
contraseña sin escribir la contraseña existente.
Para obtener más información, consulte Habilitar el registro de información de

seguridad combinada en Información general de Microsoft Entra .
Versión preliminar pública: control de aplicaciones locales

de AD (basadas en Kerberos) mediante Microsoft Entra
Governance
Funcionalidad del producto: Sincronización en la nube de AAD Connect
El aprovisionamiento de grupos de seguridad en AD (también conocido como escritura

diferida de grupos) ahora está disponible públicamente a través de Microsoft Entra
Cloud Sync. Con esta nueva funcionalidad, puede controlar fácilmente AD en función de
las aplicaciones locales (aplicaciones basadas en Kerberos) mediante Microsoft Entra
Governance.
Para más información, consulte: Controlar aplicaciones locales basadas en Active

Directory (Kerberos) mediante Microsoft Entra ID Governance
Versión preliminar pública: administración de permisos

de Microsoft Entra: PDF del Informe de análisis de
permisos para varios sistemas de autorización
Tipo: Característica modificada
Categoría del servicio:
Capacidad del producto: administración de permisos
El Informe de análisis de permisos (PAR) enumera los resultados relacionados con los
riesgos de permisos entre identidades y recursos en administración de permisos. El PAR
es una parte integral del proceso de evaluación de riesgos en el que los clientes
detectan áreas de mayor riesgo en su infraestructura en la nube. Este informe se puede
ver directamente en la interfaz de usuario de administración de permisos, descargarse
en formato de Excel (XSLX) y exportarse como PDF. Esta información está disponible
para Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
El PDF PAR se ha rediseñado para mejorar la usabilidad, alinearse con el esfuerzo de

rediseño de la experiencia del usuario del producto y atender varias peticiones de
funciones de los clientes. Puede descargar el PDF PAR para un máximo de 10 sistemas
de autorización.
Disponibilidad general: experiencia mejorada de

administración de listas de dispositivos
Categoría del servicio: Administración de acceso de dispositivos
Se han introducido varios cambios en la lista Todos los dispositivos desde que se
anunció la versión preliminar pública, entre los que se incluyen:
Coherencia y accesibilidad prioritarias en los distintos componentes

Moderniza la lista y aborda los comentarios principales de los clientes
Se ha agregado desplazamiento infinito, reordenación de columnas y la
capacidad de seleccionar todos los dispositivos
Se han agregado filtros para dispositivos de versión del sistema operativo y
Autopilot
Se han creado más conexiones entre Microsoft Entra e Intune
Se han agregado vínculos a Intune en columnas compatibles y MDM
Se ha agregado la columna Administración de configuración de seguridad
Para obtener más información, consulte: Ver y filtrar los dispositivos.
Disponibilidad general: Windows MAM

Windows MAM es el primer paso hacia las funcionalidades de administración de

Microsoft para dispositivos Windows no administrados. Esta funcionalidad llega en un
momento crítico en el que necesitamos garantizar que la plataforma Windows esté a la
altura de la simplicidad y la promesa de privacidad que ofrecemos hoy a los usuarios
finales en las plataformas móviles. Los usuarios finales pueden acceder a los recursos de
la empresa sin necesidad de que todo el dispositivo se administre con MDM.
Para obtener más información, consulte: Requerir una directiva de protección de

aplicaciones en dispositivos Windows.
Disponibilidad general: actualización de correo
electrónico de Seguridad de Microsoft y recursos para el
cambio de nombre de Azure AD a Microsoft Entra ID
Categoría del servicio: Otros
Microsoft Entra ID es el nuevo nombre de Azure Active Directory (Azure AD). El cambio
de nombre y el nuevo icono de producto ahora se implementan en experiencias de
Microsoft. La mayoría de las actualizaciones se completarán a mediados de noviembre
de este año. Como se anunció anteriormente, este es solo un nuevo nombre, sin afectar
a las implementaciones ni al trabajo diario. No hay ningún cambio en las
funcionalidades, licencias, términos de servicio o soporte técnico.
Desde el 15 de octubre hasta el 15 de noviembre, los correos electrónicos de Azure AD

enviados anteriormente desde azure-noreply@microsoft.com empezarán a enviarse
desde MSSecurity-noreply@microsoft.com. Es posible que tenga que actualizar las
reglas de Outlook para que coincidan con esto.
Además, actualizaremos el contenido del correo electrónico para quitar todas las
referencias de Azure AD cuando proceda e incluiremos un banner informativo que
anuncie este cambio.
Estos son algunos recursos para guiarle a cambiar el nombre de sus propias
experiencias de producto o contenido cuando sea necesario:

Nuevo nombre para Azure Active Directory
Disponibilidad general: los usuarios finales ya no podrán

agregar aplicaciones de inicio de sesión único con
contraseña en Mis aplicaciones.
Tipo: Obsoleto
Categoría del servicio: Mis aplicaciones
A partir del 15 de noviembre de 2023, los usuarios finales ya no podrán agregar

aplicaciones de SSO de contraseña a su galería en Aplicaciones. Sin embargo, los
administradores todavía pueden agregar aplicaciones de inicio de sesión único con
contraseña siguiendo estas instrucciones. Las aplicaciones de SSO de contraseña
agregadas anteriormente por los usuarios finales siguen estando disponibles en
Aplicaciones.
Para obtener más información, consulte: Detectar aplicaciones.
Disponibilidad general: restringir la creación de inquilinos

de Id. de Entra de Microsoft solo a una suscripción de
pago
Categoría de servicio: Identidades administradas para recursos de Azure
La capacidad de crear nuevos inquilinos desde el Centro de administración de Microsoft

Entra permite a los usuarios de su organización crear inquilinos de prueba y
demostración a partir de su inquilino de Id. de Microsoft Entra, Más información sobre
la creación de inquilinos. Si se utiliza incorrectamente, esta función puede permitir la
creación de inquilinos que no sean administrados ni visibles por su organización. Se
recomienda restringir esta funcionalidad para que solo los administradores de confianza
puedan usar esta característica, Obtenga más información sobre cómo restringir los
permisos predeterminados de los usuarios miembros. También se recomienda usar el
registro de auditoría de Microsoft Entra para supervisar la administración de directorios:
Crear evento de empresa que indique que un usuario de su organización ha creado un
nuevo inquilino.
Para proteger aún más su organización, Microsoft ahora limita esta funcionalidad solo a
los clientes de pago. Los clientes en suscripciones de prueba no podrán crear inquilinos
adicionales desde el Centro de administración de Microsoft Entra. Los clientes de esta
situación que necesitan un nuevo inquilino de prueba pueden registrarse para obtener
una cuenta gratuita de Azure .
Disponibilidad general: los usuarios no pueden modificar

la ubicación GPS al usar el control de acceso basado en la
ubicación
En un panorama de seguridad en constante evolución, Microsoft Authenticator está
actualizando su línea de base de seguridad para las directivas de acceso condicional de
Control de acceso basado en ubicación (LBAC) para no permitir autenticaciones en las
que el usuario pueda usar una ubicación diferente a la ubicación GPS real del dispositivo
móvil. En la actualidad, es posible que los usuarios modifiquen la ubicación notificada
por el dispositivo en dispositivos iOS y Android. La aplicación Authenticator comenzará
a denegar las autenticaciones LBAC donde detectamos que el usuario no usa la
ubicación real del dispositivo móvil donde está instalado Authenticator.
En la versión de noviembre de 2023 de Authenticator, los usuarios que modifiquen la

ubicación de su dispositivo verán un mensaje de denegación en Authenticator al realizar
una autenticación LBAC. Para garantizar que los usuarios no estén usando versiones
anteriores de la aplicación para seguir autenticándose con una ubicación modificada, a
partir de enero de 2024, se bloqueará el uso de LBAC a todos los usuarios que utilicen la
versión 6.2309.6329 o anterior de Android Authenticator y la versión 6.7.16 o anterior de
iOS Authenticator. Para determinar qué usuarios usan versiones anteriores de la
aplicación Authenticator, puede usar nuestras API de MSGraph.
Versión preliminar pública: página información general

en el portal Mi acceso
Categoría de serivicio: administración de derechos
Hoy, cuando los usuarios navegan a myaccess.microsoft.com, llegan a una lista de

paquetes de acceso disponibles en su organización. La nueva página Información
general proporciona un lugar más relevante para que los usuarios puedan aterrizar. La
página Información general apunta a las tareas que necesitan completar y ayuda a
familiarizar a los usuarios con cómo completar tareas en Mi acceso.
Los administradores pueden habilitar o deshabilitar la versión preliminar de la página

Información general al iniciar sesión en el portal entra y navegar a Administración de
derechos >Configuración>Participar de las Características de vista previa y localizando
la página de información general Mi acceso en la tabla.
Para obtener más información, vea: página Información general de Mi acceso (versión
preliminar).

aprovisionamiento en la Galería de aplicaciones de Azure
AD: octubre de 2023

integradas:
Amazon Business
Sistemas de transporte de Bustle B2B
Canva
Cybozu
Forcepoint Cloud Security Gateway: autenticación de usuario
Hypervault
Oneflow
Azure AD.
Versión preliminar pública: registros de actividad de

Microsoft Graph
categoría servicio: Microsoft Graph
Funcionalidad del producto: supervisión & informes
MicrosoftGraphActivityLogs proporciona a los administradores visibilidad completa de

todas las solicitudes HTTP que acceden a los recursos del inquilino a través de Microsoft
Graph API. Estos registros se pueden usar para buscar actividad de cuentas en peligro,
identificar el comportamiento anómalo o investigar la actividad de la aplicación. Para
obtener más información, consulte Acceso a los registros de actividad de
Microsoft Graph (versión preliminar).
Versión preliminar pública: configuración rápida del Id.

comprobado de Microsoft Entra
La configuración rápida del Id. comprobado de Microsoft Entra, disponible en versión

preliminar, quita varios pasos de configuración que un administrador debe completar
con un solo clic en un botón Introducción. La configuración rápida se encarga de firmar
claves, registrar el identificador descentralizado y comprobar la propiedad del dominio.
También crea una credencial de área de trabajo comprobada automáticamente. Para
obtener más información, consulte: configuración rápida del Id.comprobado de
Microsoft Entra.
Septiembre de 2023
Versión preliminar pública: cambios en los métodos de

autenticación FIDO2 y Windows Hello para empresas
Categoría del servicio: Autenticaciones (inicios de sesión)
A partir de enero de 2024, Microsoft Entra ID admitirá claves de paso enlazadas al

dispositivo almacenadas en equipos y dispositivos móviles como método de
autenticación en versión preliminar pública, además de la compatibilidad existente con
las claves de seguridad FIDO2. Esto permite a los usuarios realizar la autenticación
resistente a la suplantación de identidad mediante los dispositivos que ya tienen.
Ampliaremos la directiva de métodos de autenticación FIDO2 existente y experiencias

de usuario final para admitir esta versión preliminar. Para que su organización opte por
esta versión preliminar, deberá aplicar restricciones clave para permitir los proveedores
de claves especificados en la directiva FIDO2. Aprenda sobre las restricciones de clave
FIDO2 aquí.
Además, se cambiará el nombre de la opción de inicio de sesión del usuario final

existente para las claves de seguridad de Windows Hello y FIDO2 a "Cara, huella digital,
PIN o clave de seguridad". El término "clave de paso" se mencionará en la experiencia de
inicio de sesión actualizada para incluir las credenciales de clave de acceso presentadas
a partir de las claves de seguridad, equipos y dispositivos móviles.
Disponibilidad general: ya está disponible la recuperación
de aplicaciones y entidades de servicio eliminadas
Funcionalidad del producto: Administración del ciclo de vida de la identidad
Con esta versión, ahora puede recuperar aplicaciones junto con sus entidades de
servicio originales, lo que elimina la necesidad de grandes reconfiguraciones y cambios
de código (más información). Mejora significativamente la recuperación de aplicaciones
y responde a una antigua necesidad de los clientes. Este cambio es beneficioso para
usted en:
Recuperación más rápida: ahora puede recuperar sus sistemas en una fracción del
tiempo que solía tardar, lo que reduce el tiempo de inactividad y minimiza las
interrupciones.
Ahorro de costos: con una recuperación más rápida, puede ahorrar en los costos
operativos asociados con interrupciones prolongadas y trabajos de recuperación
que consumen mucha mano de obra.
Datos conservados: los datos que antes se perdían, como las configuraciones
SMAL, ahora se conservan, lo que garantiza una transición más fluida de vuelta a
las operaciones normales.
Experiencia de usuario mejorada: los tiempos de recuperación más rápidos se
traducen en una mejor experiencia de usuario y una mayor satisfacción del cliente,
ya que las aplicaciones vuelven a estar en funcionamiento rápidamente.
Versión preliminar pública: Nuevos conectores de

aprovisionamiento en la galería de aplicaciones de
Azure AD, septiembre de 2023

integradas:
Datadog
Litmos
Postman
Recnice
Azure AD.
Disponibilidad general: inicio de sesión web para

Windows
Estamos encantados de anunciar que, como parte de la actualización de septiembre de

Windows 11, vamos a lanzar una nueva experiencia de inicio de sesión web que
ampliará el número de escenarios compatibles y mejorará enormemente la seguridad, la
confiabilidad, el rendimiento y la experiencia general de principio a fin para nuestros
usuarios.
El inicio de sesión web (WSI) es un proveedor de credenciales de la pantalla de bloqueo

o inicio de sesión de Windows para dispositivos unidos a AADJ. Lo que hace es
proporcionar una experiencia web que se usa para la autenticación y devuelve un token
de autenticación al sistema operativo para permitir que el usuario desbloquee o inicie
sesión en la máquina.
Inicialmente, el inicio de sesión web estaba pensado para usarse en una amplia variedad
de escenarios de credenciales de autenticación; sin embargo, solo se publicó
anteriormente para escenarios limitados, como: inicio de sesión web EDU simplificado y
flujos de recuperación a través de contraseña de acceso temporal (TAP).
El proveedor subyacente para inicio de sesión web se ha vuelto a escribir desde el

principio teniendo en cuenta la mejora en la seguridad y el rendimiento. Su lanzamiento
traslada la infraestructura de inicio de sesión web desde la experiencia de alojamiento
en la nube (CHX) de la aplicación web a un nuevo host web de inicio de sesión (LWH)
recién desarrollado para el mes de septiembre. Esta versión proporciona una mejor
seguridad y confiabilidad para admitir experiencias anteriores EDU y TAP y nuevos flujos
de trabajo que permiten usar varios métodos de autenticación para desbloquear o
iniciar sesión en el escritorio.
Disponibilidad general: Compatibilidad con portales de
administración de Microsoft en el acceso condicional
Funcionalidad del producto: protección & seguridad de la identidad
Cuando una directiva de acceso condicional tiene como objetivo la aplicación en la

nube Microsoft Admin Portals, la directiva se aplica a los tokens emitidos para los id. de
aplicación de los siguientes portales administrativos de Microsoft:
Azure portal
Centro de administración de Exchange
Centro de administración de Microsoft 365
Portal de Microsoft 365 Defender
centro de administración de Microsoft Intune
Portal de cumplimiento de Microsoft Purview
Para más información, consulte Portales de administración de Microsoft.
Agosto de 2023
Disponibilidad general: Restricciones de inquilino v2

Las restricciones de inquilino V2 (TRv2) ahora están disponibles con carácter general
para el plano de autenticación a través del proxy.
TRv2 permite a las organizaciones habilitar una colaboración entre empresas segura y
productiva al tiempo que contienen los riesgos de filtración de datos. Con TRv2, puede
controlar a qué inquilinos externos pueden acceder los usuarios desde sus dispositivos o
red mediante identidades emitidas externamente y proporcionar un control de acceso
por organización, usuario, grupo y aplicación.
TRv2 usa la directiva de acceso entre inquilinos y ofrece la autenticación y la protección

del plano de datos. Aplica directivas durante la autenticación de usuario y en el acceso
al plano de datos con Exchange Online, SharePoint Online, Teams y MSGraph. Aunque
la compatibilidad del plano de datos con el GPO de Windows y el Acceso seguro global
todavía están en versión preliminar pública, la compatibilidad del plano de autenticación
con proxy ahora está disponible con carácter general.
Visite https://aka.ms/tenant-restrictions-enforcement para obtener más información

sobre la restricción de inquilinos V2 y el etiquetado del lado cliente del Acceso seguro
global para TRv2 en Restricciones de inquilino universal.
Versión preliminar pública: La configuración de acceso

entre inquilinos admite roles RBAC personalizados y
acciones protegidas
Categoría del servicio: B2B
Funcionalidad del producto: B2B/B2C
La configuración de acceso entre inquilinos se puede administrar con roles

personalizados definidos por su organización. Esto le permite definir sus propios roles
de ámbito preciso para administrar la configuración de acceso entre inquilinos en lugar
de usar uno de los roles integrados para la administración. Obtenga más información
sobre cómo crear sus propios roles personalizados.
Ahora también puede proteger las acciones con privilegios dentro de la configuración
de acceso entre inquilinos mediante el acceso condicional. Por ejemplo, puede requerir
MFA antes de permitir cambios en la configuración predeterminada para la colaboración
B2B. Obtenga más información acerca de las Acciones protegidas.
Disponibilidad general: Configuración adicional en la

directiva de asignación automática de la administración
de derechos
Funcionalidad del producto: Administración de derechos
En la directiva de asignación automática de administración de derechos de Entra ID, hay

tres configuraciones nuevas. Esto permite a un cliente elegir no tener las asignaciones
de creación de directivas, no quitar asignaciones y retrasar la eliminación de la
asignación.
Versión preliminar pública: Configuración de pérdida de
acceso de invitado
Un administrador puede configurar que, cuando un invitado traído a través de la

administración de derechos haya perdido su última asignación de paquete de acceso, se
elimina después de un número especificado de días. Para más información, consulte:
Gobernanza del acceso de usuarios externos en la administración de derechos.
Versión preliminar pública: Aplicación de la ubicación

estricta en tiempo real
Categoría de servicio: Evaluación continua de acceso
Aplique estrictamente las directivas de acceso condicional en tiempo real mediante la

Evaluación continua de acceso. Habilite servicios como Microsoft Graph, Exchange
Online y SharePoint Online para bloquear las solicitudes de acceso de ubicaciones no
permitidas como parte de una defensa superpuesta contra la reproducción de tokens y
otros accesos no autorizados. Para obtener más información, consulte el blog: Versión
preliminar pública: Aplicar estrictamente directivas de ubicación con Evaluación continua
del acceso y la documentación: Aplicar estrictamente directivas de ubicación
mediante la evaluación continua de acceso (versión preliminar).

Azure AD: agosto de 2023

integradas:
Airbase
Airtable
Cleanmail Swiss
Informacast
Kintone
Plataforma de aprendizaje de O'Reilly
Tailscale
Tanium SSO
Vbrick Rev Cloud
Xledger
Azure AD.
Disponibilidad general: Evaluación continua de acceso

para las identidades de carga de trabajo disponibles en
nubes públicas y gubernamentales
Categoría de servicio: Evaluación continua de acceso
La aplicación en tiempo real de eventos de riesgo, eventos de revocación y directivas de

ubicación de acceso condicional ahora está disponible con carácter general para las
identidades de carga de trabajo. Las entidades de servicio de las aplicaciones de línea
de negocio (LOB) ahora están protegidas en las solicitudes de acceso a Microsoft Graph.
Para obtener más información, consulte: Evaluación continua de acceso para identidades
de carga de trabajo (versión preliminar).
Jul. de 2023
Disponibilidad general: Azure Active Directory (Azure AD)

cambia de nombre.
Categoría del servicio: N/D
No es necesario que haga nada, pero puede que tenga que actualizar parte de su
documentación.
Azure AD pasa a llamarse Microsoft Entra ID. El cambio de nombre se implementa en

todos los productos y experiencias de Microsoft durante la segunda mitad de 2023.
Las funcionalidades, las licencias y el uso del producto no cambian. Para que la
transición sea perfecta, los precios, los términos, los contratos de nivel de servicio, las
direcciones URL, las API, los cmdlets de PowerShell, la Biblioteca de autenticación de
Microsoft (MSAL) y las herramientas de desarrollador siguen siendo las mismas.
Obtenga más información y obtenga detalles de cambio de nombre: Nuevo nombre

para Azure Active Directory.
Disponibilidad general: incluir o excluir Aplicaciones en

las directivas de acceso condicional
Tipo: Corregido
Aplicaciones ahora se puede destinar a directivas de acceso condicional. Esto resuelve

un bloqueador de clientes superior. La funcionalidad está disponible en todas las nubes.
GA también aporta un nuevo iniciador de aplicaciones, que mejora el rendimiento del
inicio de la aplicación tanto para SAML como para otros tipos de aplicaciones.
Obtenga más información sobre la configuración de directivas de acceso condicional

aquí: Documentación de acceso condicional de Azure AD.
Disponibilidad general: acceso condicional para acciones

protegidas
Las acciones protegidas son operaciones de alto riesgo, como modificar directivas de
acceso o cambiar la configuración de confianza, lo que puede afectar significativamente
a la seguridad de una organización. Para agregar un nivel adicional de protección, el
acceso condicional para acciones protegidas permite a las organizaciones definir
condiciones específicas para que los usuarios realicen estas tareas confidenciales. Para
más información, consulte ¿ Qué son las acciones protegidas en Azure AD?.
Disponibilidad general: Revisiones de acceso para
usuarios inactivos
Categoría del servicio: Revisiones de acceso
Esta nueva característica, que forma parte de la SKU de Gobernanza de id. de Microsoft
Entra, permite a los administradores revisar y direccionar cuentas obsoletas que no han
estado activas durante un período especificado. Los administradores pueden establecer
una duración específica para determinar las cuentas inactivas que no se usaron para
actividades de inicio de sesión interactivas o no interactivas. Como parte del proceso de
revisión, las cuentas obsoletas se pueden quitar automáticamente. Para obtener más
información, consulte: Gobernanza de id. de Microsoft Entra presenta dos nuevas
características en las revisiones de acceso .
Disponibilidad general: asignaciones automáticas para

acceder a paquetes en la gobernanza de id. de Microsoft
Entra
Gobernanza de id. de Microsoft Entra incluye la capacidad de un cliente de configurar

una directiva de asignación en un paquete de acceso de administración de derechos
que incluye una regla basada en atributos, similar a los grupos dinámicos, de los
usuarios a los que se les debe asignar acceso. Para obtener más información, consulte:
Configuración de una directiva de asignación automática para un paquete de acceso en
la administración de derechos.
Disponibilidad general: extensiones personalizadas en la

administración de derechos
Las extensiones personalizadas en la administración de derechos ya están disponibles

de forma general y le permiten ampliar el ciclo de vida del acceso con los procesos
específicos de su organización y la lógica empresarial cuando el acceso se solicita o está
a punto de expirar. Con las extensiones personalizadas, puede crear vales para el
aprovisionamiento manual de acceso en sistemas desconectados, enviar notificaciones
personalizadas a otras partes interesadas o automatizar la configuración adicional
relacionada con el acceso en las aplicaciones empresariales, como asignar la región de
ventas correcta en Salesforce. También puede aprovechar las extensiones personalizadas
para insertar comprobaciones externas de gobernanza, riesgo y cumplimiento (GRC) en
la solicitud de acceso.
Para más información, consulte:
Las nuevas funciones de la gobernanza de id. de Microsoft Entra para la

administración de derechos están disponibles de forma generalizada
Desencadenamiento de Logic Apps con extensiones personalizadas en la
administración de derechos
Disponibilidad general: plantillas de acceso condicional

Funcionalidad del producto: protección y seguridad de la identidad
Las plantillas de acceso condicional son un conjunto predefinido de condiciones y

controles que proporcionan un método práctico para implementar nuevas directivas
alineadas con las recomendaciones de Microsoft. Los clientes están seguros de que sus
directivas reflejan los procedimientos recomendados modernos para proteger los
recursos corporativos, promover un acceso seguro y óptimo para sus recursos híbridos.
Para obtener más información, consulte Plantillas de acceso condicional.
Disponibilidad general: flujos de trabajo de ciclo de vida

Categoría de servicio: Flujos de trabajo del ciclo de vida
El ciclo de vida de la identidad del usuario es una parte crítica de la postura de

seguridad de una organización, y cuando se administra correctamente, puede tener un
impacto positivo en la productividad de sus usuarios para Joiners, Movers, and Leavers.
La transformación digital en curso acelera la necesidad de una buena administración del
ciclo de vida de las identidades. Sin embargo, los equipos de TI y seguridad enfrentan
enormes desafíos al administrar los procesos manuales complejos, lentos y propensos a
errores necesarios para ejecutar las tareas de incorporación y retirada necesarias para
cientos de empleados a la vez. Este es un problema siempre presente y complejo que
los administradores de TI siguen teniendo frente a la transformación digital en
seguridad, gobernanza y cumplimiento.
Los flujos de trabajo del ciclo de vida, una de las funcionalidades más recientes de
Gobernanza de id. de Microsoft Entra ahora están disponibles con carácter general para
ayudar a las organizaciones a optimizar aún más su ciclo de vida de identidad de
usuario. Para obtener más información, consulte: Flujos de trabajo de ciclo de vida ya
están disponibles con carácter general.
Disponibilidad general: habilita funciones de

personalización ampliadas para las páginas de inicio de
sesión y registro en las funciones de marca de empresa.
Categoría de servicio: Experiencia y administración de usuarios
Actualice el Id. de Microsoft Entra y la experiencia de inicio de sesión de Microsoft 365

con las nuevas funcionalidades de personalización de marca de empresa. Puede aplicar
la guía de marca de su empresa a las experiencias de autenticación mediante plantillas
predefinidas. Para obtener más información, consulte: Personalización de marca de
empresa
Disponibilidad general: hablitar las funcionalidades de

personalización para los hipervínculos de autoservicio de
restablecimiento de contraseña (SSPR), los hipervínculos
de pie de página y los iconos del explorador en la
personalización de marca de empresa.
Categoría de servicio: Experiencia y administración de usuarios
Actualización de la funcionalidad de personalización de marca de empresa en la

experiencia de inicio de sesión de Azure AD/Microsoft 365 para facilitar la
personalización de hipervínculos del autoservicio de restablecimiento de contraseña
(SSPR), los hipervínculos de pie de página y el icono del explorador. Para obtener más
información, consulte: Personalización de marca de empresa
Disponibilidad general: recomendación de afiliación de
usuario a grupo para revisiones de acceso de grupo
Esta característica proporciona recomendaciones basadas en Machine Learning a los

revisores de las revisiones de acceso de Azure AD para que la experiencia de revisión
sea más sencilla y precisa. La recomendación aprovecha el mecanismo de puntuación
basado en aprendizaje automático y compara la afiliación relativa de los usuarios con
otros usuarios del grupo, en función de la estructura de informes de la organización.
Para más información, consulte: Revisión de recomendaciones para revisiones de acceso
e Introducción de recomendaciones basadas en Machine Learning en las revisiones de
acceso de Azure AD
Versión preliminar pública: información de invitado

inactiva
Supervise las cuentas de invitados a escala con información inteligente sobre los
usuarios invitados inactivos de su organización. Personalice el umbral de inactividad en
función de las necesidades de la organización, limite el ámbito de los usuarios invitados
que desea supervisar e identifique a los usuarios invitados que podrían estar inactivos.
Para obtener más información, consulte: Supervisión y limpieza de cuentas de invitado
obsoletas mediante revisiones de acceso.
Versión preliminar pública: acceso a aplicaciones Just-In-

Time con PIM para grupos
Categoría del servicio: Privileged Identity Management
Funcionalidad del producto: Privileged Identity Management
Puede minimizar el número de administradores persistentes en aplicaciones como

AWS/GCP y obtener acceso JIT a grupos de AWS y GCP. Aunque PIM para grupos está
disponible públicamente, hemos publicado una versión preliminar pública que integra
PIM con el aprovisionamiento y reduce el retraso de activación de más de 40 minutos a
1 a 2 minutos.
Versión preliminar pública: API beta de Graph para alertas

de seguridad de PIM en roles de Azure AD
Anuncio de la compatibilidad con API (beta) para administrar alertas de seguridad de

PIM para roles de Azure AD. Azure Privileged Identity Management (PIM) genera alertas
cuando se producen actividades sospechosas o no seguras en su organización en Azure
Active Directory (Azure AD), que es parte de Microsoft Entra. Ahora puede administrar
estas alertas mediante las API de REST. Estas alertas también pueden administrarse a
través del Azure Portal. Para obtener más información, consulte: tipo de recurso
unifiedRoleManagementAlert.
Disponibilidad general: restablecimiento de contraseña

en la aplicación móvil de Azure
La aplicación móvil de Azure se ha mejorado para permitir que los administradores con
permisos específicos restablezcan convenientemente las contraseñas de sus usuarios. El
autoservicio de restablecimiento de contraseña no se admitirá en este momento. Sin
embargo, los usuarios pueden controlar y simplificar de forma más eficaz sus propios
métodos de inicio de sesión y autenticación. La aplicación móvil se puede descargar
para cada plataforma aquí:
Android: https://aka.ms/AzureAndroidWhatsNew
IOS: https://aka.ms/ReferAzureIOSWhatsNew
Versión preliminar pública: aprovisionamiento de

usuarios entrantes controlado por API
Funcionalidad del producto: entrante a Azure AD
Con el aprovisionamiento de entrada controlado por API, Microsoft Entra servicio de

aprovisionamiento de identificadores ahora admite la integración con cualquier sistema
de registro. Los clientes y asociados pueden usar cualquier herramienta de
automatización de su elección para recuperar los datos de los empleados de cualquier
sistema de registro para el aprovisionamiento en Entra ID y los dominios de Active
Directory local conectados. El administrador de TI tiene control total sobre cómo se
procesan y transforman los datos con asignaciones de atributos. Una vez que los datos
de los empleados están disponibles en Entra ID, el administrador de TI puede configurar
los procesos empresariales joiner-mover-leaver adecuados mediante flujos de trabajo
del ciclo de vida de gobernanza de id. de Entra. Para más información, consulte:
Conceptos de aprovisionamiento entrante controlados por API (versión preliminar
pública).
Versión preliminar pública: grupos dinámicos basados en

el atributo de usuario EmployeeHireDate
Categoría del servicio: Administración de grupos
Esta característica permite a los administradores crear reglas de grupo dinámicas

basadas en el atributo employeeHireDate de los objetos de usuario. Para obtener más
información, consulte: Propiedades de tipo cadena.
Versión preliminar pública: experiencias mejoradas para

Crear usuario e Invitar usuario
Categoría del servicio: User Management
Funcionalidad del producto: User Management
Hemos aumentado el número de administradores de propiedades que pueden definir al

crear e invitar a un usuario en el portal de administración de Entra, lo que permite que
nuestra experiencia de usuario se pare con nuestras API de creación de usuarios.
Además, los administradores ahora pueden agregar usuarios a un grupo o unidad
administrativa y asignar roles. Para más información, consulte: Incorporación o
eliminación de usuarios mediante Azure Active Directory.
Disponibilidad general: todos los usuarios y el perfil de
usuario
La lista Todos los usuarios ahora incluye un desplazamiento infinito y los

administradores ahora pueden modificar más propiedades en el perfil de usuario. Para
obtener más información, consulte: Cómo crear, invitar y eliminar usuarios.
Versión preliminar pública: MAM de Windows

"¿Cuándo tendrá MAM para Windows?" es una de nuestras preguntas más frecuentes
sobre los clientes. Estamos encantados de informar de que la respuesta es: "¡Ahora!"
Estamos encantados de ofrecer esta nueva y esperada funcionalidad de MAM de acceso
condicional en la versión preliminar pública de Microsoft Edge para empresas en
Windows.
Con la MAM de acceso condicional, Microsoft Edge para empresas proporciona a los
usuarios acceso seguro a los datos de la organización en dispositivos Windows
personales con una experiencia de usuario personalizable. Hemos combinado las
características de seguridad conocidas de las directivas de protección de aplicaciones
(APP), la defensa contra amenazas de cliente de Windows Defender y el acceso
condicional, todo anclado a la identidad de Azure AD para garantizar que los
dispositivos no administrados estén en buen estado y protegidos antes de conceder
acceso a los datos. Esto puede ayudar a las empresas a mejorar su posición de
seguridad y proteger los datos confidenciales frente al acceso no autorizado, sin
necesidad de inscripción completa de dispositivos móviles.
La nueva funcionalidad amplía las ventajas de la administración de capas de

aplicaciones a la plataforma Windows a través de Microsoft Edge para empresas. Los
administradores están capacitados para configurar la experiencia del usuario y proteger
los datos de la organización en Microsoft Edge para empresas en dispositivos Windows
no administrados.
Para obtener más información, consulte: Requerir una directiva de protección de

aplicaciones en dispositivos Windows (versión preliminar).
disponibles en la galería de aplicaciones de Azure AD
( julio de 2023)
En julio de 2023, hemos agregado las siguientes 10 nuevas aplicaciones en nuestra

galería de aplicaciones con compatibilidad para la federación:
Gainsight SAML, Dataddo , Puzzel , Worthix App, iOps360 IdConnect , Airbase,

Couchbase Capella - SSO, SSO for Jama Connect®, mediment (メディメント) ,
Netskope Cloud Exchange Administration Console, Uber, Plenda , Deem Mobile,
40SEAS , Vivantio , AppTweak , Vbrick Rev Cloud, OptiTurn, Application Experience
with Mist , クラウド勤怠管理システムKING OF TIME, Connect1, DB Education Portal
for Schools, SURFconext, Chengliye Smart SMS Platform, CivicEye SSO, Colloquial,
BigPanda, Foreman

Para mostrar su aplicación en la galería de aplicaciones de Azure AD, lea los detalles
aquí https://aka.ms/AzureADAppRequest .

Azure AD ( julio de 2023)

integradas:
Albert
Sistemas Rhombus
Axiad Cloud
Dagster Cloud
WATS
Arrendamiento de embudo
Azure AD.
Disponibilidad general: biblioteca de autenticación de

Microsoft para .NET 4.55.0
A principios de este mes anunciamos la versión de MSAL.NET 4.55.0 , la versión más

reciente de la Biblioteca de autenticación de Microsoft para la plataforma .NET. La nueva
versión incorpora compatibilidad con la identidad administrada asignada por el usuario
asignada por el usuario que se especifica a través de id. de objeto, autoridades CIAM en
la API WithTenantId , mejores mensajes de error cuando se trata de serialización de
caché y registro mejorado cuando se utiliza el agente de autenticación de Windows.
Disponibilidad general: biblioteca de autenticación de

Microsoft para Python 1.23.0
A principios de este mes, el equipo de la biblioteca de autenticación de Microsoft

anunció la versión 1.23.0 de MSAL para Python . La nueva versión de la biblioteca
agrega compatibilidad para un mejor almacenamiento en caché al usar credenciales de
cliente, lo que elimina la necesidad de solicitar nuevos tokens repetidamente cuando
existen tokens almacenados en caché.
Para más información sobre MSAL para Python, consulte: Biblioteca de autenticación de
Microsoft (MSAL) para Python.
¿Qué está en desuso en
Microsoft Entra ID?
Artículo • 14/12/2023
El ciclo de vida de la funcionalidad, las características y los servicios se rigen por

directivas, escalas de tiempo de soporte técnico y datos, así como también por las
decisiones del equipo de liderazgo e ingeniería. La información del ciclo de vida permite
a los clientes planear de forma predecible los aspectos a largo plazo de la
implementación, hacer la transición de tecnologías obsoletas a nuevas tecnologías y
ayudar a mejorar los resultados empresariales.
７ Nota
Si actualmente usas Azure AD o ya has implementado previamente Azure AD en

tus organizaciones, puedes seguir usando el servicio sin interrupción. Todas las
implementaciones, configuraciones e integraciones existentes seguirán
funcionando con Microsoft Entra ID como lo hacen hoy sin necesidad de ninguna
acción por parte del usuario.
Reciba notificaciones para volver a visitar esta página y obtener actualizaciones; para
ello, copie y pegue la dirección URL https://learn.microsoft.com/api/search/rss?
search=%22What's+deprecated+in+Azure+Active+Directory%22&locale=en-us en el lector
de fuentes.
Próximos cambios
Use la tabla siguiente para obtener información sobre los cambios, incluidos la
degradaciones, las retiradas, los cambios importantes y los cambios de marca.
Encontrará también las fechas y recomendaciones clave.
７ Nota
Las fechas y horas están en hora estándar del Pacífico en Estados Unidos y están
sujetas a cambios.
ﾉ Expandir tabla
Funcionalidad, característica o servicio Change Fecha de cambio
Métodos de autenticación preferidos por Cambio de Algún tiempo después de la

el sistema características disponibilidad general
Graph API de Azure AD Inicio de la retirada Julio de 2023

por fases
Experiencias de condiciones de uso Cambio de Julio de 2023

características
Desuso de Azure AD PowerShell y Desuso 30 de marzo de 2024

MSOnline PowerShell
Servidor de Azure Multi-Factor Retirada 30 de septiembre de 2024

Authentication
Directiva de SSPR & de MFA heredada Retirada 30 de septiembre de 2025
Concesión de acceso condicional Retirada 31 de marzo de 2026

"Requerir aplicación cliente aprobada"
） Importante
Está previsto que Azure AD PowerShell quede en desuso el 30 de marzo de 2024.

Para más información sobre los planes de desuso, vea la actualización de
desuso . Le recomendamos que siga migrando a Microsoft Graph PowerShell,
que es el módulo recomendado para interactuar con Microsoft Entra ID. Además,
Microsoft Graph PowerShell le permite acceder a todas las API de Microsoft Graph
y está disponible en PowerShell 7. Para obtener más información, consulte
Actualizar de Azure AD PowerShell a Microsoft Graph PowerShell.
Últimos cambios
ﾉ Expandir tabla
Funcionalidad, característica o servicio Change Fecha de

cambio
Biblioteca de autenticación de Azure AD (ADAL) Retirada 30 de junio de

2023
Mejoras de Aplicaciones Cambio de 30 de junio de

características 2023
Funcionalidad, característica o servicio Change Fecha de
cambio
Microsoft Authenticator Básico para Outlook para Cambio de 9 de junio de

dispositivos móviles características 2023
Mi experiencia de grupos Cambio de Mayo de 2023

características
Extensión de explorador de Aplicaciones Cambio de Mayo de 2023

características
Coincidencia de número de la aplicación Microsoft Cambio de 8 de mayo de

Authenticator características 2023
Implementaciones de red virtual de Microsoft Entra Retirada 1° de marzo de

Domain Services 2023
API de administración de licencias, PowerShell Retirada *31 de marzo de

2023
* La API de administración de licencias heredada y los cmdlets de PowerShell no

funcionarán para los nuevos inquilinos creados después del 1 de noviembre de 2022.
） Importante
Es posible que las versiones posteriores de funcionalidad, características y servicios

no cumplan los requisitos de seguridad actuales. Es posible que Microsoft no
pueda proporcionar actualizaciones de seguridad para productos más antiguos.
Consulte las dos secciones siguientes para ver las definiciones de categorías, cambiar el
estado, etc.
Desuso, retirada, cambio importante, cambio

de característica y cambio de marca
Use las definiciones de esta sección para aclarar el estado, la disponibilidad y la
compatibilidad de las características, los servicios y las funcionalidades.
ﾉ Expandir tabla
Category Definición Programación de
comunicación
Retirada Indica la retirada de una característica, funcionalidad o Dos veces al año:

producto en un período especificado. Los clientes no marzo y septiembre
pueden adoptar el servicio o la característica y se
reducen las inversiones en ingeniería. Más adelante, la
característica alcanza el final del ciclo de vida y no está
disponible para ningún cliente.
Cambio Un cambio que podría interrumpir la experiencia del Cuatro veces al año:
importante cliente o del socio si no se realiza ninguna acción, o un marzo, junio,
cambio realizado para una operación continuada. septiembre y
diciembre
Cambio de Cambie a una característica de identidad existente que Cuatro veces al año:
características no requiera ninguna acción del cliente, pero que sea marzo, junio,
notoria. Normalmente, estos cambios se encuentran en septiembre y
la interfaz de usuario o la experiencia del usuario diciembre
(UI/UX).
Terminología
Fin del ciclo de vida: las inversiones en ingeniería han finalizado y la característica
no está disponible para ningún cliente
Pasos siguientes
¿Qué novedades hay en Microsoft Entra ID?
Recursos
Blog del anuncio de cambio de Microsoft Entra
Dispositivos: Administración y reciclaje del final del ciclo de vida
Novedades de las nubes soberanas de
Azure
Artículo • 25/10/2023
En Azure AD se realizan mejoras de forma continua. Para mantenerse al día de los

avances más recientes, este artículo proporciona información acerca de los elementos
siguientes:
Azure Government
Esta página se actualiza mensualmente, así que visítala periódicamente. Si busca

elementos que tengan más de seis meses, puede encontrarlos en el Archivo de
novedades de nube soberana.
Junio de 2023
Disponibilidad general: aplicar RegEx Replace a contenido

de notificación de grupos
Funcionalidad del producto: SSO
En la actualidad, cuando se agregan notificaciones de grupo a tokens, Azure Active

Directory intenta incluir todos los grupos de los que es miembro el usuario. En
organizaciones más grandes en las que los usuarios son miembros de cientos de
grupos, esto a menudo puede superar los límites de lo que puede ir en el token. Esta
característica permite a más clientes conectar sus aplicaciones a Azure Active Directory
haciendo que las conexiones sean más fáciles y sólidas mediante la automatización del
proceso de creación de la aplicación. Esto permite específicamente limitar el conjunto
de grupos incluidos en el token a solo aquellos que están asignados a la aplicación. Para
obtener más información, vea: Transformación de notificaciones basadas en regex.
Disponibilidad general: Integración del inicio de sesión

único de Azure Active Directory con Cisco Unified
Communications Manager
Funcionalidad del producto: plataforma
Cisco Unified Communications Manager (Unified CM) proporciona control de llamadas y

administración de llamadas confiable, seguro, escalable y manejable. Al integrar Cisco
Unified Communications Manager con Azure Active Directory, puede realizar las
siguientes acciones:
Controlar en Azure Active Directory quién tiene acceso a Cisco Unified

Communications Manager.
Permitir que los usuarios inicien sesión automáticamente en Cisco Unified
Communications Manager con sus cuentas de Azure AD.
Administrar las cuentas desde una ubicación central (Azure Portal).
Para obtener más información, consulte: Integración del inicio de sesión único de Azure
Active Directory con Cisco Unified Communications Manager.
Disponibilidad general: coincidencia de números para las

notificaciones de Microsoft Authenticator
La característica de coincidencia de números de la aplicación Microsoft Authenticator

está disponible con carácter general desde noviembre de 2022. Si aún no usó los
controles de lanzamiento (a través del portal Azure Admin UX y las API de MSGraph)
para implementar sin problemas la coincidencia de números de usuarios de las
notificaciones push de Microsoft Authenticator, le recomendamos que lo haga.
Anteriormente anunciamos que quitaremos los controles de administrador y
aplicaremos la experiencia de coincidencia de números en todo el suscriptor para todos
los usuarios de notificaciones de inserción de Microsoft Authenticator a partir del 27 de
febrero de 2023. Después de escuchar a los clientes, ampliaremos la disponibilidad de
los controles de lanzamiento durante unas cuantas semanas más. Las organizaciones
pueden seguir usando los controles de lanzamiento existentes hasta el 8 de mayo de
2023 para implementar la coincidencia de números en sus organizaciones. Los servicios
de Microsoft comenzarán a aplicar la experiencia de coincidencia de números para
todos los usuarios de las notificaciones push de Microsoft Authenticator después del 8
de mayo de 2023. También quitaremos los controles de lanzamiento para la coincidencia
de números después de esa fecha.
Si los clientes no habilitan la coincidencia de números para todas las notificaciones push
de Microsoft Authenticator anteriores al 8 de mayo de 2023, los usuarios de
Authenticator pueden experimentar inicios de sesión incoherentes mientras los servicios
implementan este cambio. Para garantizar un comportamiento coherente para todos los
usuarios, se recomienda encarecidamente habilitar la coincidencia de números para las
notificaciones push de Microsoft Authenticator de antemano.
Para más información, consulte: Uso de la coincidencia de números en notificaciones de

autenticación multifactor (MFA): directiva de métodos de autenticación
Mayo de 2023
Disponibilidad general: los administradores ahora pueden

restringir a los usuarios el acceso de autoservicio a sus
claves de BitLocker
Los administradores ahora pueden restringir a sus usuarios el acceso de autoservicio a

sus claves de BitLocker a través de la página Configuración de dispositivos. Al activar
esta funcionalidad, se ocultan las claves de BitLocker de todos los usuarios que no son
administradores. Esto ayuda a controlar la administración de acceso de BitLocker en el
nivel de administrador. Para obtener más información, consulte: Restringir los permisos
predeterminados de los usuarios miembros.
Disponibilidad general: los administradores pueden

impedir que sus usuarios creen inquilinos
Categoría del servicio: Administración de acceso de usuarios
La capacidad de los usuarios para crear inquilinos a partir de la información general de

la administración de inquilinos está presente en Azure AD desde casi el principio de
Azure Portal. Esta nueva funcionalidad del panel Configuración de usuario permite a los
administradores impedir que sus usuarios puedan crear nuevos inquilinos. También hay
un nuevo rol Creador de inquilinos para permitir que usuarios específicos creen
inquilinos. Para obtener más información, consulte Permisos de usuario
predeterminados.
Disponibilidad general: nueva vista de detección de

aplicaciones de Aplicaciones
Aplicaciones se ha actualizado a una nueva vista de detección de aplicaciones que es

más accesible y con capacidad de respuesta. Con la nueva vista de detección de
aplicaciones, los usuarios pueden:
Personalizar su vista eligiendo entre diferentes diseños

Iniciar aplicaciones más rápido
Arrastrar y colocar aplicaciones para reordenar y mover
Agregar sitios directamente desde la pantalla principal
Para obtener más información, consulte Introducción al portal de Aplicaciones.



Disponibilidad general: método de MFA preferido por el

sistema
Actualmente, las organizaciones y los usuarios dependen de una variedad de métodos

de autenticación, cada uno de los cuales ofrece distintos grados de seguridad. Aunque
la autenticación multifactor (MFA) es fundamental, algunos métodos MFA son más
seguros que otros. A pesar de tener acceso a opciones de MFA más seguras, los
usuarios suelen elegir métodos menos seguros por diversos motivos.
Para abordar este desafío, vamos a introducir un nuevo método de autenticación

preferido por el sistema para MFA. Cuando los usuarios inician sesión, el sistema
determinará y mostrará el método MFA más seguro que el usuario ha registrado. Esto
pide a los usuarios que cambien del método predeterminado a la opción más segura.
Aunque los usuarios todavía pueden elegir otro método MFA, siempre se les pedirá que
usen el método más seguro primero para cada sesión que requiera MFA. Para más
información, consulte Autenticación multifactor preferida por el sistema: directiva de
métodos de autenticación.
Disponibilidad general: compatibilidad con la detección

de credenciales filtradas de Azure Active Directory
Identity Protection B2C y AlternateLoginID
Categoría del servicio: Protección de identidad
La detección "Credenciales filtradas" de Azure Active Directory Identity Protection ahora

está habilitada en Azure Active Directory B2C. Además, la detección ahora es totalmente
compatible con la coincidencia de credenciales filtradas basada en AlternateLoginID, lo
que proporciona a los clientes una protección más sólida y completa.
abril de 2023
Disponibilidad general: Azure Active Directory Domain

Services: confianzas para bosques de usuarios
Categoría de servicio: Azure Active Directory Domain Services
Funcionalidad del producto: Azure Active Directory Domain Services
Ahora, puede crear confianzas tanto en bosques de usuarios como en bosques de

recursos. Los usuarios locales de Active Directory DS no se pueden autenticar en los
recursos del bosque de recursos de Azure Active Directory DS hasta que cree una
confianza de salida en la instancia de Active Directory DS local. Una confianza de salida
requiere conectividad de red con la red virtual local en la que ha instalado Azure AD
Domain Services. En un bosque de usuarios, se pueden crear confianzas para bosques
de Active Directory locales que no están sincronizados con Azure Active Directory DS.
Para más información, consulte Funcionamiento de las relaciones de confianza en

bosques de Active Directory.
Disponibilidad general: herramienta de validador de SCIM

de Azure AD
Funcionalidad del producto: Experiencia para el desarrollador
El validador de SCIM de Azure Active Directory le permitirá probar el servidor para

comprobar la compatibilidad con el cliente SCIM de Azure Active Directory. Para más
información, consulte: Tutorial: validar un punto de conexión SCIM.
Disponibilidad general: habilitación del registro de
información de seguridad combinada para MFA y el
autoservicio de restablecimiento de contraseña (SSPR)
Categoría del servicio: MFA
El año pasado, anunciamos que la experiencia de usuario de registro combinada para

MFA y el autoservicio de restablecimiento de contraseña (SSPR) se estaba
implementando como la experiencia predeterminada para todas las organizaciones.
Estamos encantados de anunciar que la experiencia combinada de registro de
información de seguridad ahora está totalmente implementada. Este cambio no afecta a
los inquilinos ubicados en la región de China. Para obtener más información, consulte
Introducción al registro de información de seguridad combinado para Azure Active
Directory.
Disponibilidad general: configuración de dispositivos en

relación con la funcionalidad de autoayuda para los
dispositivos pendientes
Categoría del servicio: Administración y registro de dispositivos
En la configuración Todos los dispositivos en la columna registrada, ahora puede

seleccionar cualquier dispositivo pendiente que tenga y se abrirá un panel de contexto
para ayudar a solucionar el problema que puede provocar que un dispositivo esté en
estado pendiente. También puede enviar comentarios para indicar si la información
resumida es útil o no. Para más información, consulte Dispositivos pendientes en Azure
Active Directory.
Disponibilidad general: Configuración del iniciador de

aplicaciones consolidadas (Aplicaciones) y nueva
configuración de versión preliminar
Hemos consolidado los ajustes relevantes del lanzador de aplicaciones en una nueva
sección de lanzadores de aplicaciones en los centros de administración de Azure y
Microsoft Entra. El punto de entrada se puede encontrar en Aplicaciones empresariales,
donde solía encontrarse Colecciones. Para encontrar la opción Colecciones, selecciona
Iniciadores de aplicaciones. Además, hemos agregado una nueva opción Configuración
a Iniciadores de aplicaciones. Esta opción tiene algunas configuraciones con las que
puede que ya estés familiarizado, como la configuración de Microsoft 365. Las nuevas
opciones de Configuración también tienen controles para las versiones preliminares.
Como administrador, puede probar las nuevas características del iniciador de
aplicaciones mientras están en versión preliminar. Habilitar una característica en vista
previa significa que la característica se activa para tu organización. Esta característica
habilitada se refleja en el portal de Mis aplicaciones y en otros iniciadores de
aplicaciones para todos los usuarios. Para obtener más información sobre la
configuración de versión preliminar, consulte: Experiencias de usuario final para
aplicaciones.
Disponibilidad general: RBAC y administración de

registros de aplicaciones delegada con los roles
personalizados
Categoría del servicio: RBAC
Los roles personalizados le proporcionan un control específico sobre el acceso que

tienen los administradores. Esta versión de roles personalizados incluye la capacidad de
delegar la administración de registros de aplicaciones y aplicaciones empresariales. Para
más información, consulte Introducción al control de acceso basado en rol en Azure
Active Directory.
Marzo de 2023
Disponibilidad general - Libro de información de

aprovisionamiento
Este nuevo libro facilita la investigación y obtención de información sobre los flujos de
trabajo de aprovisionamiento en un inquilino determinado. Esto incluye el
aprovisionamiento basado en recursos humanos, la sincronización en la nube, el
aprovisionamiento de aplicaciones y la sincronización entre inquilinos.
Algunas preguntas clave que este libro puede ayudar a responder son:
¿Cuántas identidades se han sincronizado en un intervalo de tiempo determinado?

¿Cuántas operaciones de creación, eliminación, actualización u otras operaciones
se realizaron?
¿Cuántas operaciones se han realizado correctamente, omitidas o con errores?
¿Qué identidades específicas no se pudieron realizar? ¿Y en qué paso fallaron?
Para cualquier usuario determinado, ¿a qué inquilinos o aplicaciones se
aprovisionaron o desaprovisionaron?
Para obtener más información, consulte: Libro de información de aprovisionamiento.
Disponibilidad general: siga los procedimientos

recomendados de Azure Active Directory con
recomendaciones
Las recomendaciones de Azure Active Directory le ayudarán a mejorar su posición de

inquilino al mostrarle oportunidades para implementar los procedimientos
recomendados. A diario, Azure AD analiza la configuración del inquilino. Durante este
análisis, Azure Active Directory compara los datos de una recomendación con la
configuración concreta del inquilino. Si una recomendación se marca como aplicable a
su inquilino, la recomendación aparece en la sección Recomendaciones del área
Información general de Azure Active Directory.
Esta versión incluye nuestras 3 primeras recomendaciones:
Conversión de MFA por usuario a MFA de acceso condicional

Migración de aplicaciones de AD FS a Azure Active Directory
Minimizar solicitudes de autenticación multifactor desde dispositivos conocidos.
Estamos desarrollando más recomendaciones, así que manténgase atento.

¿Qué son las recomendaciones de Azure Active Directory?
Use la API de recomendaciones de Azure AD para implementar los procedimientos
recomendados de Azure AD para su inquilino
Disponibilidad general: mejoras en el bloqueo inteligente

de Azure Active Directory
Con una mejora reciente, el bloqueo inteligente sincroniza ahora el estado de bloqueo
entre los centros de datos de Azure Active Directory, por lo que el número total de
intentos de inicio de sesión erróneos permitidos antes de que se bloquee una cuenta
coincidirá con el umbral de bloqueo configurado.
Para más información, consulte: Protección de las cuentas de usuario frente a ataques
con el bloqueo inteligente de Azure Active Directory.
Disponibilidad general: eventos de MFA de ADFS y

adaptador NPS disponibles en los registros de inicio de
sesión
Los clientes con actividad de MFA en la nube desde el adaptador de ADFS o la extensión
NPS ahora pueden ver estos eventos en los registros de inicio de sesión, en lugar del
informe de actividad de autenticación multifactor heredado. No todos los atributos de
los registros de inicio de sesión se rellenan para estos eventos debido a datos limitados
de los componentes locales. Los clientes con ADFS que usan AD Connect Health y los
clientes que usan NPS con la extensión NPS más reciente instalada tendrán un conjunto
más completo de datos en los eventos.
Para más información, consulte: Protección de las cuentas de usuario frente a ataques
con el bloqueo inteligente de Azure Active Directory.
Febrero de 2023
Disponibilidad general: filtrar y transformar los nombres
de grupo en la configuración de notificaciones de token
mediante expresiones regulares
Filtre y transforme los nombres de grupo en la configuración de notificaciones de token

mediante expresiones regulares. Muchas configuraciones de aplicación en ADFS y otros
IdP dependen de la capacidad de crear notificaciones de autorización basadas en el
contenido de los nombres de grupo mediante funciones de expresiones regulares en las
reglas de notificación. Azure AD ahora tiene la capacidad de usar una coincidencia de
expresiones regulares y reemplazar la función para crear contenido de notificación
basado en los nombres onpremisesSAMAccount de grupo. Esta funcionalidad permite
que esas aplicaciones se muevan a Azure AD para realizar la autenticación mediante los
mismos patrones de administración de grupos. Para obtener más información, consulte
Configuración de notificaciones de grupo para aplicaciones mediante Azure Active
Directory.
Disponibilidad general: filtrar grupos en tokens mediante

una coincidencia de subcadena
Azure AD ahora tiene la capacidad de filtrar los grupos incluidos en el token mediante la
coincidencia de subcadena en el nombre para mostrar o los atributos
onPremisesSAMAccountName del objeto de grupo. En el token tan solo se incluirán los
grupos a los que pertenece el usuario. Este era un obstáculo para algunos de nuestros
clientes a la hora de migrar sus aplicaciones de ADFS a Azure AD. Esta característica
desbloquea esos desafíos.
Filtro de grupos.
Configuración de notificaciones de grupo para aplicaciones mediante Azure Active
Directory.
Disponibilidad general: nuevas características de
transformación de notificaciones de SSO
Azure AD ahora admite transformaciones de notificaciones en atributos con varios

valores y puede emitir notificaciones con varios valores. Se incluyen más funciones para
permitir operaciones de coincidencia y cadena en el procesamiento de notificaciones
para permitir que las aplicaciones se migren de otros IdP a Azure AD. Esto incluye la
coincidencia en los operadores Empty(), NotEmpty(), Prefix(), Suffix() y la extracción de
subcadena. Para obtener más información, consulte Tipo de directiva de asignación de
notificaciones.
Disponibilidad general: nueva detección de anomalías de

comportamiento de entidades de servicio
Detección de actividad anómala posterior a la autenticación para identidades de carga

de trabajo. Esta detección se centra específicamente en la detección de
comportamientos anómalos después de la autenticación realizados por una identidad
de carga de trabajo (entidad de servicio). El comportamiento posterior a la autenticación
se evalúa para detectar anomalías en función de una acción o secuencia de acciones
que se produzca para la cuenta. En función de la puntuación de las anomalías
identificadas, la detección sin conexión puede puntuar el riesgo de la cuenta como bajo,
medio o alto. La asignación de riesgos de la detección sin conexión estará disponible en
la configuración de información Identidades de carga de trabajo de riesgo. Aparece un
nuevo tipo de detección identificado como Actividad anómala de la entidad de servicio
en las opciones de filtro. Para obtener más información, consulte Protección de
identidades de cargas de trabajo.
Disponibilidad general: configuración de la nube de

Microsoft para Azure AD B2B
La configuración de la nube de Microsoft le permite colaborar con organizaciones de

diferentes nubes de Microsoft Azure. Con la configuración de la nube de Microsoft,
puede establecer una colaboración B2B mutua entre las siguientes nubes:
Microsoft Azure comercial y Microsoft Azure Government

Microsoft Azure comercial y Microsoft Azure operado por China 21Vianet
Para obtener más información sobre la configuración de la nube de Microsoft para la

colaboración B2B, consulte : Configuración de la nube de Microsoft.
Versión preliminar pública: compatibilidad con

extensiones de directorio mediante Azure AD Cloud Sync
Tipo: Nueva característica Categoría de servicio: Aprovisionamiento Característica del
producto: Azure AD Connect Cloud Sync
Los administradores de TI híbridos ahora pueden sincronizar las extensiones de Active

Directory y Azure AD Directory mediante Azure AD Cloud Sync. Esta nueva funcionalidad
agrega la capacidad de detectar dinámicamente el esquema de Active Directory y Azure
AD, lo que permite a los clientes asignar los atributos necesarios mediante la
experiencia de asignación de atributos de la sincronización en la nube.
Para obtener más información sobre cómo habilitar esta característica, consulte
Extensiones de directorio y asignación de atributos personalizados en la sincronización
en la nube
Disponibilidad general: Aprovisionamiento de

aplicaciones locales
Funcionalidad del producto: salida a aplicaciones locales
Azure AD admite el aprovisionamiento de usuarios en aplicaciones hospedadas en un

entorno local o en una máquina virtual, sin tener que abrir ningún firewall. Si la
aplicación admite SCIM o ha creado una puerta de enlace SCIM para conectarse a la
aplicación heredada, puede usar el agente de aprovisionamiento de Azure AD para
conectarse directamente con la aplicación y automatizar el aprovisionamiento y el
desaprovisionamiento. Si tiene aplicaciones heredadas que no admiten SCIM y se basan
en un almacén de usuarios LDAP o una base de datos SQL, Azure AD también puede
admitir esas aplicaciones.
Enero de 2023
Disponibilidad general: Azure AD Domain Services:

información más detallada
Categoría del servicio: Azure AD Domain Services
Funcionalidad del producto: Azure AD Domain Services
Ahora dentro de Azure Portal tiene acceso para ver los datos clave de los controladores
de dominio de Azure AD-DS, como: búsquedas LDAP/s, total de consultas recibidas por
segundo, respuestas totales de DNS enviadas por segundo, Enlaces LDAP correctos/s,
uso de memoria, tiempo de procesador, autenticaciones Kerberos y autenticaciones
NTLM. Para obtener más información, consulte: Comprobación de las métricas de flota
de Azure Active Directory Domain Services.
Disponibilidad general: agregue varios dominios a la

misma configuración del proveedor de identidades
basado en SAML/Ws-Fed para los usuarios externos
Un administrador de TI ahora puede agregar varios dominios a una única configuración

del proveedor de identidades SAML/WS-Fed para invitar a usuarios de varios dominios
a autenticarse desde el mismo punto de conexión del proveedor de identidades. Para
más información, consulte: Federación con proveedores de identidades SAML o WS-Fed
para usuarios invitados.
Disponibilidad general: nuevo riesgo en la protección de

identidad: actividad anómala del usuario
Esta detección de riesgos tiene como base el comportamiento normal del usuario
administrativo en Azure AD y detecta patrones anómalos de comportamiento, como los
cambios sospechosos en el directorio. La detección se desencadena en el administrador
que realiza el cambio o en el objeto que se cambió. Para obtener más información,
consulte: Detecciones vinculadas al usuario.
Disponibilidad general: Compatibilidad con unidades

administrativas para dispositivos
Funcionalidad del producto: Delegación de acceso/AuthZ
Ahora puede usar unidades administrativas para delegar la administración de

dispositivos especificados en el inquilino agregando dispositivos a una unidad
administrativa y asignando roles de administración de dispositivos integrados y
personalizados con ámbito a esa unidad administrativa. Para obtener más información,
consulte: Administración de dispositivos.
Disponibilidad general: API de términos de uso (ToU) de

Azure AD
Representa el contrato personalizable de términos de uso de un inquilino que se crea y

administra con Azure Active Directory (Azure AD). Puede usar los métodos siguientes
para crear y administrar la característica Términos de uso de Azure Active Directory
según su escenario. Para obtener más información, consulte: Tipo de recurso de
contrato.
Pasos siguientes
¿Cuáles son las novedades de Azure Active Directory?
Archivo de ¿Cuáles son las novedades de Azure Active Directory?
Archivo de ¿Cuáles son las novedades
de Azure Active Directory?
Artículo • 16/11/2023
El artículo principal de notas de la versión ¿Cuáles son las novedades de Azure Active
Directory? contiene las actualizaciones de los últimos seis meses, mientras que este
artículo contiene información hasta con 18 meses de antigüedad.
Las notas de la versión ¿Cuáles son las novedades de Azure Active Directory?
proporcionan información sobre:
Versiones más recientes

Problemas conocidos
Corrección de errores
Funciones obsoletas
Planes de cambios
Mayo de 2023
Disponibilidad general: seguridad de autenticación de

acceso condicional para miembros, usuarios externos y
restricciones FIDO2
La intensidad de autenticación es un control de acceso condicional que permite a los

administradores especificar qué combinación de métodos de autenticación se puede
usar para acceder a un recurso. Por ejemplo, pueden hacer que solo haya disponibles
métodos de autenticación resistentes a la suplantación de identidad (phishing) para
acceder a un recurso confidencial. Asimismo, para acceder a un recurso no confidencial,
pueden permitir combinaciones de autenticación multifactor (MFA) menos seguras,
como contraseña + SMS.
La seguridad de autenticación se encuentra ahora en disponibilidad general para los

miembros y usuarios externos de cualquier restricción FIDO2 y nube de Microsoft. Para
obtener más información, consulte: Seguridad de autenticación de acceso condicional.
Disponibilidad general: autenticación del proveedor de
identidades basado en SAML/Ws-Fed para usuarios de
Azure Active Directory B2B en nubes US SEC y US Nat
Los proveedores de identidades basados en SAML/Ws-Fed para la autenticación en

Azure AD B2B están disponibles con carácter general en nubes de US SEC, US Nat y
China. Para más información, consulte: Federación con proveedores de identidades
SAML o WS-Fed para usuarios invitados.
Disponibilidad general: sincronización entre inquilinos

La sincronización entre inquilinos permite configurar una solución escalable y

automatizada para que los usuarios accedan a las aplicaciones entre inquilinos de la
organización. Se basa en la funcionalidad de Azure Active Directory B2B y automatiza la
creación, actualización y eliminación de usuarios B2B en inquilinos de su organización.
Para obtener más información, consulte: ¿Qué es la sincronización entre inquilinos?.
Versión preliminar pública (actualizar): extensiones

personalizadas en la administración de derechos
Categoría de servicio: administración de derechos
El año pasado anunciamos la versión preliminar pública de las extensiones

personalizadas en la administración de derechos , lo que le permite automatizar
procesos complejos cuando se solicita acceso o este está a punto de expirar.
Recientemente hemos ampliado la versión preliminar pública para permitir que la
solicitud de asignación de paquetes de acceso se detenga mientras se ejecuta el
proceso externo. Además, el proceso externo ahora puede proporcionar comentarios a
la administración de derechos para exponer información adicional a los usuarios finales
de MyAccess o incluso detener la solicitud de acceso. Esto expande los escenarios de la
extensión personalizada de notificaciones a partes interesadas adicionales o la
generación de vales a escenarios avanzados, como la gobernanza externa, los riesgos y
las comprobaciones de cumplimiento. En el curso de esta actualización, también hemos
mejorado los registros de auditoría, la seguridad de tokens y la carga enviada a la
aplicación lógica. Para obtener más información sobre la actualización de la versión
preliminar, consulte:
Desencadenamiento de Logic Apps con extensiones personalizadas en la

administración de derechos (versión preliminar)
accessPackageAssignmentRequest: reanudar
accessPackageAssignmentWorkflowExtension tipo de recurso
accessPackageAssignmentRequestWorkflowExtension tipo de recurso
Disponibilidad general: identidad administrada en la

biblioteca de autenticación de Microsoft para .NET
La versión más reciente de MSAL.NET cambió las API de identidad administrada al modo
de compatibilidad con disponibilidad general, lo que significa que los desarrolladores
pueden integrarlas de forma segura en las cargas de trabajo de producción.
Las identidades administradas forman parte de la infraestructura de Azure, lo que

simplifica la forma en que los desarrolladores controlan las credenciales y los secretos
para acceder a los recursos en la nube. Con las identidades administradas, los
desarrolladores no necesitan controlar manualmente la recuperación y la seguridad de
las credenciales. En su lugar, pueden confiar en un conjunto administrado
automáticamente de identidades para conectarse a los recursos que admiten la
autenticación de Azure Active Directory. Puede obtener más información en ¿Qué son
las identidades administradas para recursos de Azure?
Con MSAL.NET 4.54.0, las API de identidad administrada ahora son estables. Hay
algunos cambios que hemos agregado que hacen que sean más fáciles de usar e
integrar que podrían requerir ajustar el código si ha usado nuestra implementación
experimental :
Al usar las API de identidad administrada, los desarrolladores deben especificar el

tipo de identidad al crear ManagedIdentityApplication.
Al adquirir tokens con las API de identidad administrada y usar el cliente HTTP
predeterminado, MSAL reintenta la solicitud para determinados códigos de
excepción.
Se ha agregado una nueva clase MsalManagedIdentityException que representa
las excepciones relacionadas con la identidad administrada. Incluye información
general de excepciones, incluido el origen de Azure desde el que se origina la
excepción.
MSAL ahora actualizará de forma proactiva los tokens adquiridos con una
identidad administrada.
Para empezar a trabajar con una identidad administrada en MSAL.NET, puede usar el
paquete Microsoft.Identity.Client junto con la clase ManagedIdentityApplicationBuilder.
Versión preliminar pública: nueva experiencia de Mis

grupos
Ahora hay disponible una experiencia nueva y mejorada de Mis grupos en

myaccount.microsoft.com/groups . Esta experiencia reemplaza la experiencia de Mis
grupos existente en mygroups.microsoft.com en mayo. Para obtener más información,
consulte: Actualizar la información de los grupos en el portal de Aplicaciones .
Disponibilidad general: los administradores pueden


Azure Portal. Esta nueva funcionalidad del panel Configuración de usuario permite a los
administradores impedir que sus usuarios puedan crear nuevos inquilinos. También hay
un nuevo rol Creador de inquilinos para permitir que usuarios específicos creen
predeterminados.
Disponibilidad general: funcionalidad de autoayuda del

dispositivo para dispositivos pendientes
En la vista Todos los dispositivos en la columna Registrados, ahora puede seleccionar

cualquier dispositivo pendiente que tenga y se abrirá un panel de contexto para ayudar
a solucionar el problema que puede provocar que un dispositivo esté en estado
pendiente. También puede enviar comentarios para indicar si la información resumida es
útil o no. Para obtener más información, consulte Dispositivos pendientes en Azure
Active Directory.
Disponibilidad general: los administradores ahora pueden

restringir a los usuarios el acceso de autoservicio a sus
claves de BitLocker
Los administradores ahora pueden restringir a sus usuarios el acceso de autoservicio a

sus claves de BitLocker a través de la página Configuración de dispositivos. Al activar
esta funcionalidad, se ocultan las claves de BitLocker de todos los usuarios que no son
administradores. Esto ayuda a controlar la administración de acceso de BitLocker en el
nivel de administrador. Para obtener más información, consulte: Restringir los permisos
predeterminados de los usuarios miembros.

Azure AD (marzo de 2023)

integradas:
Inicio de sesión en el aprovisionamiento de host empresarial

Azure AD.
Disponibilidad general: conclusiones de

Azure Active Directory para la Administración de
permisos de Microsoft Entra
Capacidad del producto: administración de permisos
La pestaña Conclusiones de Azure Active Directory en la Administración de permisos de

Microsoft Entra proporciona una vista de todas las asignaciones de roles permanentes
asignadas a los administradores globales y una lista seleccionada de roles con
privilegios elevados. A continuación, los administradores pueden usar el informe para
tomar medidas adicionales en la consola de Azure Active Directory. Para obtener más
información, consulte Visualizar asignaciones de roles con privilegios en su organización
(versión preliminar).
Versión preliminar pública: en la guía del portal para

configurar la autenticación multifactor
La guía del portal para configurar la autenticación multifactor le ayuda a empezar a

trabajar con las funcionalidades de MFA de Azure Active Directory. Puede encontrar esta
guía en la pestaña Tutoriales en la Información general de Azure AD. Para obtener más
información, consulte: Configuración de la autenticación multifactor con la guía del
portal.
Disponibilidad general: Authenticator Lite (en Outlook)

Authenticator Lite (en Outlook) es una solución de autenticación para los usuarios que
aún no han descargado la aplicación Microsoft Authenticator. Se pide a los usuarios de
Outlook que se registren en su dispositivo móvil para la autenticación multifactor.
Después de escribir su contraseña en el inicio de sesión, tendrán la opción de enviar una
notificación push a sus dispositivos Android o iOS.
Debido a la mejora de seguridad, esta característica proporciona a los usuarios, el valor

administrado de Microsoft de esta característica se cambiará de "deshabilitado" a
"habilitado" el 9 de junio. Hemos realizado algunos cambios en la configuración de
características, por lo que si ha realizado una actualización antes de la disponibilidad
general (17 de mayo), compruebe que la característica está en el estado correcto para el
inquilino antes del 9 de junio. Si no desea habilitar esta característica el 9 de junio,
cambie el estado a "deshabilitado" o establezca los usuarios para incluir y excluir grupos.
Para más información, consulte Habilitación de Microsoft Authenticator Lite para

Outlook Mobile (versión preliminar).
Disponibilidad general: compatibilidad con el conector de

servicios web y PowerShell a través del agente de
aprovisionamiento de Azure AD
La característica de aprovisionamiento de aplicaciones locales de Azure AD ahora

admite los conectores de servicios web y PowerShell. Ahora puede aprovisionar usuarios
en un archivo plano mediante el conector de PowerShell o una aplicación como
SAP ECC mediante el conector de servicios web. Para obtener más información,
consulte: Aprovisionamiento de usuarios en aplicaciones mediante PowerShell.
Disponibilidad general: detección de inicio de sesión IP

de actor de amenazas comprobado
Funcionalidad del producto: protección y seguridad de la identidad
Identity Protection ha agregado una nueva detección, mediante la base de datos de

Inteligencia sobre amenazas de Microsoft, para detectar los inicios de sesión realizados
desde las direcciones IP de actores conocidos de estado nacional y ciberdelincuentes, y
permitir que los clientes bloqueen estos inicios de sesión mediante directivas de acceso
condicional basadas en riesgos. Para más información, consulte Riesgo de inicio de
sesión.
Disponibilidad general: control pormenorizado de acceso

condicional para tipos de usuarios externos
Al configurar una directiva de acceso condicional, los clientes ahora tienen un control
pormenorizado sobre los tipos de usuarios externos a los que desean aplicar la directiva.
Los usuarios externos se clasifican en función de cómo se autentican (interna o
externamente) y su relación con su organización (invitado o miembro). Para obtener
más información, consulte: Asignación de directivas de acceso condicional para tipos de
usuarios externos.

(mayo de 2023)
En mayo de 2023, hemos agregado las siguientes 51 nuevas aplicaciones en nuestra

galería de aplicaciones con compatibilidad para la federación
INEXTRACK , Integración de Microsoft 365 de Valotalive Digital Signage , Tailscale ,

MANTL , ServusConnect, Jigx MS Graph Demonstrator , Delivery Solutions, Radiant
IOT Portal, Cosgrid Networks, voya SSO , Redocly, Glaass Pro , TalentLyftOIDC ,
Cisco Expressway, IBM TRIRIGA on Cloud, Avionte Bold SAML Federated SSO,
InspectNTrack , CAREERSHIP, Cisco Unity Connection, HSC-Buddy , teamecho ,
AskFora , Enterprise Bot ,CMD+CTRL Base Camp, Debitia Collections ,
EnergyManager , Visual Workforce , Uplifter , AI2 , TES Cloud ,VEDA Cloud, SOC
SST, Alchemer, Cleanmail Swiss , WOX , WATS , Data Quality Assistant ,
Softdrive , Fluence Portal , Humbol , Document360, Engage by Local
Measure ,Gate Property Management Software , Locus, Banyan Infrastructure ,
Proactis Rego Invoice Capture, SecureTransport, Recnice
La documentación de todas las aplicaciones está disponible en
https://aka.ms/AppsTutorial .
aquí: https://aka.ms/AzureADAppRequest .
Disponibilidad general: mi información de seguridad

ahora muestra el tipo de Microsoft Authenticator
Hemos mejorado Mis inicios de sesión y Mi información de seguridad para ofrecerle

más claridad sobre los tipos de Microsoft Authenticator u otras aplicaciones de
Authenticator que ha registrado un usuario. Los usuarios ahora verán los registros de
Microsoft Authenticator con información adicional que muestra la aplicación como
registrada como MFA basada en inserción o inicio de sesión telefónico sin contraseña
(PSI) y para otras aplicaciones de autenticación (Software OATH) ahora indicamos que
están registradas como un método de contraseña de un solo uso basado en tiempo.
Para obtener más información, consulte: Configuración de la aplicación
Microsoft Authenticator como método de comprobación .
abril de 2023
Versión preliminar pública: atributos personalizados para

Azure Active Directory Domain Services
Categoría de servicio: Azure Active Directory Domain Services
Funcionalidad del producto: Azure Active Directory Domain Services
Azure Active Directory Domain Services ahora admitirá la sincronización de atributos

personalizados de Azure AD para cuentas locales. Para más información, consulte
Atributos personalizados para Azure Active Directory Domain Services.
Disponibilidad general: habilitación del registro de

información de seguridad combinada para MFA y el
autoservicio de restablecimiento de contraseña (SSPR)
El año pasado, anunciamos que la experiencia de usuario de registro combinada para

MFA y el autoservicio de restablecimiento de contraseña (SSPR) se estaba
implementando como la experiencia predeterminada para todas las organizaciones.
Estamos encantados de anunciar que la experiencia combinada de registro de
información de seguridad ahora está totalmente implementada. Este cambio no afecta a
los inquilinos ubicados en la región de China. Para obtener más información, consulte
Introducción al registro de información de seguridad combinado para Azure Active
Directory.
Disponibilidad general: método de MFA preferido por el

sistema
Actualmente, las organizaciones y los usuarios dependen de una variedad de métodos

de autenticación, cada uno de los cuales ofrece distintos grados de seguridad. Aunque
la autenticación multifactor (MFA) es fundamental, algunos métodos MFA son más
seguros que otros. A pesar de tener acceso a opciones de MFA más seguras, los
usuarios suelen elegir métodos menos seguros por diversos motivos.
Para abordar este desafío, vamos a introducir un nuevo método de autenticación

preferido por el sistema para MFA. Cuando los usuarios inician sesión, el sistema
determinará y mostrará el método MFA más seguro que el usuario ha registrado. Esto
pide a los usuarios que cambien del método predeterminado a la opción más segura.
Aunque los usuarios todavía pueden elegir otro método MFA, siempre se les pedirá que
usen el método más seguro primero para cada sesión que requiera MFA. Para más
información, consulte Autenticación multifactor preferida por el sistema: directiva de
métodos de autenticación.
Disponibilidad general - alerta de PIM: alerta sobre

asignaciones de roles activas y permanentes en Azure o
asignaciones realizadas fuera de PIM
Tipo: Corregido
La alerta sobre las asignaciones de roles de la suscripción de Azure realizadas fuera de

Privileged Identity Management (PIM) proporciona una alerta en PIM para las
asignaciones de suscripciones de Azure realizadas fuera de PIM. Un propietario o
administrador de acceso de usuario puede realizar una acción de corrección rápida para
quitar esas asignaciones.
Versión preliminar pública: experiencias mejoradas para

Crear usuario e Invitar usuario
Hemos aumentado el número de propiedades que los administradores pueden definir al

crear e invitar a un usuario en el portal de administración de Entra. Esto aporta nuestra
experiencia de usuario a la paridad con nuestras API de creación de usuarios. Además,
los administradores ahora pueden agregar usuarios a un grupo o unidad administrativa
y asignar roles. Para obtener más información, consulte: Cómo crear, invitar y eliminar
usuarios.
Versión preliminar pública: acciones protegidas de acceso

condicional de Azure AD
La versión preliminar pública de acciones protegidas presenta la capacidad de aplicar el

acceso condicional para seleccionar permisos. Cuando un usuario realiza una acción
protegida, debe satisfacer los requisitos de la directiva de acceso condicional. Para más
información, consulte ¿ Qué son las acciones protegidas en Azur AD? (versión
preliminar).
Versión preliminar pública: protección de token para las

sesiones de inicio de sesión
La protección de token para las sesiones de inicio de sesión simboliza el primer
lanzamiento de nuestro plan de desarrollo para combatir los ataques que implican el
robo y la reproducción de tókenes. Esta característica garantiza el cumplimiento de
acceso condicional en relación con la prueba de posesión del token para los clientes y
servicios compatibles. Asimismo, garantiza que el acceso a recursos especificados se
realice solo desde un dispositivo en el cual el usuario haya iniciado sesión. Para más
información, consulte: Acceso condicional: protección de token (versión preliminar).
Disponibilidad general: nuevos límites en el número y el

tamaño de los secretos de grupo a partir de junio de
2023
A partir de junio de 2023, los secretos almacenados en un único grupo no pueden

superar los 48 secretos individuales o tener un tamaño total superior a 10 KB en todos
los secretos de un único grupo. Los grupos con más de 10 KB de secretos dejarán de
funcionar inmediatamente en junio de 2023. En junio, los grupos que superan los
48 secretos no pueden aumentar el número de secretos que tienen, aunque pueden
actualizar o eliminar esos secretos. Se recomienda reducir a menos de 48 secretos antes
de enero de 2024.
Por lo general, los secretos de grupo se crean cuando se le asignan credenciales a un

grupo para una aplicación mediante el inicio de sesión único basado en contraseñas.
Para reducir el número de secretos asignados a un grupo, se recomienda crear más
grupos y dividir las asignaciones de grupos en las aplicaciones que presentan un inicio
de sesión único basado en contraseñas en esos nuevos grupos. Para más información,
consulte Adición del inicio de sesión único basado en contraseñas a una aplicación.
Versión preliminar pública: Authenticator Lite en Outlook

Authenticator Lite es una interfaz adicional para que los usuarios de

Azure Active Directory completen la autenticación multifactor mediante notificaciones
push en sus dispositivos Android o iOS. Con Authenticator Lite, los usuarios pueden
satisfacer un requisito de autenticación multifactor desde la comodidad de una
aplicación conocida. Authenticator Lite está habilitado actualmente en la aplicación
móvil de Outlook. Los usuarios pueden recibir una notificación a través de la aplicación
móvil de Outlook para aprobar o rechazar, o usar la aplicación Outlook, para generar un
código de verificación OATH que se puede ingresar durante el inicio de sesión. El valor
"Administrada por Microsoft" de esta característica se establecerá en habilitado el 26 de
mayo de 2023. Esto habilita la característica para todos los usuarios de inquilinos en los
que la característica está establecida en "Administrada por Microsoft". Si desea cambiar
el estado de esta característica, hágalo antes del 26 de mayo de 2023. Para más
información, consulte Habilitación de Microsoft Authenticator Lite para Outlook Mobile
Disponibilidad general: se ha actualizado la apariencia de

MFA por usuario
Como parte de las mejoras continuas del servicio, estamos realizando actualizaciones en
la experiencia de configuración de administración de MFA por usuario para alinearse
con la apariencia de Azure. Este cambio no incluye ningún cambio en la funcionalidad
principal y solo incluirá mejoras visuales. Para más información, consulte Habilitación de
la autenticación multifactor por usuario de Azure AD para proteger los eventos de inicio
de sesión.
Disponibilidad general: se desactivarán los registros de

auditoría de términos de uso adicionales
Tipo: Corregido
Categoría del servicio: términos de uso
Debido a un problema técnico, recientemente hemos empezado a emitir más registros

de auditoría para los términos de uso. Los registros de auditoría adicionales se
desactivarán el 1 de mayo y se etiquetarán con el servicio de directorio principal y la
categoría de contrato. Si ha creado una dependencia en los registros de auditoría
adicionales, debe cambiar a los registros de auditoría normales etiquetados con los
términos de uso del servicio.
(abril de 2023)
En abril de 2023, hemos añadido las siguientes 10 nuevas aplicaciones en nuestra

iTel Alert , goFLUENT, StructureFlow , StructureFlow AU , StructureFlow CA ,

StructureFlow EU , StructureFlow USA , Predict360 SSO, Cegid Cloud , HashiCorp
Cloud Platform (HCP), O'Reilly learning platform, LeftClick Web Services – RoomGuide ,
LeftClick Web Services – Sharepoint , LeftClick Web Services – Presence , LeftClick
Web Services - Single Sign-On , InterPrice Technologies , WiggleDesk SSO ,
Application Experience with Mist , Connect Plans 360 , Proactis Rego Source-to-
Contract, Danomics , Fountain, Theom, DDC Web, Dozuki.


Azure AD (abril de 2023)

integradas:
Alvao
Better Stack
BIS
Conector
Howspace
Kno2fy
Netsparker Enterprise
uniFLOW Online
Azure AD.
Versión preliminar pública: nuevo selector de recursos de

Azure PIM
Con esta nueva experiencia, PIM ahora administra automáticamente cualquier tipo de
recurso en un inquilino, por lo que ya no se requiere detección y activación. Con el
nuevo selector de recursos, los usuarios pueden elegir directamente el ámbito que
quieren administrar desde el grupo de administración hasta los propios recursos, lo que
facilita la localización de los recursos que necesitan administrar. Para más información,
consulte Asignación de roles de recursos de Azure en Privileged Identity Management.
Disponibilidad general: el autoservicio de

restablecimiento de contraseña (SSPR) ahora admite
usuarios aptos para PIM y la asignación de roles de grupo
indirecto
Categoría del servicio: autoservicio de restablecimiento de contraseña
El autoservicio de restablecimiento de contraseña (SSPR) ahora puede comprobar

usuarios aptos para PIM y evaluar las pertenencias basadas en grupos, junto con las
pertenencias directas al comprobar si un usuario está en un rol de administrador
determinado. Esta funcionalidad proporciona una aplicación de directiva de SSPR más
precisa, ya que valida si los usuarios están en el ámbito de la directiva de administración
de SSPR predeterminada o la directiva de usuario de SSPR de la organización.

Diferencias entre las directivas de restablecimiento de administrador.
Creación de un grupo al que se pueden asignar roles en Azure Active Directory
Marzo de 2023

Azure AD (marzo de 2023)

integradas:
Acunetix 360
Akamai Enterprise Application Access
Ardoq
Torii
Azure AD.
Disponibilidad general: federación de identidades de

carga de trabajo para identidades administradas
La federación de identidades de cargas de trabajo permite a los desarrolladores usar

identidades administradas para sus cargas de trabajo de software que se ejecutan en
cualquier lugar y acceder a los recursos de Azure sin necesidad de secretos. Estos
escenarios incluyen:
Acceso a recursos de Azure desde pods de Kubernetes que se ejecutan en
cualquier nube o en las instalaciones
Flujos de trabajo de GitHub para implementarlos en Azure, no se necesitan
secretos
Acceso a recursos de Azure desde otras plataformas en la nube que admiten OIDC,
como Google Cloud Platform.
Federación de identidades de carga de trabajo.

Configurar una identidad administrada asignada por el usuario para confiar en un
proveedor de identidades externo (versión preliminar)
Uso de la identidad de carga de trabajo de Azure AD con Azure Kubernetes Service
(AKS)
Versión preliminar pública: nueva experiencia de Mis

grupos
Ahora hay disponible una experiencia nueva y mejorada de Mis grupos en

https://www.myaccount.microsoft.com/groups . Mis grupos permite a los usuarios finales
administrar fácilmente grupos, como buscar grupos para unirse, administrar grupos
propios y administrar las pertenencias a grupos existentes. En función de los
comentarios de los clientes, los nuevos Mis grupos permiten ordenar y filtrar listas de
grupos y miembros de grupos, una lista completa de los miembros de grupos grandes y
una página de información general procesable para las solicitudes de afiliación. Esta
experiencia reemplaza la experiencia Mis grupos existente en
https://www.mygroups.microsoft.com en mayo.
Para obtener más información, consulte: Actualizar la información de los grupos en el

portal de Aplicaciones .
Versión preliminar pública: personalización de tokens con

proveedores de notificaciones personalizados
Funcionalidad del producto: extensibilidad
Un proveedor de notificaciones personalizado le permite llamar a una API y asignar
notificaciones personalizadas al token durante el flujo de autenticación. La llamada API
se realiza después de que el usuario haya completado todos sus desafíos de
autenticación y se va a emitir un token a la aplicación. Para más información, consulte:
Extensiones de autenticación personalizadas (versión preliminar).
Disponibilidad general: métodos de autenticación

convergentes
La directiva de métodos de autenticación convergente le permite administrar todos los

métodos de autenticación que usan para la MFA y SSPR en una directiva, migrar las
directivas de MFA y SSPR heredadas y dirigir los métodos de autenticación a grupos de
usuarios en lugar de habilitarlos para todos los usuarios del inquilino. Para obtener más
información, consulte: Administración de métodos de autenticación.
Disponibilidad general - Libro de información de

aprovisionamiento
Este nuevo libro facilita la investigación y obtención de información sobre los flujos de
trabajo de aprovisionamiento en un inquilino determinado. Esto incluye el
aprovisionamiento basado en recursos humanos, la sincronización en la nube, el
aprovisionamiento de aplicaciones y la sincronización entre inquilinos.
Algunas preguntas clave que este libro puede ayudar a responder son:
¿Cuántas identidades se han sincronizado en un intervalo de tiempo determinado?

¿Cuántas operaciones de creación, eliminación, actualización u otras operaciones
se realizaron?
¿Cuántas operaciones se han realizado correctamente, omitidas o con errores?
¿Qué identidades específicas no se pudieron realizar? ¿Y en qué paso fallaron?
Para cualquier usuario determinado, ¿a qué inquilinos o aplicaciones se
aprovisionaron o desaprovisionaron?
Para obtener más información, consulte: Libro de información de aprovisionamiento.



Versión preliminar pública: IPv6 llega a Azure AD

Anteriormente, anunciamos nuestro plan para incorporar compatibilidad con IPv6 a

Microsoft Azure Active Directory (Azure AD), lo que permite a nuestros clientes llegar a
los servicios de Azure AD a través de puntos de conexión de pila dual, IPv4 o IPv6. Esto
es solo un recordatorio de que empezamos a introducir la compatibilidad con IPv6 en
los servicios Azure AD de forma escalonada a finales de marzo de 2023.
Si usa acceso condicional o protección de identidad, y tiene IPv6 activado en cualquiera

de sus dispositivos, probablemente deba tomar medidas para evitar afectar a sus
usuarios. Para la mayoría de los clientes, IPv4 no desaparecerá completamente de su
entorno digital, por lo que no tenemos previsto exigir IPv6 ni quitar prioridad a IPv4 en
ninguna característica o servicio de Azure AD. En este enlace, compartimos información
adicional sobre la habilitación de IPv6 en Azure AD: Compatibilidad con IPv6 en Azure
Active Directory.
Disponibilidad general: configuración de la nube de

Microsoft para Azure AD B2B
La configuración de la nube de Microsoft le permite colaborar con organizaciones de

diferentes nubes de Microsoft Azure. Con la configuración de la nube de Microsoft,
puede establecer una colaboración B2B mutua entre las siguientes nubes:
Microsoft Azure comercial y Microsoft Azure Government

Microsoft Azure comercial y Microsoft Azure operado por China 21Vianet
Para obtener más información sobre la configuración de la nube de Microsoft para la

colaboración B2B, consulte Configuración de la nube de Microsoft.
Modernización de las experiencias de términos de uso

Categoría del servicio: términos de uso
A partir de julio de 2023, modernizaremos las siguientes experiencias de usuario final de

términos de uso con un visor de PDF actualizado y trasladando las experiencias de
https://account.activedirectory.windowsazure.com a
https://myaccount.microsoft.com :
Vea los términos de uso aceptados anteriormente.

Acepte o rechace los términos de uso como parte del flujo de inicio de sesión.
No se quita ninguna funcionalidad. El nuevo visor de PDF agrega funcionalidad y los
cambios visuales limitados en las experiencias del usuario final se comunicarán en una
actualización futura. Si su organización solo tiene determinados dominios permitidos,
debe asegurarse de que la lista de permitidos incluye los dominios
"myaccount.microsoft.com" y "*.myaccount.microsoft.com" para que los términos de
uso sigan funcionando según lo previsto.
Febrero de 2023
Disponibilidad general: ampliación de la activación de

roles de Privileged Identity Management en el Azure
Portal
La activación de roles de Privleged Identity Management (PIM) se amplió a las

extensiones Billing y AD en Azure Portal. Se agregaron accesos directos a Suscripciones
(facturación) y Control de acceso (AD) para permitir a los usuarios activar roles PIM
directamente desde esta configuración. En la configuración Suscripciones, seleccione
Ver suscripciones aptas en el menú de comandos horizontal para verificar tus
asignaciones aptas, activas y vencidas. Desde allí, puede activar una asignación apta en
el mismo panel. En Control de acceso (IAM) para un recurso, ahora puede seleccionar
Ver mi acceso para ver sus asignaciones de roles actualmente activas y aptas y activarlas
directamente. Al integrar las funcionalidades de PIM en diferentes hojas de Azure Portal,
esta nueva característica le permitirá obtener acceso temporal para ver o editar
suscripciones y recursos más fácilmente.
Para obtener más información sobre la configuración de la nube de Microsoft, consulte:

Activar mis roles de recursos de Azure en Privileged Identity Management.
Disponibilidad general: siga los procedimientos

recomendados de Azure AD con recomendaciones
Las recomendaciones de Azure AD le ayudarán a mejorar su posición de inquilino al
mostrarle oportunidades para implementar los procedimientos recomendados. A diario,
Azure AD analiza la configuración del inquilino. Durante este análisis, Azure AD compara
los datos de una recomendación con la configuración concreta del inquilino. Si una
recomendación se marca como aplicable a su inquilino, la recomendación aparece en la
sección Recomendaciones del área Información general de Azure AD.
Esta versión incluye nuestras 3 primeras recomendaciones:
Conversión de MFA por usuario a MFA de acceso condicional

Migración de aplicaciones de AD FS a Azure AD
Minimizar solicitudes de autenticación multifactor desde dispositivos conocidos
¿Qué son las recomendaciones de Azure Active Directory?

Use la API de recomendaciones de Azure AD para implementar los procedimientos
recomendados de Azure AD para su inquilino
Versión preliminar pública: integración de PIM + acceso

condicional de Azure AD
Ahora puede exigir a los usuarios aptos para un rol que satisfagan los requisitos de la
directiva de acceso condicional para la activación: utilizar un método de autenticación
específico aplicado a través de los puntos fuertes de autenticación, activar desde un
dispositivo compatible con Intune, cumplir las condiciones de uso y utilizar MFA de
terceros y cumplir los requisitos de ubicación.
Para obtener más información, consulte: Configuración de roles de Azure AD en

Privileged Identity Management.
Disponibilidad general: más información sobre por qué se

marcó un inicio de sesión como "desconocido"
La detección de riesgos de propiedades de inicio de sesión desconocidas ahora
proporciona razones de riesgo en cuanto a qué propiedades son desconocidas para que
los clientes investiguen mejor ese riesgo.
Identity Protection ahora muestra las propiedades desconocidas en el Azure Portal en la

experiencia de usuario y en la API como información adicional con una descripción fácil
de usar que explica que las siguientes propiedades no son familiares para este inicio de
sesión del usuario dado.
No hay ningún trabajo adicional para habilitar esta característica, las propiedades
desconocidas se muestran de forma predeterminada. Para más información, consulte
Riesgo de inicio de sesión.

(enero de 2023)
En febrero de 2023 agregamos las siguientes 10 nuevas aplicaciones a nuestra galería

de aplicaciones compatibles con la federación:
PROCAS , Tanium Cloud SSO, LeanDNA, CalendarAnything LWC , courses.work,

Udemy Business SAML, Canva, Kno2fy, IT-Conductor, ナレッジワーク(Knowledge Work),
Valotalive Digital Signage Microsoft 365 integration , Priority Matrix HIPAA , Priority
Matrix Government , Beable, Grain , DojoNavi, Global Validity Access Manager ,
FieldEquip , Peoplevine , Respondent, WebTMA, ClearIP , Pennylane, VsimpleSSO ,
Compliance Genie, Dataminr Corporate , Talon.


Azure AD (febrero de 2023)

integradas:
Atmos
Azure AD.
Enero de 2023
Versión preliminar pública: sincronización entre inquilinos

Funcionalidad del producto: Colaboración
La sincronización entre inquilinos permite configurar una solución escalable y

automatizada para que los usuarios accedan a las aplicaciones entre inquilinos de la
organización. Se basa en la funcionalidad de Azure AD B2B y automatiza la creación,
actualización y eliminación de usuarios B2B. Para obtener más información, consulte
¿Qué es la sincronización entre inquilinos? (versión preliminar).

(enero de 2023)
En enero de 2023, agregamos las siguientes 10 aplicaciones nuevas a la galería de

aplicaciones con compatibilidad con la federación:
MINT TMS, Exterro Legal GRC Software Platform, SIX.ONE Identity Access Manager ,
Lusha, Descartes, Travel Management System , Pinpoint (SAML), my.sdworx.com, itopia
Labs , Better Stack .


Azure AD (enero de 2023)

integradas:
SurveyMonkey Enterprise
Azure AD.
Versión preliminar pública: nueva experiencia de usuario

de Azure AD Connect Cloud Sync
Tipo: Característica modificada Categoría del servicio: Azure AD Connect Cloud Sync
Capacidad de producto: Identity Governance
Pruebe la nueva experiencia guiada para sincronizar objetos de AD a Azure AD

mediante Azure AD Connect Cloud Sync en Azure Portal. Con esta nueva experiencia, los
administradores de identidades híbridas pueden determinar fácilmente qué motor de
sincronización deben usar para sus escenarios y obtener más información sobre las
distintas opciones que tienen a su disposición con nuestras soluciones de
sincronización. Con un amplio conjunto de tutoriales y videos, los clientes pueden
aprender todo sobre Azure AD Connect Cloud Sync en un solo lugar.
Esta experiencia ayuda a los administradores a recorrer los diferentes pasos necesarios
para establecer una configuración de sincronización en la nube y una experiencia
intuitiva para ayudarlos a administrarla fácilmente. Los administradores también pueden
obtener información sobre su configuración de sincronización mediante la opción
"Insights", que se integra con Azure Monitor y Workbooks.
Creación de una configuración para la sincronización en la nube de Azure AD

Connect
Asignación de atributos de sincronización en la nube de Azure AD Connect
Libro de información sobre Azure AD Connect Cloud Sync
Versión preliminar pública: compatibilidad con

extensiones de directorio mediante Azure AD Connect
Cloud Sync
Funcionalidad del producto: Azure AD Connect Cloud Sync
Los administradores de TI híbridos ahora pueden sincronizar las extensiones de

directorio de Active Directory y Azure AD mediante Azure AD Cloud Sync. Esta nueva
funcionalidad agrega la capacidad de detectar dinámicamente el esquema de Active
Directory y Azure AD, lo que permite a los clientes asignar los atributos necesarios
mediante la experiencia de asignación de atributos de Azure AD Connect Cloud Sync.
Para obtener más información sobre cómo habilitar esta característica, consulte
Extensiones de directorio y asignación de atributos personalizados en Azure AD Connect
Cloud Sync
Diciembre de 2022
Versión preliminar pública: Solucionador de problemas de

Windows 10+ para registros de diagnóstico
Categoría del servicio: Auditoría
Esta característica analiza los registros cargados del lado cliente, también conocidos
como registros de diagnóstico, de un dispositivo Windows 10+ que tiene problemas y
sugiere pasos de corrección para resolver los problemas. Los administradores pueden
trabajar con el usuario final para recopilar registros del lado cliente y, después, cargarlos
en este solucionador de problemas en el centro de administración de Microsoft Entra.
Para obtener más información, consulte Solución de problemas de dispositivos
Windows en Azure AD.
Disponibilidad general: inicio de sesión telefónico

múltiple sin contraseña para dispositivos iOS
Ahora, los usuarios finales pueden habilitar el inicio de sesión telefónico sin contraseña
para varias cuentas en la aplicación Authenticator en cualquier dispositivo iOS
compatible. Los consultores, los alumnos y otros con varias cuentas de Azure AD
pueden agregar las cuentas a Microsoft Authenticator y usar el inicio de sesión
telefónico sin contraseña para todas ellas desde el mismo dispositivo iOS. Las cuentas
de Azure AD pueden estar en el mismo inquilino o en inquilinos diferentes. No se
admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un
dispositivo.
No es necesario que los usuarios finales habiliten la configuración de telemetría

opcional en la aplicación Authenticator. Para obtener más información, consulte
Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.
Versión preliminar pública (actualización): Novedades de

las plantillas de acceso condicional
Las plantillas de acceso condicional proporcionan un método cómodo para implementar

nuevas directivas alineadas con las recomendaciones de Microsoft. En total, hay 14
plantillas de directiva de acceso condicional, filtradas por cinco escenarios diferentes:
base segura, confianza cero, trabajo remoto, protección de los administradores y
amenazas emergentes.
En esta actualización de versión preliminar pública, hemos mejorado la experiencia del

usuario con un diseño actualizado y hemos agregado cuatro nuevas mejoras:
Los administradores pueden crear una directiva de acceso condicional importando

un archivo JSON.
Los administradores pueden duplicar la directiva existente.
Los administradores pueden ver información más detallada sobre la directiva.
Los administradores pueden consultar las plantillas mediante programación a
través de MSGraph API.
Para obtener más información, consulte Plantillas de acceso condicional (versión

preliminar).
Versión preliminar pública: Los administradores pueden


Azure Portal. Esta nueva funcionalidad de la opción Configuración de usuario permite a
los administradores impedir que sus usuarios puedan crear nuevos inquilinos. También
hay un nuevo rol Creador de inquilinos para permitir que usuarios específicos creen
predeterminados.
Disponibilidad general: Configuración del iniciador de

aplicaciones consolidadas (Aplicaciones) y nueva
configuración de versión preliminar
Hemos consolidado los ajustes relevantes del lanzador de aplicaciones en una nueva
sección de lanzadores de aplicaciones en los centros de administración de Azure y
Microsoft Entra. El punto de entrada se puede encontrar en Aplicaciones empresariales,
donde solía encontrarse Colecciones. Para encontrar la opción Colecciones, selecciona
Iniciadores de aplicaciones. Además, hemos agregado una nueva opción Configuración
a Iniciadores de aplicaciones. Esta opción tiene algunas configuraciones con las que
puede que ya estés familiarizado, como la configuración de Microsoft 365. Las nuevas
opciones de Configuración también tienen controles para las versiones preliminares.
Como administrador, puede probar las nuevas características del iniciador de
aplicaciones mientras están en versión preliminar. Habilitar una característica en vista
previa significa que la característica se activa para tu organización. Esta característica
habilitada se refleja en el portal de Mis aplicaciones y en otros iniciadores de
aplicaciones para todos los usuarios. Para obtener más información sobre la
configuración de versión preliminar, consulte: Experiencias de usuario final para
aplicaciones.
Versión preliminar pública: Directiva de métodos de

autenticación convergente
La directiva de métodos de autenticación convergente permite administrar todos los

métodos de autenticación usados para MFA y SSPR en una directiva. Puedes migrar las
directivas heredadas de MFA y SSPR y orientar los métodos de autenticación a grupos
de usuarios en lugar de habilitarlos para todos los usuarios del inquilino. Para obtener
más información, consulte: Administración de métodos de autenticación de Azure AD.
Disponibilidad general: Compatibilidad con unidades

administrativas para dispositivos
Ahora puedes usar unidades administrativas para delegar la administración de

dispositivos específicos en tu arrendatario agregando dispositivos a una unidad
administrativa. También puede asignar funciones de administración de dispositivos
integradas y personalizadas, en el ámbito de esa unidad administrativa. Para obtener
más información, consulte: Administración de dispositivos.
Versión preliminar pública: los trabajadores de primera
línea que usan dispositivos compartidos ahora pueden
usar las aplicaciones Microsoft Edge y Yammer en
Android
Las empresas a menudo proporcionan dispositivos móviles a los trabajadores de

primera línea que necesitan compartirse entre turnos. El modo de dispositivo
compartido de Microsoft permite que los trabajadores de primera línea se autentiquen
fácilmente iniciando y cerrando automáticamente la sesión de los usuarios de todas las
aplicaciones que han habilitado esta característica. Además de Microsoft Teams y
Managed Home Screen, que están disponibles con carácter general, nos complace
anunciar que las aplicaciones Microsoft Edge y Yammer en Android están ahora en
versión preliminar pública.
Para obtener más información sobre la implementación de soluciones de primera línea,

consulta: documentación de implementación de primera línea .
Para obtener más información sobre el modo de dispositivo compartido, consulte la

documentación sobre el modo de dispositivo compartido de Azure Active Directory.
Para conocer los pasos para configurar el modo de dispositivo compartido con Intune,
consulta: blog de configuración de Intune .

Azure AD: diciembre de 2022

integradas:
GHIAE
Azure AD.
Disponibilidad general: Aprovisionamiento de

aplicaciones locales
Azure AD admite el aprovisionamiento de usuarios en aplicaciones hospedadas en un

entorno local o en una máquina virtual, sin tener que abrir ningún firewall. Si la
aplicación admite SCIM o ha creado una puerta de enlace SCIM para conectarse a la
aplicación heredada, puede usar el agente de aprovisionamiento de Azure AD para
conectarse directamente con la aplicación y automatizar el aprovisionamiento y el
desaprovisionamiento. Si tiene aplicaciones heredadas que no admiten SCIM y se basan
en un almacén de usuarios LDAP o una base de datos SQL, Azure AD también puede
admitir esas aplicaciones.
Disponibilidad general: Nuevas aplicaciones federadas

disponibles en la galería de aplicaciones de Azure AD:
diciembre de 2022
En diciembre de 2022 se incorporaron a la galería de aplicaciones las siguientes

Bionexo IDM , SMART Meeting Pro , Venafi Control Plane – Datacenter, HighQ,
Drawboard PDF , ETU Skillsims, TencentCloud IDaaS, TeamHeadquarters Email Agent
OAuth , Verizon MDM , QRadar SOAR, Tripwire Enterprise, Cisco Unified
Communications Manager, Howspace , Flipsnack SAML, Albert , Altinget.no , Coveo
Hosted Services, Cybozu(cybozu.com), BombBomb , VMware Identity Service,
HexaSync , Trifecta Teams , VerosoftDesign , Mazepay , Wistia, Begin.AI , WebCE,
Dream Broker Studio , PKSHA Chatbot, PGM-BCP , ChartDesk SSO, Elsevier SP,
GreenCommerce IdentityServer , Fullview , Aqua Platform, SpedTrack, Pinpoint ,
Darzin Outlook Add-in , Simply Stakeholders Outlook Add-in , tesma, Parkable, Unite
Us

Anuncio de finalización del soporte técnico de la

Biblioteca de autenticación de Microsoft
Tipo: N/A
Como parte de nuestra iniciativa continua para mejorar la experiencia del desarrollador,
la confiabilidad del servicio y la seguridad de las aplicaciones de los clientes, dejaremos
de brindar soporte técnico para la Biblioteca de autenticación de Microsoft. La fecha
límite final para migrar las aplicaciones a la Biblioteca de autenticación de Microsoft
(MSAL) se ha ampliado al 30 de junio de 2023.
¿Por qué lo hacemos?

A medida que consolidamos y evolucionamos la plataforma de identidad de Microsoft,
también estamos invirtiendo en realizar mejoras significativas en la experiencia del
desarrollador y las características del servicio que permiten crear aplicaciones seguras,
sólidas y resistentes. Para que estas características estén disponibles para nuestros
clientes, necesitamos actualizar la arquitectura de nuestros kits de desarrollo de
software. Como resultado de este cambio, hemos decidido que el camino a seguir
requiere que desactivemos la Biblioteca de autenticación de Microsoft. Esto nos permite
centrarnos en las inversiones en la experiencia del desarrollador con la Biblioteca de
autenticación de Microsoft.
¿Qué sucede?
Reconocemos que el cambio de bibliotecas no es una tarea fácil y que no se puede
realizar rápidamente. Estamos comprometidos a ayudar a los clientes a planear sus
migraciones a la Biblioteca de autenticación de Microsoft y ejecutarlas con una
interrupción mínima.
En junio de 2020, anunciamos la escala de tiempo de 2 años de la finalización del
soporte técnico para la Biblioteca de autenticación de Microsoft .
En diciembre de 2022, decidimos extender el fin del soporte técnico para la
Biblioteca de autenticación de Microsoft hasta junio de 2023.
A lo largo de los próximos seis meses (enero de 2023 a junio de 2023),
continuaremos informando a los clientes sobre este fin del soporte técnico,
además de proporcionarles instrucciones sobre la migración.
En junio de 2023, desactivaremos oficialmente la Biblioteca de autenticación de
Microsoft, eliminaremos la documentación de la biblioteca y archivaremos todos
los repositorios de GitHub relacionados con el proyecto.
¿Cómo saber qué aplicaciones de mi inquilino utilizan la

Biblioteca de autenticación de Microsoft?
Consulte nuestra publicación sobre Preguntas y respuestas de Microsoft para obtener
detalles sobre cómo identificar las aplicaciones de la Biblioteca de autenticación de
Microsoft con la ayuda de Azure Workbooks.
Si uso la Biblioteca de autenticación de Microsoft, ¿qué

puedo esperar después de la fecha límite?
No habrá nuevas versiones (de seguridad ni de ningún otro tipo) en la biblioteca a
partir de junio de 2023.
No aceptaremos ningún informe de incidentes ni solicitudes de soporte técnico
para la Biblioteca de autenticación de Microsoft. La compatibilidad con la
migración de la Biblioteca de autenticación de Microsoft a la Biblioteca de
autenticación de Microsoft continuará.
Los servicios subyacentes siguen funcionando y las aplicaciones que dependen de
la Biblioteca de autenticación de Microsoft deben seguir funcionando. Las
aplicaciones y los recursos a los que acceden corren un mayor riesgo de seguridad
y confiabilidad debido a que no cuentan con las actualizaciones, la configuración
del servicio y las mejoras más recientes disponibles a través de la plataforma
Microsoft Identity.
¿A qué características solo puedo acceder con la

Biblioteca de autenticación de Microsoft?
La cantidad de características y capacidades que estamos agregando a las bibliotecas de
la Biblioteca de autenticación de Microsoft crece semanalmente. Algunos de ellos son:
Compatibilidad con cuentas de Microsoft (MSA)
Compatibilidad con cuentas de Azure AD B2C
Control de la limitación
Actualización y revocación proactivas de los tokens en función de la directiva o los
eventos críticos para Microsoft Graph y otras API que admiten la Evaluación
continua de acceso (CAE)
Compatibilidad con el agente de autenticación mediante directivas de acceso
condicional basado en dispositivos
Autenticación de certificados basada en hardware de Azure AD (CBA) en
dispositivos móviles
Exploradores del sistema en dispositivos móviles y más. Para obtener una lista
actualizada, consulte nuestra guía de migración.
¿Cómo se realiza la migración?

Para facilitar el proceso de migración, publicamos una guía completa que documenta las
rutas de migración en distintas plataformas y lenguajes de programación.
Además de la actualización de la Biblioteca de autenticación de Microsoft a la Biblioteca

de autenticación de Microsoft, recomendamos migrar de Graph API Azure AD a
Microsoft Graph. Este cambio te permite aprovechar las últimas adiciones y mejoras,
como CAE, en toda la oferta de servicio de Microsoft a través de un único punto de
conexión unificado. Puede leer más información en nuestra guía Migración de
aplicaciones de Graph de Azure AD a Microsoft Graph. Puedes publicar cualquier
pregunta en Preguntas y &respuestas de Microsoft o Stack Overflow .
Noviembre de 2022
Disponibilidad general: uso del inicio de sesión web en

Windows para la recuperación sin contraseña con pase de
acceso temporal
El Pase de acceso temporal ahora se puede usar para recuperar equipos unidos a Azure
AD cuando la política EnableWebSignIn está habilitada en el dispositivo. Esto es útil para
cuando los usuarios no conocen o no tienen una contraseña. Para más información,
consulte Autenticación/EnableWebSignIn.
Versión preliminar pública: Federación de identidades de
carga de trabajo para métodos de identidades
administradas
Los desarrolladores ahora pueden usar identidades administradas para sus cargas de
trabajo de software ejecutadas en cualquier lugar y para acceder a los recursos de
Azure, sin necesidad de secretos. Estos escenarios incluyen:
El acceso a recursos de Azure desde pods de Kubernetes que se ejecutan de forma

local o en cualquier nube.
Flujos de trabajo de GitHub para implementarlos en Azure, no se necesitan
secretos.
Acceso a recursos de Azure desde otras plataformas en la nube que admiten OIDC,
como Google Cloud.
Configurar una identidad administrada asignada por el usuario para confiar en un

proveedor de identidades externo (versión preliminar)
Federación de identidades de carga de trabajo
Uso de una entidad de carga de trabajo de Azure AD (versión preliminar) en Azure
Kubernetes Service (AKS)
Disponibilidad general: Authenticator en iOS es

compatible con FIPS 140
La versión 6.6.8 y posteriores de Authenticator en iOS serán compatibles con FIPS 140
para todas las autenticaciones de Azure AD que usan autenticaciones multifactor de
inserción (MFA), el inicio de sesión de teléfono sin contraseña (PSI) y los códigos de
acceso de un solo uso y duración definida (TOTP). Para habilitar esta funcionalidad, no
se requieren cambios de configuración en la aplicación Authenticator ni en Azure Portal.
Si necesita más información, consulte Compatibilidad con FIPS 140 para la autenticación
de Azure AD.
Disponibilidad general: Nuevas aplicaciones federadas
disponibles en la galería de aplicaciones de Azure AD,
noviembre de 2022
En noviembre de 2022 se incorporaron a la galería de aplicaciones las siguientes

Adstream, Databook, Ecospend IAM , Digital Pigeon, Drawboard Projects, Vellum ,

Veracity , Microsoft OneNote to Bloomberg Note Sync , DX NetOps Portal, itslearning
Outlook integration , Tranxfer, Occupop , Nialli Workspace , Tideways , SOWELL ,
Prewise Learning , CAPTOR for Intune , wayCloud Platform , Nura Space Meeting
Room , Flexopus Exchange Integration , Ren Systems , Nudge Security

Disponibilidad general: Nuevos conectores de

Azure AD, noviembre de 2022

integradas:
Keepabl
Uber
Azure AD.
Versión preliminar pública: Funcionalidad de pausa de

grupo dinámico
Los administradores ahora pueden pausar y reanudar el procesamiento de grupos

dinámicos individuales en el Centro de administración Microsoft Entra. Para obtener más
información, consulte Creación o actualización de un grupo dinámico en Azure Active
Directory.
Versión preliminar pública: Habilita las características de

personalización extendida para las páginas de inicio de
sesión y registro en la funcionalidad de personalización
de marca de empresa.
Incorpora a la experiencia de inicio de sesión de Azure AD y Microsoft 365 con nueva

funcionalidad de personalización de marca de empresa. Puede aplicar la guía de marca
de su empresa a las experiencias de autenticación mediante plantillas predefinidas. Para
obtener más información, consulte Configuración de la personalización de marca de la
empresa.
Versión preliminar pública: habilitación de las

funcionalidades de personalización para los hipervínculos
de autoservicio de restablecimiento de contraseña
(SSPR), los hipervínculos de pie de página y los iconos del
explorador en la personalización de marca de empresa.
Actualización de la funcionalidad de personalización de marca de empresa en la
experiencia de inicio de sesión de Azure AD/Microsoft 365 para facilitar la
personalización de hipervínculos del autoservicio de restablecimiento de contraseña
(SSPR), los hipervínculos de pie de página y el icono del explorador. Para obtener más
información, consulte Configuración de la personalización de marca de la empresa.
Disponibilidad general: Eliminación temporal para

unidades administrativas
Las unidades administrativas ahora admiten la eliminación temporal. Los

administradores ahora pueden enumerar y ver las propiedades de unidades
administrativas, o restaurar las unidades eliminadas, mediante Microsoft Graph. Esta
funcionalidad restaura toda la configuración de la unidad administrativa cuando la
restauración se hace a partir de la eliminación temporal, incluidas las pertenencias, los
roles de administrador, las reglas de procesamiento y el estado de las reglas de
procesamiento.
Esta funcionalidad mejora considerablemente la capacidad de recuperación y la

resistencia al usar unidades administrativas. Ahora, cuando una unidad administrativa se
elimina accidentalmente, puedes restaurarla rápidamente al mismo estado que tenía en
el momento de la eliminación. Esto elimina la incertidumbre sobre la configuración y
hace que la restauración sea rápida y fácil. Para obtener más información, consulte
Enumerar deletedItems (objetos de directorio).
Versión preliminar pública: IPv6 llega a Azure AD

Con la creciente adopción y soporte de IPv6 en redes empresariales, proveedores de

servicios y dispositivos, muchos clientes se preguntan si sus usuarios pueden seguir
accediendo a los servicios y aplicaciones desde clientes y redes IPv6. Hoy nos complace
anunciar nuestro plan para ofrecer compatibilidad con IPv6 para Microsoft Azure Active
Directory (Azure AD). Esto permite a los clientes acceder a los servicios de Azure AD a
través de protocolos de red IPv4 e IPv6 (pila doble). Para la mayoría de los clientes, IPv4
no desaparecerá completamente de su entorno digital, por lo que no tenemos previsto
exigir IPv6 ni quitar prioridad a IPv4 en ninguna característica o servicio de Azure Active
Directory. Comenzaremos a introducir compatibilidad con IPv6 en los servicios de
Azure AD de forma escalonada a partir del 31 de marzo de 2023. Tenemos una guía
específica para los clientes de Azure AD que usan direcciones IPv6 y también usan
ubicaciones con nombre en sus políticas de acceso condicional.
Los clientes que usan ubicaciones con nombre para identificar límites de red específicos
en su organización deben:
1. Realizar una auditoría de las ubicaciones con nombre existentes para anticipar un
posible riesgo.
2. Trabajar con el asociado de red para identificar las direcciones IPv6 de salida en
uso en su entorno.
3. Revisar y actualizar las ubicaciones con nombre existentes para incluir los
intervalos IPv6 identificados.
Los clientes que usan directivas basadas en la ubicación de acceso condicional para
restringir y proteger el acceso a sus aplicaciones desde redes específicas deben:
1. Realizar una auditoría de las directivas de acceso condicional existentes para

identificar el uso de ubicaciones con nombre como condición para prever el
posible riesgo.
2. Revisar y actualizar las directivas basadas en ubicaciones de acceso condicional
existentes para asegurarse de que sigan cumpliendo los requisitos de seguridad de
su organización.
Seguiremos compartiendo directrices adicionales sobre la habilitación de IPv6 en

Azure AD en este vínculo: https://aka.ms/azureadipv6 .
Octubre de 2022
Disponibilidad general: actualice el agente de

aprovisionamiento de Azure AD a la versión más reciente
(número de versión: 1.1.977.0)
Tipo: Plan de cambio Categoría de servicio: Aprovisionamiento Característica del
producto: Azure AD Connect Cloud Sync
Microsoft dejará de dar asistencia al agente de aprovisionamiento de Azure AD con las

versiones 1.1.818.0 y anteriores a partir del 1 de febrero de 2023. Si usas Azure AD
Connect Cloud Sync, asegúrate de que tienes la versión más reciente del agente. Puede
ver más información sobre el historial de versiones del agente aquí. Puede descargar la
versión más reciente aquí
Puede averiguar qué versión del agente usa de la siguiente manera:
1. Vaya al servidor de dominio que tiene instalado el agente

2. Haga clic con el botón derecho en la aplicación Microsoft Azure AD Connect
Provisioning Agent
3. Seleccione la pestaña "Detalles" y verá el número de versión allí
７ Nota
Azure Active Directory Connect se rige por la Directiva moderna de ciclo de vida.
Los cambios en los productos y servicios de la Directiva de ciclo de vida moderno
pueden ser más frecuentes y requerir que los clientes estén en alerta para las
próximas modificaciones en su producto o servicio. Los productos regidos por la
Directiva moderna siguen un modelo de soporte y mantenimiento continuos. Los
clientes deben realizar la actualización más reciente para seguir recibiendo soporte.
En el caso de los productos y servicios regidos por la directiva de ciclo de vida
moderno, la directiva de Microsoft es proporcionar una notificación mínima de
30 días cuando los clientes deben tomar medidas para evitar una degradación
significativa del uso normal del producto o servicio.
Disponibilidad general: agregue varios dominios a la

misma configuración del proveedor de identidades
basado en SAML/Ws-Fed para los usuarios externos
Un administrador de TI ahora puede agregar varios dominios a una única configuración

del proveedor de identidades SAML/WS-Fed para invitar a usuarios de varios dominios
a autenticarse desde el mismo punto de conexión del proveedor de identidades. Para
más información, consulte: Federación con proveedores de identidades SAML o WS-Fed
para usuarios invitados.
Disponibilidad general: los límites en el número de

permisos de API configurados para un registro de
aplicación se aplicarán a partir de octubre de 2022
A finales de octubre, el número total de permisos necesarios para cualquier registro de

aplicación único no debe superar los 400 permisos en todas las API. Las aplicaciones
que superen el límite no pueden aumentar la cantidad de permisos configurados. El
límite existente en la cantidad de API distintas para los permisos requeridos permanece
sin cambios y no puede exceder las 50 API.
En Azure Portal, la lista de permisos necesarios se encuentra en Permisos de API dentro

de aplicaciones específicas en el menú de registro de aplicaciones. Al usar
Microsoft Graph o Microsoft Graph PowerShell, los permisos necesarios se enumeran en
la propiedad requiredResourceAccess de una entidad de aplicación. Para más
información, consulte: Diferencias de validación por tipos de cuenta compatibles
(signInAudience).
Versión preliminar pública: puntos fuertes de la

autenticación de acceso condicional
Anunciamos la versión preliminar pública de la intensidad de autenticación, un control

de acceso condicional que permite a los administradores especificar qué métodos de
autenticación se pueden usar para acceder a un recurso. Para más información, consulte:
Nivel de autenticación de acceso condicional (versión preliminar). Puede usar
intensidades de autenticación personalizadas para restringir el acceso al requerir claves
FIDO2 específicas mediante los GUID de atestación de autenticación (AAGUID) y
aplicarlas a través de directivas de acceso condicional. Para más información, consulte:
Opciones avanzadas de clave de seguridad FIDO2.
Versión preliminar pública: puntos fuertes de la

autenticación de acceso condicional para identidades
externas
Ahora puede requerir que los invitados de asociado empresarial (B2B) en todas las
nubes de Microsoft usen métodos de autenticación específicos para acceder a los
recursos con directivas de intensidad de autenticación de acceso condicional. Para más
información, consulte: Acceso condicional: requerir una intensidad de autenticación para
usuarios externos.
Disponibilidad general: implementación de confianza de

Kerberos en la nube y Windows Hello para empresas
Nos complace anunciar la disponibilidad general de la confianza de Kerberos en la nube

híbrida, un nuevo modelo de implementación de Windows Hello para empresas para
habilitar una experiencia de inicio de sesión sin contraseña. Con este nuevo modelo,
hemos hecho que Windows Hello para empresas sea más fácil de implementar que los
modelos de implementación de confianza de clave y confianza de certificados existentes
mediante la eliminación de la necesidad de mantener una complicada infraestructura de
clave pública (PKI) y tiempos de espera de sincronización de Azure Active Directory (AD)
Connect. Para más información, consulte: Implementación de confianza de Kerberos en
la nube híbrida.
Disponibilidad general: acceso condicional basado en el

dispositivo en escritorios Linux
Esta característica permite a los usuarios de los clientes Linux registrar sus dispositivos
en Azure AD, inscribirse en la administración de Intune y satisfacer las directivas de
acceso condicional basadas en el dispositivo al acceder a sus recursos corporativos.
Los usuarios pueden registrar sus dispositivos Linux en Azure AD

Los usuarios pueden inscribirse en Administración de dispositivos móviles (Intune),
que se puede usar para proporcionar decisiones de cumplimiento basadas en
definiciones de directivas a fin de permitir el acceso condicional basado en
dispositivos en escritorios de Linux
Si los dispositivos son compatibles, los usuarios pueden usar el explorador de
Microsoft Edge para habilitar el inicio de sesión único en los recursos de M365 o
Azure y satisfacer las directivas de acceso condicional basadas en el dispositivo.
Para más información, consulte: Dispositivos registrados de Azure AD. Planeación de la

implementación de dispositivos de Azure Active Directory
Disponibilidad general: obsolescencia de la autenticación

multifactor de Azure Active Directory.
Tipo: Obsoleto
A partir del 30 de septiembre de 2024, las implementaciones del Servidor Microsoft

Azure Multi-Factor Authentication de Azure Active Directory ya no atenderán las
solicitudes de autenticación multifactor (MFA), lo que podría provocar que las
autenticaciones fallen en tu organización. Para garantizar servicios de autenticación
ininterrumpidos y permanecer en un estado compatible, las organizaciones deben
migrar los datos de autenticación de sus usuarios al servicio de autenticación multifactor
de Azure Active Directory basado en la nube utilizando la utilidad de migración más
reciente que se incluye en la actualización del Servidor Microsoft Azure Multi-Factor
Authentication. Para más información, consulte: Migración del Servidor MFA a Azure AD
Multi-Factor Authentication.
Versión preliminar pública: los flujos de trabajo de ciclo

de vida ya están disponibles
Categoría de servicio: Flujos de trabajo del ciclo de vida
Nos complace anunciar la versión preliminar pública de los flujos de trabajo del ciclo de
vida, una nueva funcionalidad de gobernanza de identidades que permite a los clientes
ampliar el proceso de aprovisionamiento de usuarios. También agrega funcionalidades
de administración del ciclo de vida de usuario de nivel empresarial en Azure AD para
modernizar el proceso de administración del ciclo de vida de las identidades. Con los
Flujos de trabajo del ciclo de vida, puede:
Configure e implemente flujos de trabajo personalizados con confianza para

incorporar y retirar empleados en la nube a escala reemplazando los procesos
manuales.
Automatice las acciones predefinidas críticas para los escenarios necesarios de
Incorporaciones y Abandonos y obtenga información enriquecida de informes.
Amplíe los flujos de trabajo a través de integraciones de Logic Apps con
extensiones de tareas personalizadas para escenarios más complejos.
Para más información, consulte ¿Qué son los flujos de trabajo del ciclo de vida? (Versión
preliminar pública).
Versión preliminar pública: recomendación de afiliación

de usuario a grupo para revisiones de acceso de grupo
Esta característica proporciona recomendaciones basadas en Machine Learning a los

revisores de las revisiones de acceso de Azure AD para que la experiencia de revisión
sea más sencilla y precisa. La recomendación detecta la afiliación de usuarios con otros
usuarios del grupo y aplica el mecanismo de puntuación que creamos calculando la
distancia media del usuario con otros usuarios del grupo. Para más información,
consulte: Recomendaciones de revisión para revisiones de acceso.
Disponibilidad general: asignación de grupos para la

aplicación de Escritura diferida de SuccessFactors
Funcionalidad del producto: salida a aplicaciones de SaaS
Al configurar la escritura diferida de atributos de Azure AD en SAP SuccessFactors

Employee Central, ahora puede especificar el ámbito de los usuarios mediante la
asignación de grupos de Azure AD. Para más información, consulte: Tutorial:
Configuración de la escritura diferida de atributos desde Azure AD a SAP
SuccessFactors.

Para evitar aprobaciones accidentales de notificaciones, los administradores pueden
requerir a los usuarios que escriban el número que se muestra en la pantalla de inicio de
sesión al aprobar una notificación de MFA en la aplicación de Microsoft Authenticator.
También hemos actualizado la experiencia de usuario de administración de Azure Portal
y las API de Microsoft Graph para facilitar a los clientes la administración de
implementaciones de características de la aplicación Authenticator. Como parte de esta
actualización, también hemos agregado la capacidad altamente solicitada para que los
administradores excluyan grupos de usuarios de cada característica.
La característica de coincidencia de números aumenta considerablemente la posición de

seguridad de la aplicación Microsoft Authenticator y protege a las organizaciones frente
a ataques de fatiga de MFA. Animamos encarecidamente a nuestros clientes a adoptar
esta característica aplicando los controles de lanzamiento que hemos creado. La
coincidencia de números comenzará a habilitarse para todos los usuarios de la
aplicación Microsoft Authenticator a partir del 27 de febrero de 2023.

autenticación multifactor (MFA): directiva de métodos de autenticación.
Disponibilidad general: contexto adicional en

Reduzca las aprobaciones accidentales mostrando el contexto adicional a los usuarios

en las notificaciones de la aplicación Microsoft Authenticator. Los clientes pueden
mejorar las notificaciones con los siguientes pasos:
Contexto de la aplicación: esta función muestra a los usuarios en qué aplicación

están iniciando sesión.
Contexto de ubicación geográfica: esta función muestra a los usuarios su ubicación
de inicio de sesión en función de la dirección IP del dispositivo en el que están
iniciando sesión.
La característica está disponible para las notificaciones de inicio de sesión telefónico sin
contraseña y MFA, y aumenta considerablemente la posición de seguridad de la
aplicación Microsoft Authenticator. También hemos actualizado la experiencia de
usuario de administración de Azure Portal y las API de Microsoft Graph para facilitar a
los clientes la administración de implementaciones de características de la aplicación
Authenticator. Como parte de esta actualización, también hemos agregado la capacidad
altamente solicitada para que los administradores excluyan grupos de usuarios de
determinadas características.
Recomendamos encarecidamente a nuestros clientes que adopten estas características

de seguridad críticas para reducir las aprobaciones accidentales de las notificaciones de
Authenticator por parte de los usuarios finales.
Para más información, consulte: Uso de contexto adicional en notificaciones de

Microsoft Authenticator: directiva de métodos de autenticación.
Nuevas aplicaciones federadas disponibles en la galería

de aplicaciones de Azure AD (octubre de 2022)
En octubre de 2022 se han agregado las siguientes 15 aplicaciones nuevas a la galería

de aplicaciones con compatibilidad con la federación:
Unifii , WaitWell Staff App , AuthParency , Oncospark Code Interceptor , Thread

Legal Case Management , e2open CM-Global, OpenText XM Fax and XM SendSecure,
Contentkalender, Evovia, Parmonic , mailto.wiki , JobDiva Azure SSO , Mapiq, IVM
Smarthub, Span.zone – SSO and Read-only , RecruiterPal , Broker groupe Achat
Solutions, Philips SpeechLive , Crayon, Cytric, Notate , ControlDocumentario ,
Intuiflow , Valence Security Platform, Skybreathe® Analytics


Azure AD: octubre de 2022
Ahora, puede automatizar la creación, actualización y eliminación de cuentas de usuario
para estas aplicaciones recién integradas:
LawVu
Azure AD.
Septiembre de 2022
Disponibilidad general: la escritura diferida de SSPR ya

está disponible para bosques desconectados mediante
Azure AD Connect Cloud Sync
Tipo: Característica nueva Categoría del servicio: Azure AD Connect Cloud Sync
Capacidad de producto: administración del ciclo de vida de la identidad
La escritura diferida de contraseñas en Azure AD Connect Cloud Sync ahora proporciona

a los clientes la capacidad de sincronizar los cambios de contraseña de Azure AD
realizados en la nube a un directorio local en tiempo real. Esto se puede lograr mediante
el agente ligero de aprovisionamiento en la nube de Azure AD. Para más información,
consulte Tutorial: Habilitación de la escritura diferida del autoservicio de
restablecimiento de contraseña de sincronización en la nube en un entorno local.
Disponibilidad general: acceso condicional basado en el

dispositivo en escritorios Linux
Esta característica permite a los usuarios de los clientes Linux registrar sus dispositivos
en Azure AD, inscribirse en la administración de Intune y satisfacer las directivas de
acceso condicional basadas en el dispositivo al acceder a sus recursos corporativos.
Los usuarios pueden registrar sus dispositivos Linux en Azure AD.

Los usuarios pueden inscribirse en Administración de dispositivos móviles (Intune),
que se puede usar para proporcionar decisiones de cumplimiento basadas en
definiciones de directivas a fin de permitir el acceso condicional basado en
dispositivos en escritorios de Linux.
Si los dispositivos son compatibles, los usuarios pueden usar el explorador de
Microsoft Edge para habilitar el inicio de sesión único en los recursos de M365 o
Azure y satisfacer las directivas de acceso condicional basadas en el dispositivo.
Dispositivos registrados en Azure AD

Planeación de la implementación de dispositivos de Azure Active Directory
Disponibilidad general: validador de SCIM de Azure AD

Los proveedores de software independientes (ISV) y los desarrolladores pueden realizar

un autodiagnóstico de sus puntos de conexión SCIM para ver si son compatibles: para
los ISV ahora es más fácil validar la compatibilidad de sus puntos de conexión con los
servicios de aprovisionamiento de Azure AD basados en SCIM. Esta funcionalidad se
encuentra ahora en estado de disponibilidad general (GA).
Para más información, consulte: Tutorial: Validación de un punto de conexión SCIM.
Disponibilidad general: evitar eliminaciones accidentales

La eliminación accidental de usuarios en cualquier sistema podría ser desastrosa. Nos

complace anunciar la disponibilidad general de la funcionalidad de prevención de
eliminaciones accidentales como parte del servicio de aprovisionamiento de Azure AD.
Cuando la cantidad de eliminaciones que se procesarán en un solo ciclo de
aprovisionamiento supere un umbral definido por el cliente, sucederá lo siguiente. El
servicio de aprovisionamiento de Azure AD se detiene, te brinda visibilidad de las
posibles eliminaciones y te permite aceptarlas o rechazarlas. Esta funcionalidad ha
estado disponible históricamente para Azure AD Connect y Azure AD Connect Cloud
Sync. Ahora está disponible en los distintos flujos de aprovisionamiento, incluido el
aprovisionamiento controlado por RR. HH. y el aprovisionamiento de aplicaciones.
Para más información, consulte Habilitación de la prevención de eliminaciones
accidentales en el servicio de aprovisionamiento de Azure AD.
Disponibilidad general: IP anónima y malintencionada de

Identity Protection para inicios de sesión locales de ADFS
La protección de identidad amplía sus detecciones de IP anónimas y maliciosas para

proteger los inicios de sesión de ADFS. Esto se aplica automáticamente a todos los
clientes que tienen AD Connect Health implementado y habilitado, y se muestran como
las detecciones existentes de "IP anónima" o "IP maliciosa" con un tipo de emisor de
token de "Servicios de federación de AD".
Para más información, consulte ¿Qué es el riesgo?

de aplicaciones de Azure AD, septiembre de 2022
En septiembre de 2022 se han agregado las siguientes 15 aplicaciones nuevas a la

galería de aplicaciones que son compatibles con la federación:
RocketReach SSO, Arena EU, Zola, FourKites SAML2.0 SSO for Tracking, Syniverse
Customer Portal, Rimo , Q Ware CMMS , Mapiq (OIDC), NICE Cxone,
dominKnow|ONE, Waynbo for Azure AD , innDex , Profiler Software , Trotto go
links , AsignetSSOIntegration.

Para incluir su aplicación en la galería de aplicaciones de Azure AD, lea los detalles aquí:
https://aka.ms/AzureADAppRequest .
Agosto de 2022
Disponibilidad general: capacidad de forzar la
reautenticación en la inscripción en Intune, inicios de
sesión de riesgo y usuarios de riesgo
Ahora los clientes pueden requerir una autenticación nueva cada vez que un usuario
realice una acción determinada. La reautenticación forzada admite la necesidad de que
un usuario se vuelva a autenticar durante la inscripción de dispositivos de Intune, el
cambio de contraseña para usuarios de riesgo y los inicios de sesión de riesgo.
Para obtener más información, consulte Configuración de la administración de las

sesiones de autenticación con el acceso condicional
Disponibilidad general: revisiones de acceso de varias

fases
Ahora los clientes pueden cumplir con sus complejos requisitos de auditoría y
recertificación a través de varias fases de revisión. Para obtener más información,
consulte: creación de una revisión de acceso de varias fases.
Versión preliminar pública: configuración de salida de

usuario externo
Actualmente, los usuarios pueden salir del autoservicio de una organización sin la
visibilidad de los administradores de TI. Es posible que algunas organizaciones quieran
tener más control sobre este proceso de autoservicio.
Con esta característica, ahora los administradores de TI pueden permitir o restringir

identidades externas para abandonar una organización mediante controles de
autoservicio proporcionados que proporciona Microsoft a través de Azure Active
Directory en el centro de administración de Microsoft Entra. Para restringir que los
usuarios abandonen una organización, los clientes deben incluir "Contacto de
privacidad global" y "Dirección URL de declaración de privacidad" en las propiedades
del inquilino.
Una nueva API de directiva está disponible para que los administradores controlen la
directiva en todo el inquilino: tipo de recurso externalIdentitiesPolicy
Salir de una organización como usuario externo

Configuración de valores de colaboración externa
Versión preliminar pública: restricción de BitLocker de

autoservicio para dispositivos
En algunas situaciones, es posible que quiera restringir la capacidad de los usuarios

finales para realizar claves de BitLocker de autoservicio. Con esta nueva funcionalidad,
ahora puede desactivar el autoservicio de claves de BitLocker para que solo usuarios
específicos con los privilegios adecuados puedan recuperar una clave de BitLocker.
Para obtener más información, consulte: Impedir que los usuarios vean sus claves de
BitLocker (versión preliminar)
Versión preliminar pública: alertas de Identity Protection

en Microsoft 365 Defender
Las detecciones de riesgo (alertas) de Identity Protection ahora también están

disponibles en Microsoft 365 Defender para proporcionar una experiencia de
investigación unificada para los profesionales de seguridad. Para obtener más
información, consulte: Investigación de alertas en Microsoft 365 Defender
de aplicaciones de Azure AD: agosto de 2022
En julio de 2022, se añadieron las siguientes 40 nuevas aplicaciones en la galería de

aplicaciones con compatibilidad para la federación
Albourne Castle , Adra by Trintech, workhub, 4DX, Ecospend IAM V1 , TigerGraph,

Sketch, Lattice, snapADDY Single Sign On , RELAYTO Content Experience Platform ,
oVice , Arena, QReserve, Curator, NetMotion Mobility, HackNotice, ERA_EHS_CORE,
AnyClip Teams Connector , Wiz SSO, Tango Reserve by AgilQuest (EU Instance),
valid8Me, Ahrtemis, KPMG Leasing ToolMist Cloud Admin SSO, Ediwin SaaS EDI, LUSID,
Next Gen Math , Total ID , Cheetah For Benelux, Live Center Australia , Shop Floor
Insight , Warehouse Insight , myAOS, Hero , FigBytes, VerosoftDesign ,
ViewpointOne - UK , EyeRate Reviews , Lytx DriveCam


Azure AD: agosto de 2022

Ideagen Cloud
Lucid (todos los productos)
Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service
Escritura diferida de SuccessFactors
Tableau Cloud
Azure AD.

carga de trabajo con registros de aplicaciones ya está
disponible
Entra Workload Identity Federation permite a los desarrolladores intercambiar tokens

emitidos por otro proveedor de identidades con tokens de Azure AD, sin necesidad de
secretos. Elimina la necesidad de almacenar y administrar las credenciales dentro del
código o los almacenes de secretos para acceder a recursos protegidos de Azure AD,
como Azure y Microsoft Graph. Al quitar los secretos necesarios para acceder a los
recursos protegidos de Azure AD, la federación de identidades de carga de trabajo
puede mejorar la posición de seguridad de la organización. Esta característica también
reduce la carga de la administración de secretos y minimiza el riesgo de tiempo de
inactividad del servicio debido a credenciales que han expirado.
Para obtener más información sobre esta funcionalidad y escenarios admitidos, consulte
Versión preliminar pública: directivas de asignación

automática de administración de derechos
En la administración de derechos de Azure AD, se va a agregar una nueva forma de

directiva de asignación de paquetes de acceso. La directiva de asignación automática
incluye una regla de filtro, que es similar a un grupo dinámico y especifica los usuarios
del inquilino que deben tener asignaciones. Cuando los usuarios entran en el ámbito de
la coincidencia de los criterios de regla de filtro, se crea automáticamente una
asignación y, cuando ya no coinciden, se quita dicha asignación.
Para obtener más información, consulte: Configuración de una directiva de asignación
automática para un paquete de acceso en la administración de derechos de Azure AD
Julio de 2022
Versión preliminar pública: de ADFS a Azure AD:

instancias múltiples de la aplicación SAML
Ahora, los usuarios pueden configurar varias instancias de la misma aplicación dentro de
un inquilino de Azure AD. Ahora, se admiten las solicitudes de inicio de sesión único
iniciadas tanto por el IdP como por el proveedor de servicios (SP). Ahora, varias cuentas
de aplicaciones pueden tener una entidad de servicio independiente para controlar la
asignación de notificaciones específicas de la instancia y la asignación de roles. Para más
información, consulte:
Configuración de la creación de instancias múltiples de aplicaciones SAML para

una aplicación: Microsoft Entra
Personalización de las notificaciones emitidas en el token SAML para aplicaciones:
Microsoft Entra
Versión preliminar pública: de ADFS a Azure AD: aplicar

RegEx Replace al contenido de la notificación de grupos
Hasta hace poco tiempo, los administradores tenían la capacidad de transformar

notificaciones mediante muchas transformaciones, pero el uso de expresiones regulares
para la transformación de notificaciones no se había expuesto a los clientes. Con esta
versión preliminar pública, los administradores ya pueden configurar y usar expresiones
regulares para la transformación de notificaciones mediante la experiencia de usuario
del portal. Para más información, consulte Personalización de las notificaciones emitidas
en el token SAML para aplicaciones: Microsoft Entra.
Versión preliminar pública: Azure AD Domain Services:
confianzas para bosques de usuarios
Ahora, puede crear confianzas tanto en bosques de usuarios como en bosques de

recursos. Los usuarios locales de AD DS no se pueden autenticar en los recursos del
bosque de recursos de Azure AD DS hasta que cree una confianza de salida en la
instancia de AD DS local. Una confianza de salida requiere conectividad de red con la
red virtual local en la que ha instalado Azure AD Domain Services. En un bosque de
usuarios, se pueden crear confianzas para bosques de AD locales que no están
sincronizados con Azure AD DS.
Para obtener más información sobre las confianzas y cómo implementar las suyas
propias, consulte Funcionamiento de las relaciones de confianza en bosques de Active
Directory.

de aplicaciones de Azure AD: julio de 2022
En julio de 2022, hemos añadido las siguientes 28 nuevas aplicaciones en nuestra galería
de aplicaciones con compatibilidad para la federación:
Lunni Ticket Service , Spring Health , Sorbet , Planview ID, Karbonalpha ,

Headspace, SeekOut, Stackby, Infrascale Cloud Backup, Keystone, LMS・教育管理システ
ム Leaf, ZDiscovery, ラインズeライブラリアドバンス (Lines eLibrary Advance), Rootly,
Articulate 360, Rise.com, SevOne Network Monitoring System (NMS), PGM ,
TouchRight Software , Tendium, Training Platform, Znapio , Preset, itslearning MS
Teams sync , Veza,

Disponibilidad general: ya no hay más espera,
aprovisione grupos a petición en las aplicaciones SaaS.
Elija un grupo de hasta cinco miembros y aprovisiónelos en las aplicaciones de terceros

en segundos. Comience a probar, solucionar problemas y aprovisionar aplicaciones que
no son de Microsoft, como ServiceNow, ZScaler y Adobe. Para obtener más información,
consulte Aprovisionamiento a petición en Azure Active Directory.
Disponibilidad general: protección contra la omisión de la

autenticación multifactor de Azure AD en la nube cuando
se federa con Azure AD
Nos complace anunciar una nueva protección de seguridad que impide omitir la
autenticación multifactor de Azure AD en la nube cuando se federa con Azure AD.
Cuando está habilitado, para un dominio federado en el inquilino de Azure AD,
garantiza que una cuenta federada comprometida no pueda omitir la autenticación
multifactor de Azure AD imitando que el proveedor de identidades ya ha realizado una
autenticación multifactor. La protección se puede habilitar mediante la nueva
configuración de seguridad, federatedIdpMfaBehavior.
Se recomienda encarecidamente habilitar esta nueva protección al usar la autenticación

multifactor de Azure AD como autenticación multifactor para los usuarios federados.
Para más información sobre la protección y cómo habilitarla, visite Habilitar la
protección para evitar el paso de la nube Azure AD Multi-Factor Authentication cuando
se federa con Azure AD.

Azure AD ( julio de 2022)

Tableau Cloud
Para más información acerca de cómo proteger mejor una organización mediante el
aprovisionamiento automatizado de cuentas de usuario, consulte Automatización del
aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con
Disponibilidad general: notificaciones de interrupción del

servicio basadas en el inquilino
Azure Service Health admite las notificaciones de interrupción del servicio a los
administradores del inquilino para los problemas de Azure Active Directory. Estas
interrupciones también aparecerán en la página de información general de Azure Portal
con los vínculos correspondientes a Azure Service Health. Los roles integrados de
administrador de inquilinos podrán ver los eventos de interrupción. Durante la
transición, seguiremos enviando notificaciones de interrupción a las suscripciones de un
inquilino. Puede encontrar más información en ¿Qué son las notificaciones de Service
Health en Azure Active Directory?
Versión preliminar pública: varias cuentas de inicio de

sesión telefónico sin contraseña para dispositivos iOS
Ahora, los usuarios finales pueden habilitar el inicio de sesión telefónico sin contraseña
para varias cuentas en la aplicación Authenticator en cualquier dispositivo iOS
compatible. Los consultores, los alumnos y otros con varias cuentas de Azure AD
pueden agregar las cuentas a Microsoft Authenticator y usar el inicio de sesión
telefónico sin contraseña para todas ellas desde el mismo dispositivo iOS. Las cuentas
de Azure AD pueden estar en el mismo inquilino o en inquilinos diferentes. No se
admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un
dispositivo.
Se recomienda a los usuarios finales habilitar la configuración de telemetría opcional en

la aplicación Authenticator, si aún no lo han hecho. Para más información, consulte
Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.
Versión preliminar pública: Azure AD Domain Services:

permisos pormenorizados
Anteriormente, para configurar y administrar su instancia de AAD-DS necesitaba

permisos de nivel superior de Colaborador de Azure y Administrador global de Azure
AD. Ahora, tanto para la creación inicial como para la administración continua, puede
utilizar permisos más precisos para mejorar la seguridad y el control. Los requisitos
previos ahora requieren, como mínimo, lo siguiente:
Necesita los roles de Azure AD Administrador de aplicaciones y Administrador de

grupos en su inquilino para habilitar Azure AD DS.
Necesita el rol de Azure Colaborador de Domain Services para crear los recursos
de Azure AD DS necesarios.
Consulte estos recursos para obtener más información:
Tutorial: Creación de un dominio administrado de Azure Active Directory Domain

Services
Roles con privilegios mínimos por tarea
Roles integrados de Azure: Azure RBAC
Disponibilidad general: versión de actualización de

Azure AD Connect con nuevas funcionalidades y
correcciones de errores
La nueva versión de Azure AD Connect corrige varios errores e incluye nuevas
funcionalidades. Esta versión también está disponible para la actualización automática
en los servidores elegibles. Para más información, consulte: Azure AD Connect: Historial
de lanzamiento de versiones.
Disponibilidad general: configuración del acceso entre

inquilinos para la colaboración B2B
La configuración del acceso entre inquilinos le permite controlar cómo colaboran los
usuarios de la organización con miembros de organizaciones de Azure AD externas.
Ahora tiene una configuración detallada del control del acceso entrante y saliente que
funciona según la organización, el usuario, el grupo y la aplicación. Esta configuración
también permite confiar en las notificaciones de seguridad de organizaciones de
Azure AD externas, como la autenticación multifactor (MFA), el cumplimiento de los
dispositivos y los dispositivos unidos a Azure AD híbrido. Para más información, consulte
Información general: Acceso entre inquilinos con Azure AD External Identities.
Disponibilidad general: generador de expresiones con el

La eliminación accidental de usuarios en las aplicaciones o en el directorio local podría

ser desastrosa. Nos complace anunciar la disponibilidad general de la funcionalidad de
prevención de eliminaciones accidentales. Cuando un trabajo de aprovisionamiento
pudiera provocar un pico en las eliminaciones, primero se pausará y le proporcionará
visibilidad de las posibles eliminaciones. Después, puede aceptar o rechazar las
eliminaciones y disponer de tiempo para actualizar el ámbito del trabajo, si es necesario.
Para más información, consulte Descripción del funcionamiento del generador de
expresiones con el aprovisionamiento de aplicaciones.
Versión preliminar pública: vista de detección de

aplicaciones mejorada para el portal Aplicaciones
Está en versión preliminar pública una vista de detección de aplicaciones mejorada para
Aplicaciones. La versión preliminar muestra a los usuarios más aplicaciones en el mismo
espacio y les permite desplazarse entre colecciones. Actualmente, no admiten arrastrar y
colocar ni la vista de lista. Los usuarios pueden optar por participar en la versión
preliminar seleccionando Probar la versión preliminar y optar por no participar
seleccionando Volver a la vista anterior. Para más información sobre Aplicaciones,
consulte Información general sobre el portal Aplicaciones.
Versión preliminar pública: nueva lista Todos los

dispositivos en Azure Portal
Estamos mejorando la lista Todos los dispositivos en Azure Portal para facilitar el filtrado
y la administración de los dispositivos. Estas mejoras incluyen:
Lista Todos los dispositivos:
Desplazamiento infinito
Se puede filtrar por más propiedades de dispositivo.
Las columnas se pueden reordenar mediante arrastrar y colocar.
Seleccionar todos los dispositivos
Para obtener más información, consulte Administración de identidades de dispositivo

mediante Azure Portal.
Versión preliminar pública: de ADFS a Azure AD: NameID

persistente para aplicaciones iniciadas por IDP
Anteriormente, la única manera de tener un valor de NameID persistente era configurar

el atributo de usuario con un valor vacío. Ahora, los administradores pueden configurar
explícitamente el valor de NameID para que sea persistente, junto con el formato
correspondiente.
Para más información, consulte Personalización de las notificaciones emitidas en el

token SAML para aplicaciones: Plataforma de identidad de Microsoft.
Versión preliminar pública: de ADFS a Azure Active

Directory: personalización del formato de attrname
Con esta nueva actualización de paridad, los clientes ahora pueden integrar con
Azure AD aplicaciones que no son de la galería, como Socure DevHub, para tener el
inicio de sesión único mediante SAML.
Para obtener más información, consulte Directiva de asignación de notificaciones:

Microsoft Entra.
Junio de 2022

Azure AD ( junio de 2022)

Whimsical
Para más información acerca de cómo proteger mejor una organización mediante el
aprovisionamiento automatizado de cuentas de usuario, consulte Automatización del
aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con
Versión preliminar pública: se están asignando roles fuera
de Privileged Identity Management
Los clientes pueden recibir alertas sobre las asignaciones realizadas fuera de PIM, ya sea
directamente en Azure Portal o también por correo electrónico. Para la versión
preliminar pública actual, se realiza un seguimiento de las asignaciones en el nivel de
suscripción. Para más información, consulte Configuración de alertas de seguridad para
roles de Azure en Privileged Identity Management.
Disponibilidad general: ya está disponible el Pase de

acceso temporal
El Pase de acceso temporal (TAP) ahora está disponible con carácter general. Se puede
usar TAP para registrar de forma segura métodos sin contraseña, como el inicio de
sesión telefónico, métodos resistentes a la suplantación de identidad (FIDO2) e incluso
ayudar en la incorporación de Windows (AADJ y WHFB). TAP también facilita la
recuperación cuando un usuario ha perdido u olvidado sus métodos de autenticación
sólida y necesita iniciar sesión para registrar nuevos métodos de autenticación. Para más
información, consulte Configuración de un pase de acceso temporal en Azure AD para
registrar métodos de autenticación sin contraseña.
Versión preliminar pública de la compatibilidad con

grupos dinámicos para MemberOf
Cree grupos "anidados" con grupos dinámicos de Azure AD. Esta característica permite
crear grupos de seguridad dinámicos de Azure AD y grupos de Microsoft 365 basados
en otros grupos. Por ejemplo, ahora puede crear el grupo dinámico A con miembros del
grupo X y el grupo Y. Para más información, consulte Pasos para crear un grupo
dinámico memberOf.
de aplicaciones de Azure AD: junio de 2022
En junio de 2022, hemos añadido las siguientes 22 nuevas aplicaciones en nuestra

Leadcamp Mailer , PULCE , Hive Learning, Planview LeanKit, Javelo, きょうしつでビス

ケット,Agile Provisioning , xCarrier®, Skillcast, JTRA , InnerSpace inTELLO , Seculio,
XplicitTrust Partner Console , Veracity Single-Sign On , Guardium Data Protection,
IntellicureEHR v7 , BMIS - Battery Management Information System, Finbiosoft
Cloud , Standard for Success K-12, E2open LSP, TVU Service, S4 - Digitsec.

Para incluir su aplicación en la galería de aplicaciones de Azure AD, consulte los detalles
aquí: https://aka.ms/AzureADAppRequest
Disponibilidad general: protección contra la omisión de la

autenticación multifactor de Azure AD en la nube cuando
se federa con Azure AD

Versión preliminar pública: nueva lista Todos los usuarios

de Azure Portal e interfaz de usuario del perfil de usuario
Estamos mejorando la lista Todos los usuarios y el perfil de usuario en Azure Portal para
facilitar la búsqueda y administración de los usuarios. Estas mejoras incluyen:
Lista Todos los usuarios:
Desplazamiento infinito (sí, sin "Cargar más")

Se pueden agregar más propiedades de usuario como columnas y filtrar por ellas.
Las columnas se pueden reordenar mediante arrastrar y colocar.
Las columnas predeterminadas que se muestran y su orden se pueden administrar
mediante el selector de columnas.
Capacidad de copiar y compartir la vista actual
Perfil de usuario:
Nueva página de información general que muestra información (es decir,

pertenencias a grupos, cuenta habilitada, compatible con MFA, usuario de riesgo,
etc.)
Nueva pestaña de supervisión
Se pueden ver y editar más propiedades de usuario en la pestaña de propiedades.
Para más información, consulte Mejoras en la administración de usuarios en Azure

Active Directory.
Disponibilidad general: se admiten más propiedades de

dispositivo para los grupos dinámicos de dispositivos
Ahora puede crear o actualizar grupos dinámicos de dispositivos mediante las

siguientes propiedades:
deviceManagementAppId
deviceTrustType
extensionAttribute1-15
profileType
Para más información sobre cómo usar esta característica, consulte Reglas de
pertenencia dinámica a grupos de Azure Active Directory.
Comentarios

Archivo de Novedades de las nubes
soberanas de Azure
Artículo • 25/10/2023
El artículo principal de notas de la versión de las novedades de las nubes soberanas

contiene las actualizaciones de los últimos seis meses, mientras que este artículo
contiene toda la información más antigua.
Diciembre de 2022
Disponibilidad general: acceso condicional basado en

riesgos para identidades de carga de trabajo
Los clientes ahora pueden aportar una de las formas de control de acceso más eficaces
del sector a las identidades de carga de trabajo. El acceso condicional admite directivas
basadas en riesgos para identidades de carga de trabajo. Las organizaciones pueden
bloquear los intentos de inicio de sesión cuando Identity Protection detecta aplicaciones
o servicios en peligro. Para obtener más información, consulte Creación de una directiva
de acceso condicional basada en riesgos.
Disponibilidad general: API para recuperar entidades de

servicio eliminadas accidentalmente
Restaure una aplicación, un grupo, servicePrincipal, una unidad administrativa o un

objeto de usuario eliminados recientemente. Si un elemento se eliminó
accidentalmente, puede restaurar completamente el elemento. Esto no es aplicable a los
grupos de seguridad, que se eliminan permanentemente. Un elemento eliminado
recientemente permanece disponible durante un máximo de 30 días. Después de
30 días, ese usuario se eliminará definitivamente. Para más información, consulte Tipo
de recurso servicePrincipal.
Disponibilidad general: uso del lanzamiento
preconfigurado para probar la autenticación basada en
certificados (CBA)

Connect. Para más información, vea Migración a la autenticación en la nube mediante
un lanzamiento por fases.
Noviembre de 2022
Disponibilidad general: implementación de confianza de

Kerberos en la nube y Windows Hello para empresas

Connect. Para más información, consulte: Implementación de confianza de Kerberos en
la nube híbrida.
Disponibilidad general: generador de expresiones con el

La eliminación accidental de usuarios en las aplicaciones o en el directorio local podría

ser desastrosa. Nos complace anunciar la disponibilidad general de la funcionalidad de
prevención de eliminaciones accidentales. Cuando un trabajo de aprovisionamiento
pudiera provocar un pico en las eliminaciones, primero se pausará y le proporcionará
visibilidad de las posibles eliminaciones. Después, puede aceptar o rechazar las
eliminaciones y disponer de tiempo para actualizar el ámbito del trabajo, si es necesario.
Para más información, consulte Descripción del funcionamiento del generador de
expresiones con el aprovisionamiento de aplicaciones.
Disponibilidad general: la escritura diferida de SSPR ya

está disponible para bosques desconectados mediante
Azure AD Connect Cloud Sync
Tipo: Característica nueva Categoría del servicio: Azure AD Connect Cloud Sync
Capacidad de producto: administración del ciclo de vida de la identidad
La escritura diferida de contraseñas en Azure AD Connect Cloud Sync ahora proporciona

a los clientes la capacidad de sincronizar los cambios de contraseña de Azure AD
realizados en la nube a un directorio local en tiempo real. Esto se puede lograr mediante
el agente ligero de aprovisionamiento en la nube de Azure AD. Para más información,
consulte Tutorial: Habilitación de la escritura diferida del autoservicio de
restablecimiento de contraseña de sincronización en la nube en un entorno local.
Disponibilidad general: evitar eliminaciones accidentales

La eliminación accidental de usuarios en cualquier sistema podría ser desastrosa. Nos

complace anunciar la disponibilidad general de la funcionalidad de prevención de
eliminaciones accidentales como parte del servicio de aprovisionamiento de Azure AD.
Cuando el número de eliminaciones que se van a procesar en un único ciclo de
aprovisionamiento aumenta por encima de un umbral definido por el cliente, el servicio
de aprovisionamiento de Azure AD se detiene. Además, esta acción le proporciona
visibilidad sobre las posibles eliminaciones y le permite aceptarlas o rechazarlas. Esta
funcionalidad ha estado disponible históricamente para Azure AD Connect y Azure AD
Connect Cloud Sync. Ahora está disponible en los distintos flujos de aprovisionamiento,
incluido el aprovisionamiento controlado por RR. HH. y el aprovisionamiento de
aplicaciones.
Para más información, consulte Habilitación de la prevención de eliminaciones

accidentales en el servicio de aprovisionamiento de Azure AD.
Disponibilidad general: creación de un grupo en la

unidad administrativa
Los administradores de grupos y otros roles cuyo ámbito es una unidad administrativa
ahora pueden crear grupos dentro de la unidad administrativa. Anteriormente, la
creación de un nuevo grupo en la unidad administrativa requería un proceso de dos
pasos para crear primero el grupo y, después, agregar el grupo a la unidad
administrativa. El segundo paso requiere un administrador de roles con privilegios o un
administrador global. Ahora, cualquier persona con roles adecuados con el ámbito de la
unidad administrativa puede crear grupos directamente en una unidad administrativa y
esto ya no requiere un rol de administrador con privilegios más elevados. Para más
información, consulte: Agregar usuarios, grupos o dispositivos a una unidad
administrativa.

Para evitar aprobaciones accidentales de notificaciones, los administradores pueden

requerir a los usuarios que escriban el número que se muestra en la pantalla de inicio de
sesión al aprobar una notificación de MFA en la aplicación de Microsoft Authenticator.
También hemos actualizado la experiencia de usuario de administración de Azure Portal
y las API de Microsoft Graph para facilitar a los clientes la administración de
implementaciones de características de la aplicación Authenticator. Como parte de esta
actualización, también hemos agregado la capacidad altamente solicitada para que los
administradores excluyan grupos de usuarios de cada característica.
La característica de coincidencia de números aumenta considerablemente la posición de
seguridad de la aplicación Microsoft Authenticator y protege a las organizaciones frente
a ataques de fatiga de MFA. Animamos encarecidamente a nuestros clientes a adoptar
esta característica aplicando los controles de lanzamiento que hemos creado. La
coincidencia de números comenzará a habilitarse para todos los usuarios de la
aplicación Microsoft Authenticator a partir del 27 de febrero de 2023.

autenticación multifactor (MFA): directiva de métodos de autenticación.
Disponibilidad general: contexto adicional en

Reduzca las aprobaciones accidentales mostrando el contexto adicional a los usuarios

en las notificaciones de la aplicación Microsoft Authenticator. Los clientes pueden
mejorar las notificaciones con lo siguiente:
Contexto de aplicación: esta característica mostrará a los usuarios en qué

aplicación inician sesión.
Contexto de ubicación geográfica: esta característica mostrará a los usuarios su
ubicación de inicio de sesión en función de la dirección IP del dispositivo en el que
inician sesión.
La característica está disponible para las notificaciones de inicio de sesión telefónico sin
contraseña y MFA, y aumenta considerablemente la posición de seguridad de la
aplicación Microsoft Authenticator. También hemos actualizado la experiencia de
usuario de administración de Azure Portal y las API de Microsoft Graph para facilitar a
los clientes la administración de implementaciones de características de la aplicación
Authenticator. Como parte de esta actualización, también hemos agregado la capacidad
altamente solicitada para que los administradores excluyan grupos de usuarios de
determinadas características.
Recomendamos encarecidamente a nuestros clientes que adopten estas características

de seguridad críticas para reducir las aprobaciones accidentales de las notificaciones de
Authenticator por parte de los usuarios finales.
Para más información, consulte: Uso de contexto adicional en notificaciones de

Microsoft Authenticator: directiva de métodos de autenticación.
Octubre de 2022
Disponibilidad general: autenticación basada en

certificados de Azure AD
La autenticación basada en certificados (CBA) de Azure AD habilita a los clientes para

permitir o requerir que los usuarios se autentiquen con certificados X.509 en sus
instancias de Azure Active Directory (Azure AD) para aplicaciones e inicio de sesión en el
explorador. Esta característica permite a los clientes adoptar una autenticación
resistente a la suplantación de identidad (phishing) y autenticarse con un certificado
X.509 en su infraestructura de clave pública (PKI) empresarial. Para obtener más
información, consulte Información general sobre la autenticación basada en certificados
de Azure AD (versión preliminar).
Disponibilidad general: recuperación de BitLocker

auditada
Funcionalidad del producto: Administración del ciclo de vida de dispositivos
Las claves de BitLocker son elementos de seguridad confidenciales. La recuperación de

BitLocker auditada garantiza que, cuando se lean las claves de BitLocker, se genere un
registro de auditoría para que pueda efectuar un seguimiento de los usuarios que
acceden a esta información para dispositivos específicos. Para obtener más información,
consulte Visualización o copia de claves de BitLocker.
Disponibilidad general: se admiten más propiedades de

dispositivo para los grupos dinámicos de dispositivos
Ahora puede crear o actualizar grupos dinámicos de dispositivos mediante las

siguientes propiedades:
deviceManagementAppId
deviceTrustType
extensionAttribute1-15
profileType
Para obtener más información sobre cómo usar esta característica, consulte Reglas de
pertenencia dinámica a grupos de dispositivos.
Septiembre de 2022
Disponibilidad general: ya no hay más espera,

aprovisione grupos a petición en las aplicaciones SaaS.
Elija un grupo de hasta cinco miembros y aprovisiónelos en las aplicaciones de terceros

en segundos. Comience a probar, solucionar problemas y aprovisionar aplicaciones que
no son de Microsoft, como ServiceNow, ZScaler y Adobe. Para obtener más información,
consulte Aprovisionamiento a petición en Azure Active Directory.
Disponibilidad general: información general de los

dispositivos
Funcionalidad del producto: Administración del ciclo de vida de dispositivos
La nueva sección de información general de los dispositivos que se incluye en

Azure Portal proporciona información significativa y procesable sobre los dispositivos
del inquilino.
En la información general de los dispositivos, puede ver el número total de dispositivos,

dispositivos obsoletos, dispositivos no conformes y dispositivos no administrados.
También encontrará vínculos a Intune, al acceso condicional, a las claves de BitLocker y a
la supervisión básica. Para obtener más información, consulte Administración de
identidades de dispositivos con Azure Portal.
Disponibilidad general: compatibilidad con Linux como
plataforma de dispositivo en el acceso condicional de
Azure AD
Se ha agregado compatibilidad con la plataforma de dispositivo Linux en el acceso

condicional de Azure AD.
Un administrador ahora puede requerir que un usuario esté en un dispositivo Linux

compatible y administrado por Intune para iniciar sesión en un servicio seleccionado
(por ejemplo, "todas las aplicaciones en la nube" u "Office 365"). Para obtener más
información, consulte Plataformas de dispositivo.
Disponibilidad general: configuración del acceso entre

inquilinos para la colaboración B2B
La configuración del acceso entre inquilinos le permite controlar cómo colaboran los
usuarios de la organización con miembros de organizaciones de Azure AD externas.
Ahora tendrá una configuración detallada del control del acceso entrante y saliente que
funciona según la organización, el usuario, el grupo y la aplicación. Esta configuración
también permite confiar en las notificaciones de seguridad de organizaciones de
Azure AD externas, como la autenticación multifactor (MFA), el cumplimiento de los
dispositivos y los dispositivos unidos a Azure AD híbrido. Para más información, consulte
Información general: Acceso entre inquilinos con Azure AD External Identities.
Disponibilidad general: autenticación compatible con

ubicación mediante GPS desde la aplicación
Authenticator
Los administradores ahora pueden aplicar directivas de acceso condicional basadas en
la ubicación GPS desde Authenticator. Para obtener más información, consulte
Ubicaciones con nombre.
Disponibilidad general: en "Mis inicios de sesión" ahora

se admiten el cambio de organización y la navegación
mejorada
Hemos mejorado la experiencia de "Mis inicios de sesión" y ahora admiten el cambio de

organización. Los usuarios que son invitados en otros inquilinos ya pueden cambiar
fácilmente e iniciar sesión para administrar su información de seguridad y ver la
actividad. Se han realizado más mejoras para que sea más fácil cambiar de "Mis inicios
de sesión" directamente a otros portales de usuario final, como "Mi cuenta", "Mis
aplicaciones", "Mis grupos" y "Mi acceso". Para obtener más información, consulte
Registros de inicios de sesión en Azure Active Directory (versión preliminar).
Disponibilidad general: ya está disponible el Pase de

acceso temporal
El Pase de acceso temporal (TAP) ahora está disponible con carácter general. Se puede
usar TAP para registrar de forma segura métodos sin contraseña, como el inicio de
sesión telefónico, métodos resistentes a la suplantación de identidad (FIDO2) e incluso
ayudar en la incorporación de Windows (AADJ y WHFB). TAP también facilita la
recuperación cuando un usuario ha perdido u olvidado sus métodos de autenticación
sólida y necesita iniciar sesión para registrar nuevos métodos de autenticación. Para más
información, consulte Configuración de un pase de acceso temporal en Azure AD para
registrar métodos de autenticación sin contraseña.
Disponibilidad general: capacidad de forzar la

reautenticación en la inscripción en Intune, inicios de
sesión de riesgo y usuarios de riesgo
En algunos escenarios, es posible que los clientes quieran requerir una autenticación
nueva cada vez que un usuario vaya a realizar acciones concretas. La frecuencia de inicio
de sesión "Siempre" exige que un usuario se vuelva a autenticar durante la inscripción
de dispositivos de Intune, el cambio de contraseña para usuarios de riesgo y los inicios
de sesión de riesgo.
Más información: Configuración de la administración de sesiones de autenticación.
Disponibilidad general: inicios de sesión de riesgo no

interactivos
Identity Protection ahora emite riesgo (como propiedades de inicio de sesión

desconocidas) en los inicios de sesión no interactivos. Los administradores pueden
encontrar estos inicios de sesión de riesgo no interactivos mediante el filtro "Tipo de
inicio de sesión" en el informe denominado "Inicios de sesión de riesgo". Para obtener
más información, consulte Procedimiento para investigar los riesgos.

carga de trabajo con registros de aplicaciones ya está
disponible
Entra Workload Identity Federation permite a los desarrolladores intercambiar tokens

emitidos por otro proveedor de identidades con tokens de Azure AD, sin necesidad de
secretos. Elimina la necesidad de almacenar y administrar las credenciales dentro del
código o los almacenes de secretos para acceder a recursos protegidos de Azure AD,
como Azure y Microsoft Graph. Al quitar los secretos necesarios para acceder a los
recursos protegidos de Azure AD, la federación de identidades de carga de trabajo
puede mejorar la posición de seguridad de la organización. Esta característica también
reduce la carga de la administración de secretos y minimiza el riesgo de tiempo de
inactividad del servicio debido a credenciales que han expirado.
Para obtener más información sobre esta funcionalidad y escenarios admitidos, consulte
Disponibilidad general: Evaluación continua de acceso

La evaluación continua de acceso (CAE) permite analizar en tiempo real las directivas y
eventos de seguridad críticos. Esto incluye la deshabilitación de cuentas, el
restablecimiento de contraseñas y el cambio de ubicación. Para obtener más
información, consulte: Evaluación continua del acceso.
Versión preliminar pública: protección contra la omisión

de la autenticación multifactor de Azure AD en la nube
cuando se federa con Azure AD

Preguntas frecuentes sobre
Microsoft Entra ID
Microsoft Entra ID es una completa solución de identidad como servicio (IDaaS) que
abarca todos los aspectos de la identidad, la administración de acceso y la seguridad.
Para más información, vea ¿Qué es Microsoft Entra ID?.
Acceso a Azure y Microsoft Entra ID

¿Por qué aparece el mensaje "No se encontraron
suscripciones" cuando intento acceder al centro
de administración de Microsoft Entra o al portal
de Azure?
Para acceder al centro de administración de Microsoft Entra o al Azure Portal, cada
usuario necesita permisos con una suscripción. Si no tiene una suscripción de Microsoft
365 o Microsoft Entra de pago, deberá activar una cuenta de Azure gratuita o una
suscripción de pago.
Cómo se asocian las suscripciones a Azure con Microsoft Entra ID
¿Cuál es la relación entre Microsoft Entra ID,

Microsoft 365 y Azure?
Microsoft Entra ID ofrece funcionalidades de acceso e identidad comunes a todos los
servicios web. Tanto si usa Microsoft 365 como Microsoft Azure, Intune u otros servicios,
ya está utilizando Microsoft Entra ID para habilitar el inicio de sesión y la administración
del acceso de todos estos servicios.
Todos los usuarios que están configurados para usar servicios web se definen como
cuentas de usuario en una o varias instancias de Microsoft Entra. Puede configurar gratis
en estas cuentas las funcionalidades de Microsoft Entra, como el acceso a aplicaciones
en la nube.
Los servicios de pago de Microsoft Entra, como Enterprise Mobility + Security,
complementan otros servicios web como Microsoft 365 y Microsoft Azure con
completas soluciones de administración y seguridad para empresas.
¿Cuáles son las diferencias entre el propietario y

el administrador global?
De forma predeterminada, a la persona que se suscribe a una suscripción a Azure se le
asigna el rol de propietario para los recursos de Azure. Un propietario puede usar una
cuenta de Microsoft o una cuenta profesional o educativa del directorio al que está
asociada la suscripción a Azure. Este rol tiene autorización para administrar servicios en
Azure Portal.
Si otros usuarios necesitan iniciar sesión y acceder a los servicios con la misma
suscripción, puede asignarles el rol integrado adecuado. Para más información, consulte
Asignación de roles de Azure mediante Azure Portal.
De forma predeterminada, a la persona que se suscribe a una suscripción a Azure se le

asigna el rol de administrador global para el directorio. El administrador global tiene
acceso a todas las características del directorio de Microsoft Entra. Microsoft Entra ID
tiene un conjunto diferente de roles de administrador para administrar las características
relacionadas con la identidad y el directorio. Estos administradores tendrán acceso a
varias características de Azure Portal. El rol de administrador determina qué puede
hacer, como crear o editar usuarios, asignar roles administrativos a otros, restablecer
contraseñas de usuario, administrar licencias de usuario o administrar dominios. Para
obtener más información sobre Microsoft Entra administradores de directorios y sus
roles, vea Asignación de un usuario a roles de administrador en Microsoft Entra ID. y
Asignación de roles de administrador en Microsoft Entra ID.
Además, los servicios de pago de Microsoft Entra, como Enterprise Mobility + Security,
complementan otros servicios web como Microsoft 365 y Microsoft Azure con
completas soluciones de administración y seguridad para empresas.
¿Existe un informe que muestre cuándo

expirarán mis licencias de usuario de Microsoft
Entra?
No. Esto no está disponible actualmente.
¿Cómo puedo permitir direcciones URL del
centro de administración de Microsoft Entra en
mi firewall o servidor proxy?
Para optimizar la conectividad entre la red y el centro de administración de Microsoft
Entra y sus servicios, se recomienda agregar direcciones URL concretas del centro de
administración de Microsoft Entra a la lista de permitidos. De este modo puede mejorar
el rendimiento y la conectividad entre la red de área local o de área extensa. Con
frecuencia, los administradores de red implementan servidores proxy, firewalls u otros
dispositivos, que pueden ayudar con la seguridad y a tener control sobre cómo los
usuarios acceden a Internet. Las reglas diseñadas para proteger a los usuarios a veces
pueden bloquear o ralentizar el tráfico de Internet empresarial legítimo. Este tráfico
incluye comunicaciones entre el usuario y el centro de administración Microsoft Entra
con las direcciones URL enumeradas aquí.
*.entra.microsoft.com
*.entra.microsoft.us
*.entra.microsoft.scloud
*.entra.microsoft.eaglex.ic.gov
*.entra.microsoftonline.cn
Empezar a utilizar Microsoft Entra ID

híbrido
¿Cómo dejo un inquilino cuando se me agrega
como colaborador?
La información sobre cómo salir de inquilinos a los que se le agregó como colaborador
se documenta en Salir de una organización como usuario externo.
¿Cómo conecto mi directorio local a Microsoft

Entra ID?
Puede conectar el directorio local a Microsoft Entra ID mediante Microsoft Entra
Connect.
Para obtener más información, vea Integración de sus identidades locales con Microsoft
Entra ID.
¿Cómo se configura el SSO entre mi directorio
local y las aplicaciones de nube?
Solo necesita configurar el inicio de sesión único (SSO) entre su directorio local y
Microsoft Entra ID. Mientras tenga acceso a las aplicaciones en la nube mediante
Microsoft Entra ID, el servicio lleva automáticamente a los usuarios a autenticarse
correctamente con sus credenciales locales.
La implementación del SSO desde el entorno local se puede lograr fácilmente con
soluciones de federación como Active Directory Federation Services (AD FS) o
configurando la sincronización de la sincronización de hash de contraseña. Puede
implementar fácilmente ambas opciones con el asistente para configuración de
Microsoft Entra Connect
Para obtener más información, vea Integración de sus identidades locales con Microsoft
Entra ID.
¿Proporciona Microsoft Entra ID un portal de

autoservicio para usuarios en mi organización?
Sí, Microsoft Entra ID proporciona el Panel de acceso de Microsoft Entra ID para el
acceso de autoservicio y aplicación del usuario. Si es cliente de Microsoft 365,
encontrará muchas de las mismas funcionalidades en el portal de Office 365 .
Para más información, consulte Introducción al Panel de acceso .
¿Microsoft Entra ID me ayuda a administrar mi

infraestructura local?
Sí. La edición Microsoft Entra ID P1 o P2 le proporciona Microsoft Entra Connect Health.
Microsoft Entra Connect Health le ayuda a supervisar y a comprender mejor su
infraestructura de identidad local y los servicios de sincronización.
Para más información, consulte Supervisión de la infraestructura de identidad local y los

servicios de sincronización en la nube.
Administración de contraseñas
¿Puedo usar la escritura diferida de contraseñas
de Microsoft Entra sin sincronización de
contraseñas? (En este escenario, ¿se puede usar
el restablecimiento de contraseña de
autoservicio (SSPR) de Microsoft Entra con la
escritura diferida de contraseñas y no almacenar
las contraseñas en la nube?)
No es necesario sincronizar las contraseñas de Active Directory con Microsoft Entra ID
para habilitar la escritura diferida. En un entorno federado, el inicio de sesión único
(SSO) de Microsoft Entra se basa en el directorio local para autenticar al usuario. En este
caso no se necesita la contraseña local para realizar el seguimiento en Microsoft Entra
ID.
¿Cuánto se tarda en escribir una contraseña en

diferido en Active Directory local?
La escritura diferida de contraseñas funciona en tiempo real.
Para más información, consulte Introducción a la administración de contraseñas.
¿Puedo usar la escritura diferida de contraseñas

con las que administra un administrador?
Sí, si tiene la escritura diferida de contraseñas habilitada, las operaciones de contraseña
realizadas por un administrador se escriben de manera diferida en el entorno local.
Para ver más respuestas a preguntas relativas a las contraseñas, consulte Preguntas más
frecuentes sobre la administración de contraseñas.
¿Qué puedo hacer si no recuerdo mi contraseña

de Microsoft 365 o Microsoft Entra cuando
intento cambiarla?
En este tipo de situaciones, dispone de un par de opciones. Use el restablecimiento de
la contraseña de autoservicio (SSPR), si está disponible. El funcionamiento de SSPR
dependerá de cómo esté configurado. Para más información, consulte la sección ¿Cómo
funciona el portal de restablecimiento de contraseñas?
Para los usuarios de Microsoft 365, el administrador puede restablecer la contraseña

mediante los pasos que se describen en Administradores: restablecer contraseñas de
usuario .
Para las cuentas de Microsoft Entra, los administradores pueden restablecer las
contraseñas mediante uno de los siguientes procedimientos:
Restablecimiento de cuentas en Azure Portal

Uso de PowerShell
Seguridad
¿Se bloquean las cuentas después de un número
determinado de intentos erróneos o se usa una
estrategia más sofisticada?
Usamos una estrategia más sofisticada para bloquear cuentas, que se basa en la
dirección IP de la solicitud y las contraseñas escritas. El tiempo que dure el bloqueo
también aumenta en función de la probabilidad de que sea un ataque.
Algunas contraseñas (frecuentes) se rechazan

con mensajes del tipo "esta contraseña se ha
usado demasiadas veces". ¿Se refiere esto a las
contraseñas usadas en la instancia de Active
Directory actual?
Se refiere a las contraseñas que son comunes a nivel global, como las variantes de
"Contraseña" y "123456".
¿Se bloqueará una solicitud de inicio de sesión

de origen dudoso (botnets, punto de conexión
Tor) en un inquilino B2C o se requerirá un
inquilino de la edición Básica o Premium?
Tenemos una puerta de enlace que filtra las solicitudes y proporciona alguna protección
contra los botnets, y se aplica a todos los inquilinos B2C.
Acceso a las aplicaciones

¿Dónde puedo encontrar una lista de las
aplicaciones preintegradas con Microsoft Entra
ID y sus funcionalidades?
Microsoft Entra ID cuenta con más de 2 600 aplicaciones preintegradas de Microsoft,
proveedores de servicios de aplicaciones y asociados. Todas las aplicaciones
preintegradas deben ser compatibles con el inicio de sesión único (SSO). El SSO permite
utilizar las credenciales de su organización para acceder a las aplicaciones. Algunas de
las aplicaciones también admiten el aprovisionamiento y el desaprovisionamiento
automatizados.
Para ver una lista exhaustiva de las aplicaciones preintegradas, consulte Active Directory
Marketplace .
¿Qué ocurre si no encuentro la aplicación que

necesito en marketplace de Microsoft Entra?
Con Microsoft Entra ID P1 o P2, puede agregar y configurar cualquier aplicación que
desee. Según las funcionalidades de la aplicación y sus preferencias, puede configurar el
SSO y el aprovisionamiento automatizado.
Configuración del inicio de sesión único en aplicaciones que no están en la Galería

de aplicaciones de Microsoft Entra
Uso de SCIM para habilitar el aprovisionamiento automático de usuarios y grupos
del Id. de Microsoft Entra a aplicaciones
¿Cómo inician sesión los usuarios en las

aplicaciones mediante Microsoft Entra ID?
Microsoft Entra ID proporciona varias formas de que los usuarios vean y accedan a sus
aplicaciones, como:
El panel de acceso de Microsoft Entra

El iniciador de la aplicación Microsoft 365
Inicio de sesión directo en aplicaciones federadas
Vínculos profundos a aplicaciones federadas, con contraseña o existentes
Para obtener más información, consulte Experiencias de usuario final para aplicaciones.
¿Cuáles son las distintas formas en que

Microsoft Entra ID permite la autenticación y el
inicio de sesión único en aplicaciones?
Microsoft Entra ID admite muchos protocolos estandarizados para la autenticación y la
autorización, como SAML 2.0, OpenID Connect, OAuth 2.0 y WS-Federation. Además,
Microsoft Entra ID admite las funcionalidades de inicio de sesión automatizado y de
almacenamiento de contraseñas para las aplicaciones que solo sean compatibles con la
autenticación basada en formularios.
Escenarios de autenticación para Microsoft Entra ID

Protocolos de autenticación de Active Directory
Inicio de sesión único para aplicaciones en Microsoft Entra ID
¿Puedo agregar aplicaciones que ejecuto de

manera local?
El proxy de aplicaciones Microsoft Entra le proporciona un acceso fácil y seguro a las
aplicaciones web locales que elija. Puede acceder a estas aplicaciones de la misma
manera que accede a sus aplicaciones de software como servicio (SaaS) en Microsoft
Entra ID. No se necesita una VPN ni cambiar la infraestructura de red.
Para más información, consulte Provisión de acceso remoto seguro a aplicaciones

locales.
¿Cómo requiero la autenticación multifactor para

usuarios con acceso a una aplicación
determinada?
Con el acceso condicional de Microsoft Entra, puede asignar una directiva de acceso
única a cada aplicación. En la directiva, puede solicitar la autenticación multifactor
siempre o solo cuando los usuarios no estén conectados a la red local.
Para obtener más información, consulte Protección del acceso a Microsoft 365 y otras
aplicaciones conectadas a Microsoft Entra ID.
¿Qué es el aprovisionamiento automático de

usuarios para aplicaciones SaaS?
Use Microsoft Entra ID para automatizar la creación, el mantenimiento y la eliminación
de identidades de usuario en muchas aplicaciones SaaS en la nube conocidas.
Para obtener más información, consulte Automatización del aprovisionamiento y

desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.
¿Puedo configurar una conexión LDAP segura

con Microsoft Entra ID?
No. Microsoft Entra ID no admite directamente el protocolo ligero de acceso a
directorios (LDAP) o LDAP seguro. Sin embargo, es posible habilitar la instancia de
Microsoft Entra Domain Services en su inquilino de Microsoft Entra con grupos de
seguridad de red configurados correctamente a través de Redes de Azure para lograr
conectividad LDAP. Para obtener más información, vea Configuración de LDAP seguro
para un dominio administrado de Microsoft Entra Domain Services
Guía de referencia de plantillas CSS
Artículo • 01/12/2023
Configurar la personalización de marca de la empresa para el proceso de inicio de

sesión de usuario proporciona una experiencia perfecta en las aplicaciones que usan
Microsoft Entra ID como servicio de administración de identidades y acceso. Use esta
guía de referencia CSS si usa la plantilla CSS como parte del proceso de
personalización de marca de la empresa.
Selectores HTML
Los siguientes estilos CSS se convierten en los estilos predeterminados para el cuerpo y
los vínculos de toda la página. Aplicación de estilos para otros vínculos o selectores CSS
de invalidación de texto.
body - Estilos para toda la página
Estilos para los vínculos:

a, a:link - Todos los vínculos
a:hover - Cuando el mouse está sobre el vínculo
a:focus - Cuando el vínculo tiene el foco
a:focus:hover - Cuando el vínculo tiene el foco y el mouse está sobre el vínculo

a:active - Cuando se hace clic en el vínculo
Selectores CSS de Microsoft Entra

Use los siguientes selectores CSS para configurar los detalles de la experiencia de inicio
de sesión.
.ext-background-image - Contenedor que incluye la imagen de fondo en la
plantilla de lightbox predeterminada
.ext-header - Encabezado en la parte superior del contenedor
.ext-header-logo - Logotipo de encabezado en la parte superior del contenedor

.ext-middle - Estilo para el fondo de pantalla completa que alinea el cuadro de
inicio de sesión verticalmente hacia el medio y horizontalmente hacia el centro
.ext-vertical-split-main-section - Estilo para el contenedor del fondo de
pantalla parcial en la plantilla de división vertical que contiene un cuadro de inicio

de sesión y un fondo (este estilo también se conoce como la plantilla de Servicios
de federación de Active Directory (AD FS)).
.ext-vertical-split-background-image-container - Fondo del cuadro de inicio de
sesión en la plantilla de división vertical/ADFS
.ext-sign-in-box - Contenedor de cuadro de inicio de sesión
.ext-title - Texto del título

.ext-subtitle - Texto de subtítulo
Estilos para los botones principales:

.ext-button.ext-primary - Estilo predeterminado del botón principal
.ext-button.ext-primary:hover - Cuando el mouse está sobre el botón
.ext-button.ext-primary:focus - Cuando el botón tiene el foco

.ext-button.ext-primary:focus:hover - Cuando el botón tiene el foco y el
mouse está sobre el botón

.ext-button.ext-primary:active - Cuando se hace clic en el botón
Estilos para los botones secundarios:
.ext-button.ext-secondary - Botones secundarios
.ext-button.ext-secondary:hover - Cuando el mouse está sobre el botón
.ext-button.ext-secondary:focus Cuando el botón tiene el foco
.ext-button.ext-secondary:focus:hover - Cuando el botón tiene el foco y el
mouse está sobre el botón

.ext-button.ext-secondary:active - Cuando se hace clic en el botón
.ext-error - Texto de error
Estilos para cuadros de texto:

.ext-input.ext-text-box - Cuadros de texto
.ext-input.ext-text-box.ext-has-error - Cuando hay un error de validación
asociado al cuadro de texto

.ext-input.ext-text-box:hover - Cuando el mouse está sobre el cuadro de
texto
.ext-input.ext-text-box:focus - Cuando el cuadro de texto tiene el foco
.ext-input.ext-text-box:focus:hover - Cuando el cuadro de texto tiene el foco
y el mouse está sobre el cuadro de texto
.ext-boilerplate-text - Texto de mensaje personalizado en la parte inferior del
cuadro de inicio de sesión
.ext-promoted-fed-cred-box - Cuadro de texto de opciones de inicio de sesión

Estilos para el pie de página:
.ext-footer - Área de pie de página en la parte inferior de la página
.ext-footer-links - Área de vínculos en el pie de página en la parte inferior de
la página
.ext-footer-item - Vincular elementos (como "Términos de uso" o "Cookies de
privacidad &") en el pie de página en la parte inferior de la página

.ext-debug-item - Depurar puntos suspensivos de detalles en el pie de página
en la parte inferior de la página

Residencia de datos y Microsoft Entra ID
Artículo • 03/11/2023
Microsoft Entra ID es una solución de identidad como servicio (IDaaS) que almacena y
administra la identidad y el acceso a los datos en la nube. Puede usar los datos para
habilitar y administrar el acceso a los servicios en la nube, lograr escenarios de
movilidad y proteger la organización. Una instancia del servicio Microsoft Entra, llamada
un inquilino, es un conjunto aislado de datos de objetos de directorio que el cliente
aprovisiona y posee.
Almacén principal
El almacén principal se compone de inquilinos almacenados en unidades de escalado,
cada una de las cuales contiene varios inquilinos. Las operaciones de actualización o
recuperación de datos en el almacén principal de Microsoft Entra están relacionadas con
un solo inquilino en función del token de seguridad del usuario, con lo que se logra el
aislamiento del inquilino. Las unidades de escalado se asignan a una ubicación
geográfica. Cada ubicación geográfica usa dos o más regiones de Azure para almacenar
los datos. En cada región de Azure, los datos de una unidad de escalado se replican en
los centros de datos físicos para lograr resistencia y rendimiento.
Más información: unidades de escalado de almacén principal de Microsoft Entra
Microsoft Entra ID está disponible en las siguientes nubes:
Public
China
Gobierno de EE. UU.
En la nube pública, se le pedirá que seleccione una ubicación en el momento de la

creación del inquilino (por ejemplo, al registrarse para Office 365 o Azure, o al crear más
instancias de Microsoft Entra mediante Azure Portal). Microsoft Entra ID asigna la
selección a una ubicación geográfica y una sola unidad de escalado. La ubicación del
inquilino no se puede cambiar después de establecerla.
La ubicación seleccionada durante la creación del inquilino se asignará a una de las

siguientes ubicaciones geográficas:
Australia
Asia/Pacífico
Europa, Oriente Medio y África (EMEA)
Japón
Norteamérica
Todo el mundo
Microsoft Entra ID controla los datos del almacén principal en función de la facilidad de
uso, el rendimiento, la residencia y otros requisitos basados en la ubicación geográfica.
Microsoft Entra ID replica cada inquilino mediante su unidad de escalado, entre centros
de datos, en función de los criterios siguientes:
Datos del almacén principal de Microsoft Entra almacenados en los centros de

datos más cercanos a la ubicación de residencia del inquilino, para reducir la
latencia y proporcionar tiempos de inicio de sesión de usuario rápidos
Datos del almacén principal de Microsoft Entra almacenados en centros de datos
aislados geográficamente para garantizar la disponibilidad durante eventos
catastróficos imprevistos que afectan a un único centro de datos
Cumplimiento de la residencia de datos, u otros requisitos, para clientes y
ubicaciones geográficas específicos
Modelos de soluciones en la nube de

Microsoft Entra
Use la tabla siguiente para ver los modelos de soluciones en la nube de Microsoft Entra
en función de la infraestructura, la ubicación de los datos y la soberanía operativa.
Modelo Ubicaciones Ubicación de los Personal de Colocar un

datos operaciones inquilino en este
modelo
Ubicación Norteamérica, En reposo, en la Operado por Cree el inquilino

geográfica EMEA, Japón, ubicación de Microsoft. El personal en la experiencia
pública Asia/Pacífico destino. del centro de datos de de registro. Elija la
Excepciones por Microsoft debe ubicación de la
servicio o superar una residencia de
característica comprobación de datos.
antecedentes.
Público en Todo el mundo Todas las Operado por Creación de

todo el ubicaciones Microsoft. El personal inquilinos
mundo del centro de datos de disponible a través
Microsoft debe del canal de
superar una soporte técnico
comprobación de oficial y sujeto al
antecedentes. criterio de
Microsoft.
Modelo Ubicaciones Ubicación de los Personal de Colocar un
datos operaciones inquilino en este
modelo
Nubes Gobierno de En reposo, en la Operado por un Cada instancia de

soberanas o EE. UU., China ubicación de custodio de datos (1). nube nacional
nacionales destino. No hay El personal es tiene una
excepciones. seleccionado de experiencia de
acuerdo con los registro.
requisitos.
Referencias de la tabla:
(1) Custodios de datos: Microsoft opera los centros de datos de la nube del gobierno
de EE. UU. En China, Microsoft Entra ID se opera mediante una asociación con 21Vianet.
Más información:
Almacenamiento y procesamiento de datos de clientes europeos en

Microsoft Entra ID
¿Cuál es la arquitectura de Microsoft Entra?
Busque la geografía de Azure que se ajuste a sus necesidades
Microsoft Trust Center
Residencia de datos en componentes de

Microsoft Entra
Más información: Microsoft Entra ID, información general del producto
７ Nota
Para comprender la ubicación de los datos del servicio, como Exchange Online o
Skype Empresarial, consulte la documentación del servicio correspondiente.
Componentes y ubicación de almacenamiento de datos

de Microsoft Entra
Componente de Descripción Ubicación de
Microsoft Entra almacenamiento
de datos
Servicio de Este servicio no tiene estado. Los datos para la En ubicación

autenticación de autenticación están en el almacén principal de geográfica
Microsoft Entra Microsoft Entra. No tiene datos de directorio. El
servicio de autenticación de Microsoft Entra genera
datos de registro en Azure Storage y en el centro
de datos en el que se ejecuta la instancia de
servicio. Cuando los usuarios intentan autenticarse
mediante Microsoft Entra ID, se les enruta a una
instancia del centro de datos más cercano
geográficamente que forma parte de su región
lógica de Microsoft Entra.
Servicios de Experiencias de usuario y de administración: la En ubicación

Administración de experiencia de administración de Microsoft Entra geográfica
identidad y acceso no tiene estado ni datos de directorio. Genera
(IAM) de datos de registro y uso almacenados en Azure Table
Microsoft Entra Storage. La experiencia del usuario es como en
Azure Portal.
Servicios de informes y lógica de negocios de la
administración de identidades: estos servicios
tienen almacenamiento de datos en caché local de
grupos y usuarios. Los servicios generan datos de
registro y uso que van a Azure Table Storage, Azure
SQL y en los servicios de informes de Microsoft
Elastic Search.
Autenticación Para más información sobre el almacenamiento y la Norteamérica

multifactor de retención de datos de las operaciones de MFA,
Microsoft Entra consulte Residencia de datos y datos de clientes en
la autenticación multifactor de Microsoft Entra. La
registra el nombre principal de usuario, los
números de teléfono de las llamadas de voz y los
desafíos de SMS. En el caso de los desafíos de los
modos de aplicación móvil, el servicio registra el
UPN y un token de dispositivo único. Los centros
de datos de la región de Norteamérica almacenan
la autenticación multifactor de Microsoft Entra y los
registros que crea.
Servicios de dominio Consulte las regiones en las que está publicado En ubicación
de Microsoft Entra Microsoft Entra Domain Services en Productos geográfica
disponibles por región . El servicio contiene
metadatos del sistema globalmente en tablas de
Azure y no contiene datos personales.
de datos
Microsoft Entra Microsoft Entra Connect Health genera alertas e En ubicación

Connect Health informes en Azure Table Storage y Blob Storage. geográfica
Pertenencia dinámica Azure Table Storage contiene las definiciones de las En ubicación
a grupos de reglas de pertenencia dinámica. geográfica
Microsoft Entra,
administración de
grupos de
autoservicio de
Microsoft Entra
Proxy de aplicación El proxy de aplicación de Microsoft Entra almacena En ubicación

de Microsoft Entra metadatos sobre el inquilino, las máquinas del geográfica
conector y los datos de configuración en Azure
SQL.
Escritura diferida de Durante la configuración inicial, Microsoft Entra En ubicación

contraseñas de Connect genera un par de claves asimétricas geográfica
Microsoft Entra en mediante el sistema criptográfico Rivest-Shamir-
Microsoft Entra Adleman (RSA). A continuación, envía la clave
Connect pública al servicio en la nube de autoservicio de
restablecimiento de contraseña (SSPR), que realiza
dos operaciones:
1. Crea dos retransmisiones de Azure Service Bus

para que el servicio local de Microsoft Entra
Connect se comunique de forma segura con el
servicio SSPR.
2. Genera una clave Estándar de cifrado avanzado
(AES), K1.
Las ubicaciones de retransmisión de Azure Service

Bus, las claves del agente de escucha
correspondientes y una copia de la clave AES (K1)
van a Microsoft Entra Connect en la respuesta. Las
comunicaciones futuras entre SSPR y
Microsoft Entra Connect se producen a través del
nuevo canal de Service Bus y se cifran mediante
SSL.
Los nuevos restablecimientos de contraseña,
enviados durante la operación, se cifran con la clave
pública RSA generada por el cliente durante la
incorporación. La clave privada de la máquina de
Microsoft Entra Connect los descifra, lo que impide
que los subsistemas de la canalización accedan a la
contraseña en texto no cifrado.
de datos
La clave AES cifra la carga del mensaje (contraseñas

cifradas, más datos y metadatos), lo que impide
que los atacantes malintencionados contra Service
Bus manipulen la carga, incluso con acceso total al
canal interno de Service Bus.
Para la escritura diferida de contraseñas,
Microsoft Entra Connect necesita claves y datos:
- La clave AES (K1) que cifra la carga de

restablecimiento o las solicitudes de cambio desde
el servicio SSPR hacia Microsoft Entra Connect,
mediante la canalización de ServiceBus
- La clave privada, del par de claves asimétricas que
descifra las contraseñas, en cargas de solicitud de
restablecimiento o cambio
- Las claves del cliente de escucha de ServiceBus
La clave AES (K1) y la clave asimétrica se rotan

como mínimo cada 180 días, una duración que
puede cambiar durante determinados eventos de
configuración de incorporación o retirada. Un
ejemplo es un cliente que deshabilita y vuelve a
habilitar la escritura diferida de contraseñas, lo que
se puede producir en la actualización de
componentes durante el servicio y el
mantenimiento.
Las claves de escritura diferida y los datos
almacenados en la base de datos de
Microsoft Entra Connect se cifran mediante
interfaces de programación de aplicaciones de
protección de datos (DPAPI) (CALG_AES_256). El
resultado es la clave de cifrado de ADSync maestra
almacenada en el almacén de credenciales de
Windows en el contexto de la cuenta de servicio
local de ADSync. El almacén de credenciales de
Windows proporciona el nuevo cifrado automático
de secretos a medida que cambia la contraseña de
la cuenta de servicio. Al restablecer la contraseña
de la cuenta de servicio, se invalidan los secretos en
el almacén de credenciales de Windows de la
cuenta de servicio. Los cambios manuales en una
nueva cuenta de servicio podrían invalidar los
secretos almacenados.
De manera predeterminada, el servicio ADSync se
ejecuta en el contexto de una cuenta de servicio
virtual. La cuenta se puede personalizar durante la
de datos
instalación en una cuenta de servicio de dominio

con privilegios mínimos, una cuenta de servicio
administrada (MSA) o una cuenta de servicio
administrada de grupo (gMSA). Aunque las cuentas
de servicio virtuales y administradas tienen rotación
automática de contraseñas, los clientes administran
la rotación de contraseñas de una cuenta de
dominio aprovisionada personalizada. Como se ha
mencionado, al restablecer la contraseña, se
pierden los secretos almacenados.
Servicio de registro El servicio de Registro de dispositivos de En ubicación

de dispositivos de Microsoft Entra tiene la administración del ciclo de geográfica
Microsoft Entra vida del equipo y del dispositivo en el directorio, lo
que permite escenarios como el acceso condicional
de estado del dispositivo y la administración de
dispositivos móviles.
Aprovisionamiento de El aprovisionamiento de Microsoft Entra crea, quita En ubicación

Microsoft Entra y actualiza usuarios de sistemas, como las geográfica
aplicaciones de software como servicio (SaaS).
Administra la creación de usuarios en
Microsoft Entra ID y en AD local desde orígenes de
RR. HH. en la nube, como Workday. El servicio
almacena su configuración en una instancia de
Azure Cosmos DB, que almacena los datos de
pertenencia a grupos del directorio de usuario que
mantiene. Cosmos DB replica la base de datos en
varios centros de datos de la misma región que el
inquilino, lo que aísla los datos, según el modelo de
la solución en la nube de Microsoft Entra. La
replicación crea alta disponibilidad y varios puntos
de conexión de lectura y escritura. Cosmos DB tiene
cifrado en la información de la base de datos y las
claves de cifrado se almacenan en el
almacenamiento de secretos de Microsoft.
Colaboración de La colaboración B2B de Microsoft Entra no tiene En ubicación

negocio a negocio datos de directorio. Los usuarios y otros objetos de geográfica
(B2B) de directorio de una relación B2B con otro inquilino
Microsoft Entra dan lugar a la copia de datos de usuario en otros
inquilinos, lo que podría tener implicaciones de
residencia de datos.
Protección de La Protección de Microsoft Entra ID usa los datos En ubicación

Microsoft Entra ID de inicio de sesión de usuarios en tiempo real, con geográfica
de datos
varias señales de orígenes de la empresa y del

sector, para alimentar sus sistemas de aprendizaje
automático que detectan inicios de sesión
anómalos. Los datos personales se limpian de los
datos de inicio de sesión en tiempo real antes de
pasarlos al sistema de aprendizaje automático. Los
datos de inicio de sesión restantes identifican
nombres de usuario e inicios de sesión
potencialmente de riesgo. Después del análisis, los
datos van a los sistemas de informes de Microsoft.
Los inicios de sesión y los nombres de usuario de
riesgo aparecen en los informes de los
administradores.
Identidades Las identidades administradas para recursos de En ubicación

administradas para Azure de Microsoft Entra con sistemas de geográfica
recursos de Azure de identidades administradas pueden autenticarse en
Microsoft Entra los servicios de Azure sin almacenar credenciales.
En lugar de usar el nombre de usuario y la
contraseña, las identidades administradas se
autentican en los servicios de Azure con
certificados. El servicio escribe los certificados que
emite en Azure Cosmos DB en la región Este de
EE. UU., que conmuta por error a otra región según
sea necesario. La redundancia geográfica de Azure
Cosmos DB se produce mediante la replicación de
datos global. La replicación de base de datos
coloca una copia de solo lectura en cada región en
la que se ejecutan las identidades administradas de
Microsoft Entra. Para obtener más información,
consulte Servicios de Azure que pueden usar
identidades administradas para acceder a otros
servicios. Microsoft aísla cada instancia de
Cosmos DB en un modelo de solución en la nube
de Microsoft Entra.
El proveedor de recursos, como el host de la
máquina virtual, almacena el certificado para la
autenticación y los flujos de identidad con otros
servicios de Azure. El servicio almacena su clave
maestra para acceder a Azure Cosmos DB en un
servicio de administración de secretos del centro de
datos. Azure Key Vault almacena las claves de
cifrado maestras.
Azure Active Azure AD B2C es un servicio de administración de Ubicación

Directory B2C identidades para personalizar y controlar la manera geográfica que el
de datos
en la que los clientes se registran, inician sesión y cliente puede

administran sus perfiles cuando usan las seleccionar
aplicaciones. B2C usa el almacén principal para
mantener la información de identidad del usuario.
La base de datos del almacén principal sigue las
reglas de almacenamiento, replicación, eliminación
y residencia de datos conocidas. B2C usa un
sistema de Azure Cosmos DB para almacenar las
directivas y los secretos del servicio. Cosmos DB
tiene servicios de cifrado y replicación de la
información de la base de datos. Su clave de cifrado
se almacena en el almacenamiento de secretos de
Microsoft. Microsoft aísla las instancias de
Cosmos DB en un modelo de solución en la nube
de Microsoft Entra.
Recursos relacionados
Para más información sobre la residencia de datos en las ofertas de Microsoft Cloud,
consulte los artículos siguientes:
Residencia de datos en Azure | Microsoft Azure

¿Dónde se almacenan los datos de los clientes de Microsoft 365?
Privacidad de Microsoft: Dónde se encuentran tus datos
Descargar archivo PDF: Consideraciones sobre la privacidad en la nube
Pasos siguientes
Residencia de datos y Microsoft Entra ID (se encuentra aquí)
Consideraciones operativas sobre datos
Consideraciones sobre la protección de datos
Comentarios

Artículo • 25/10/2023
En este artículo, obtendrá información sobre las consideraciones operativas de datos

para la configuración. Hay información sobre cómo funcionan los archivos de registro y
otras características en relación con Microsoft Entra ID, como los datos de uso y la
seguridad del operador. Obtendrá información sobre las consideraciones de seguridad
física, además de instrucciones sobre cómo el equipo de Microsoft Entra define las
implementaciones y los cambios.
Archivos de registro
Microsoft Entra ID genera archivos de registro para auditar, investigar y depurar
acciones y eventos del servicio. Los archivos de registro pueden contener datos sobre
usuarios, dispositivos y configuración de Microsoft Entra, por ejemplo, directivas,
aplicaciones y grupos. Los archivos de registro se crean y almacenan en Azure Storage
en el centro de datos donde se ejecuta el servicio Microsoft Entra.
Los archivos de registro se usan para la depuración local, la seguridad, el análisis de uso,
la supervisión del estado del sistema y el análisis en todo el servicio. Estos registros se
copian a través de una conexión de Seguridad de la capa de transporte (TLS) a los
sistemas de aprendizaje automático de informes de Microsoft, que se encuentran en
centros de datos propiedad de Microsoft en el área continental de Estados Unidos.
Datos de uso
Los datos de uso son metadatos generados por el servicio Microsoft Entra que indica
cómo se usa el servicio. Estos metadatos se usan para generar informes orientados al
administrador y al usuario. El equipo de ingeniería de Microsoft Entra usa los metadatos
para evaluar el uso del sistema e identificar las oportunidades para mejorar el servicio.
Por lo general, estos datos se escriben en archivos de registro, pero en algunos casos,
nuestros sistemas de supervisión e informes de servicios recopilan estos datos.
Seguridad del operador

El acceso a Microsoft Entra ID por parte del personal, contratistas y proveedores de
Microsoft (administradores de sistema) está muy restringido. Siempre que sea posible, la
intervención humana se reemplaza por un proceso automatizado basado en
herramientas, incluidas las funciones rutinarias como la implementación, la depuración,
la recopilación de diagnósticos y el reinicio de servicios.
El acceso de administrador está limitado a un subconjunto de ingenieros cualificados y

requiere la finalización de un desafío de autenticación con credenciales resistentes a
suplantación de identidad (phishing). Las funciones de acceso y actualización del
sistema se asignan a los roles administrados por el sistema de administración de acceso
con privilegios Just-In-Time (JIT) de Microsoft. Los administradores del sistema solicitan
elevación de privilegios mediante el sistema JIT que enruta la solicitud de aprobación
manual o automatizada. Tras la aprobación, JIT eleva los privilegios de la cuenta. Las
solicitudes de elevación, aprobación, elevación a roles y eliminación de roles se registran
para depuraciones o investigaciones futuras.
El personal de Microsoft solo puede ejecutar operaciones desde una estación de trabajo
de acceso seguro que usa una plataforma interna de identidad de autenticación sólida
aislada. El acceso a otros sistemas de identidad de Microsoft no concede acceso a la
estación de trabajo de acceso de seguridad. La plataforma de identidad se ejecuta por
separado de otros sistemas de identidad de Microsoft.
Seguridad física
El acceso físico a los servidores que componen el servicio Microsoft Entra y el acceso a
los sistemas back-end de Microsoft Entra está restringido por la seguridad física y en el
entorno local de Azure. Los clientes de Microsoft Entra no tienen acceso a los recursos
físicos o las ubicaciones, por lo que no pueden omitir las comprobaciones de directiva
de control de acceso basado en roles lógicos (RBAC). El personal con acceso de
operador está autorizado para ejecutar los flujos de trabajo aprobados para el
mantenimiento.
Más información: Seguridad física y en el entorno local de Azure
Proceso de control de cambios

Para implementar los cambios en el servicio en los centros de datos, el equipo de
Microsoft Entra define las capas de un entorno de implementación. Criterios de salida
estrictos restringen la aplicación de las capas de cambio. El equipo de operaciones
define la cantidad de tiempo para implementar un cambio entre capas y se basa en
posibles efectos. Normalmente, una implementación tarda entre 1 y 2 semanas. Los
cambios críticos, como las correcciones de seguridad o las correcciones de acceso
rápido, se pueden implementar más rápido. Si un cambio no cumple los criterios de
salida cuando se aplica a una capa de implementación, se revierte al estado estable
anterior.
Recursos
Documentos de confianza de servicios de Microsoft
Nube de confianza de Microsoft Azure
Centros de datos de Office 365
Pasos siguientes
Microsoft Entra ID y residencia de datos
Consideraciones operativas de datos (usted se encuentra aquí)
Consideraciones sobre la protección de datos
Consideraciones sobre la protección de
datos
Artículo • 25/10/2023
En el diagrama siguiente se muestra cómo los servicios almacenan y recuperan los datos
de objetos de Microsoft Entra a través de una capa de autorización del control de
acceso basado en roles (RBAC). Esta capa llama a la capa de acceso a datos del
directorio interno, lo que garantiza que se permite la solicitud de datos del usuario:
Acceso a interfaces internas de Microsoft Entra: La comunicación entre servicios con

otros servicios de Microsoft, como Microsoft 365, usan las interfaces de Microsoft Entra
ID, que autorizan a los autores de las llamadas del servicio mediante certificados de
cliente.
Acceso a interfaces externas de Microsoft Entra: La interfaz externa de Microsoft Entra

ayuda a evitar la pérdida de datos mediante RBAC. Cuando una entidad de seguridad,
como un usuario, realiza una solicitud de acceso para leer información a través de las
interfaces de Microsoft Entra ID, un token de seguridad debe acompañar la solicitud. El
token contiene notificaciones sobre la entidad de seguridad que realiza la solicitud.
Los tokens de seguridad los emiten los servicios de autenticación de Microsoft Entra. El
sistema de autorización utiliza la información sobre la existencia del usuario, el estado
habilitado y la función para decidir si el acceso solicitado al inquilino de destino está
autorizado para este usuario en esta sesión.
Acceso a aplicaciones: dado que las aplicaciones pueden acceder a las interfaces de
programación de aplicaciones (API) sin el contexto de usuario, la verificación de acceso
incluye información sobre la aplicación del usuario y el alcance del acceso solicitado, por
ejemplo, de solo lectura, lectura y escritura, etc. Muchas aplicaciones usan OpenID
Connect u OAuth para obtener tokens para acceder al directorio en nombre del usuario.
Deben concederse explícitamente el acceso de estas aplicaciones al directorio o no
recibirán el token del servicio de autenticación de Microsoft Entra y acceden a los datos
desde el ámbito concedido.
Auditoría: se audita el acceso. Por ejemplo, las acciones autorizadas, como la creación
de un usuario y el restablecimiento de la contraseña, crean una pista de auditoría que
puede usar un administrador de inquilinos para administrar los esfuerzos de
cumplimiento o las investigaciones. Los administradores de inquilinos pueden generar
informes de auditoría mediante la API de auditoría de Microsoft Entra.
Más información: Registros de auditoría en Microsoft Entra ID
Aislamiento de inquilinos: La aplicación de la seguridad en el entorno multiinquilino de

Microsoft Entra ayuda a lograr dos objetivos principales:
Evitar la pérdida de datos y el acceso entre inquilinos: los datos que pertenecen al
inquilino 1 no se pueden obtener por parte de los usuarios del inquilino 2 sin
autorización explícita por el inquilino 1.
Aislamiento de acceso a recursos entre inquilinos: las operaciones realizadas por el
inquilino 1 no pueden afectar al acceso a los recursos del inquilino 2.
Aislamiento de inquilinos
En la siguiente información se describe el aislamiento de inquilinos.
El servicio protege los inquilinos mediante la directiva RBAC para garantizar el

aislamiento de datos.
Para habilitar el acceso a un inquilino, una entidad de seguridad (por ejemplo, un
usuario o una aplicación) debe poder autenticarse en Microsoft Entra ID para
obtener el contexto y tener permisos explícitos definidos en el inquilino. Si una
entidad de seguridad no está autorizada en el inquilino, el token resultante no
llevará permisos y el sistema RBAC rechaza las solicitudes en este contexto.
RBAC garantiza que una entidad de seguridad autorizada en el inquilino realice el
acceso a un inquilino. El acceso entre inquilinos es posible cuando un
administrador de inquilinos crea una representación de entidad de seguridad en el
mismo inquilino (por ejemplo, aprovisionar una cuenta de usuario invitado
mediante la colaboración B2B) o cuando un administrador de inquilinos crea una
directiva para habilitar una relación de confianza con otro inquilino. Por ejemplo,
una directiva de acceso entre inquilinos para habilitar B2B Direct Connect. Cada
inquilino es un límite de aislamiento; la existencia en un inquilino no equivale a la
existencia en otro inquilino a menos que el administrador lo permita.
Los datos de Microsoft Entra para varios inquilinos se almacenan en el mismo
servidor físico y unidad para una partición determinada. El aislamiento se garantiza
porque el acceso a los datos está protegido por el sistema de autorización de
RBAC.
Una aplicación cliente no puede acceder a Microsoft Entra ID sin la autenticación
necesaria. La solicitud se rechaza si no va acompañada de credenciales como parte
del proceso de negociación de conexión inicial. Esta dinámica impide el acceso no
autorizado a un inquilino mediante inquilinos vecinos. Solo el token de la
credencial del usuario, o el token del Lenguaje de marcado de aserción de
seguridad (SAML), se negocia con una confianza federada. Por lo tanto, se valida
mediante Microsoft Entra ID en función de las claves compartidas configuradas por
el Administrador global del inquilino de Microsoft Entra.
Dado que no hay ningún componente de aplicación que se pueda ejecutar desde
Core Store, no es posible que un inquilino infrinja forzosamente la integridad de
un inquilino vecino.
Seguridad de los datos

Cifrado en tránsito: Para garantizar la seguridad de los datos, los datos del directorio de
Microsoft Entra ID están firmados y cifrados durante el tránsito entre los centros de
datos dentro de una unidad de escalado. Los datos son cifrados y descifrados por el
nivel de Microsoft Entra Core Store, que reside en las áreas de alojamiento de servidores
seguros de los centros de datos de Microsoft asociados.
Los servicios web orientados al cliente se protegen con el protocolo de Seguridad de la

capa de transporte (TLS).
Almacenamiento de secretos: El back-end del servicio Microsoft Entra usa el cifrado

para almacenar material confidencial para el uso del servicio, como certificados, claves,
credenciales y hashes mediante la tecnología propietaria de Microsoft. El almacén usado
depende del servicio, la operación, el ámbito del secreto (todo el usuario o todo el
inquilino) y otros requisitos.
Estos almacenes son operados por un grupo centrado en la seguridad a través de la

automatización y los flujos de trabajo establecidos, incluida la solicitud de certificado, la
renovación, la revocación y la destrucción.
Hay auditoría de actividades relacionadas con estos almacenes, flujos de trabajo o

procesos, y no hay acceso permanente. El acceso se basa en solicitudes y aprobaciones,
y durante un período de tiempo limitado.
Para obtener más información sobre el cifrado de secretos en reposo, consulte la tabla
siguiente.
Algoritmos: En la tabla siguiente se enumeran los algoritmos criptográficos mínimos

que usan los componentes de Microsoft Entra. Como servicio en la nube, Microsoft
vuelve a evaluar y mejora la criptografía, en función de los resultados de la investigación
de seguridad, las revisiones de seguridad internas, la fuerza clave frente a la evolución
del hardware, etc.
Datos y escenarios Algoritmo criptográfico
Contraseñas de sincronización Hash: Función de derivación de clave de contraseña 2

de hash de contraseñas en la nube (PBKDF2), mediante HMAC-SHA256 @ 1000 iteraciones
Directorio en tránsito entre centros AES-256-CTS-HMAC-SHA1-96

de datos TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Flujo de credenciales de usuario de Par de claves públicas y privadas RSA 2048

autenticación transferida Más información: Profundización en la seguridad de la
autenticación transferida mediante Microsoft Entra
Escritura diferida de contraseñas del Par de claves públicas y privadas RSA 2048
autoservicio de restablecimiento de AES_GCM (clave de 256 bits, tamaño IV de 96 bits)
contraseñas con Microsoft Entra
Connect: Comunicación de la nube al
entorno local
Autoservicio de restablecimiento de SHA256

contraseña: respuestas a preguntas
de seguridad
Certificados SSL para aplicaciones AES-GCM de 256 bits

publicadas del proxy de aplicación
de Microsoft Entra
Cifrado de nivel de disco XTS-AES 128
Contraseña de cuenta de servicio de AES-CBC, 128 bits

inicio de sesión único (SSO)
Credenciales de aprovisionamiento
de aplicaciones SaaS
Identidades administradas de AES-GCM de 256 bits

Microsoft Entra
Aplicación Microsoft Authenticator: Clave RSA asimétrica de 2048 bits

Inicio de sesión sin contraseña en
Microsoft Entra ID
Datos y escenarios Algoritmo criptográfico
Aplicación Microsoft Authenticator: AES-256

copia de seguridad y restauración de
metadatos de la cuenta de empresa
Recursos
Documentos de confianza de servicios de Microsoft
Centro de confianza de Microsoft Azure
Recuperación de eliminaciones en Microsoft Entra ID
Pasos siguientes
Microsoft Entra ID y residencia de datos
Consideraciones sobre la protección de datos (está aquí)
Almacenamiento y procesamiento de
datos de cliente de clientes europeos en
Microsoft Entra ID
Artículo • 25/10/2023
Microsoft Entra ID almacena los datos de los clientes en una ubicación geográfica en
función de cómo se haya creado y aprovisionado un inquilino. En la siguiente lista se
proporciona información sobre cómo se define la ubicación:
Centro de administración de Microsoft Entra o API de Microsoft Entra: un cliente

selecciona una ubicación de la lista predefinida.
Dynamics 365 y Power Platform: un cliente aprovisiona su inquilino en una
ubicación predefinida.
Residencia de datos en la UE: en el caso de los clientes que han proporcionado
una ubicación en Europa, Microsoft Entra ID almacena la mayoría de los datos de
los clientes en Europa, excepto cuando se indique lo contrario más adelante en
este artículo.
Límite de datos de Europa: en el caso de los clientes que han proporcionado una
ubicación dentro del límite de datos de Europa (miembros de Europa y la EFTA),
Microsoft Entra ID almacena y procesa la mayoría de los datos de los clientes en el
límite de datos de Europa, excepto cuando se indique lo contrario más adelante en
este artículo.
Microsoft 365: la ubicación se basa en una dirección de facturación proporcionada
por el cliente.
En las siguientes secciones se proporciona información sobre los datos de los clientes
que no cumplen los compromisos de residencia de datos en la UE y de límite de datos
de la UE.
Servicios que transferirán temporalmente un

subconjunto de datos de clientes fuera de la
residencia de datos de Europa y de los límites
de datos de Europa
Para algunos componentes de un servicio, el trabajo está en curso para que se incluyan
en la residencia de datos de Europa y los límites de datos de Europa, pero se retrasará la
finalización de este trabajo. En las secciones siguientes de este artículo se explican los
datos de los clientes que estos servicios transfieren actualmente fuera de Europa como
parte de sus operaciones de servicio.
Residencia de datos de Europa:
Motivo para la salida de datos del cliente: algunos de los inquilinos se almacenan
fuera de la ubicación de Europa debido a uno de los siguientes motivos:
Los inquilinos se crearon inicialmente con un código de país que NO está en
Europa y, posteriormente, el código de país del inquilino se cambió a uno en
Europa. La ubicación de datos del directorio de Microsoft Entra se decide
durante el tiempo de creación del inquilino y no cambia cuando se actualiza el
código de país del inquilino. A partir de marzo de 2019, Microsoft bloqueó la
actualización del código de país en un inquilino para evitar tal confusión.
Hay 13 códigos de país (que incluyen: Azerbaiyán, Bahréin, Israel, Jordania,
Kazajistán, Kuwait, Líbano, Omán, Pakistán, Qatar, Arabia Saudita, Turquía y
Emiratos Árabes Unidos) que se asignaron a la región de Asia hasta 2013 y,
posteriormente, se asignaron a Europa. Los inquilinos creados antes de julio de
2013 a partir de este código de país se aprovisionan en Asia en lugar de Europa.
Hay siete códigos de país (que incluyen: Armenia, Georgia, Irak, Kirguistán,
Tayikistán, Uzbekistán y Uzbekistán) que se asignaron a la región de Asia hasta
2017 y, posteriormente, se asignaron a Europa. Los inquilinos creados antes de
febrero de 2017 a partir de este código de país se aprovisionan en Asia en lugar
de Europa.
Tipos de los datos de cliente de salida: datos de cuentas de usuario y dispositivo y

configuración del servicio (aplicación, directiva y grupo).
Ubicación de los datos de cliente en reposo: EE. UU y Asia/Pacífico.
Procesamiento de los datos de cliente: igual que la ubicación en reposo.
Servicios: almacén principal de Directory.
Límite de datos de Europa:
Obtenga más información sobre las transferencias de datos parciales temporales de los
clientes de Microsoft Entra desde los servicios de límites de datos de Europa que
transfieren temporalmente un subconjunto de datos de clientes fuera del límite de
datos de Europa.
Servicios que transferirán permanentemente

un subconjunto de datos de clientes fuera de la
residencia de datos de Europa y de los límites
de datos de Europa
Algunos componentes de un servicio seguirán transfiriendo una cantidad limitada de
datos de clientes fuera de la residencia de datos de Europa y de los límites de datos de
Europa, ya que esta transferencia está diseñada para facilitar la función de los servicios.
Microsoft Entra ID: cuando se determina que se usa una dirección IP o un número de
teléfono en actividades fraudulentas, se publican globalmente para bloquear el acceso
desde cualquier carga de trabajo que los use.
Obtenga más información sobre las transferencias de datos parciales permanentes de

los clientes de Microsoft Entra desde los servicios de límites de datos de Europa que
transferirán permanentemente un subconjunto de datos de clientes fuera del límite de
datos de Europa.
Otras consideraciones
Capacidades de servicio opcionales que transfieren datos

fuera de los compromisos de residencia de datos en la UE
y de límite de datos de la UE
Algunos servicios incluyen funcionalidades opcionales (en algunos casos, que requieren
una suscripción de cliente), donde los administradores de clientes pueden optar por
habilitar o deshabilitar estas funcionalidades para sus latencias de servicio. Si los
usuarios de un cliente están disponibles y se usan, estas funcionalidades darán lugar a
transferencias de datos fuera de Europa, tal y como se describe en las secciones
siguientes de este artículo.
Administración multiinquilino: las organizaciones podrían optar por crear una

organización multiinquilino dentro de Microsoft Entra ID. Por ejemplo, un cliente
puede invitar a los usuarios a su inquilino en un contexto de colaboración B2B. Un
cliente puede crear una aplicación SaaS multiinquilino que permita a otros
inquilinos de un tercero aprovisionar la aplicación en el inquilino de ese tercero.
Un cliente puede crear dos o más inquilinos afiliados entre sí y actuar como un
solo inquilino en determinados escenarios, como la formación de organizaciones
multiinquilino (MTO), la sincronización de inquilinos y el uso compartido de
dominios de correo electrónico compartido. La configuración de administrador y el
uso de la colaboración multiinquilino pueden producirse con inquilinos fuera de
los compromisos de residencia de datos en Europa y de límite de datos de Europa,
lo que podría dar lugar a que algunos datos de cliente, como los datos de la
cuenta de usuario y el dispositivo, los datos de uso y la configuración del servicio
(aplicación, directiva y grupo) se almacenen y procesen en la ubicación del
inquilino colaborador.
Application Proxy: Application Proxy permite a los clientes acceder a aplicaciones
locales y en la nube a través de una dirección URL externa o un portal de
aplicaciones interno. Los clientes podrían elegir configuraciones de enrutamiento
avanzadas que harían que los datos de cliente puedan salir fuera de la residencia
de datos en Europa y el límite de datos de Europa, incluyendo los datos de la
cuenta de usuario, los datos de uso y los datos de configuración de la aplicación.
Consulte más información sobre las funcionalidades de servicio opcionales que

transfieren los datos de los clientes fuera de las funcionalidades opcionales del servicio
de límite de datos de Europa que transfieren los datos de los clientes fuera del límite de
datos de Europa.
Otros servicios en línea de límite de datos de la UE

Los servicios y las aplicaciones que se integran en Microsoft Entra ID tienen acceso a
datos de los clientes. Revise cómo cada servicio y aplicación almacena y procesa los
datos de los clientes, y confirme que cumplen los requisitos de tratamiento de datos de
su empresa.
Pasos siguientes
Para obtener más información sobre la residencia de los datos de los servicios de
Microsoft, consulte la sección Dónde se encuentran sus datos del Centro de confianza
de Microsoft .
Almacenamiento de datos de identidad
para clientes australianos y
neozelandeses en Microsoft Entra ID
Artículo • 11/11/2023
Microsoft Entra ID almacena los datos de identidad en una ubicación que dependerá de
la dirección que la organización haya proporcionado al suscribirse a un servicio de
Microsoft como Microsoft 365 o Azure. Para más información sobre dónde se
almacenan los datos de identidad del cliente, puede consultar la sección Dónde se
encuentran tus datos del Centro de confianza de Microsoft.
７ Nota
Los servicios y las aplicaciones que se integran en Microsoft Entra ID tienen acceso
a datos de identidad del cliente. Evalúe cada servicio y aplicación que use para
determinar la manera en que cada servicio y aplicación específico procesa los datos
de identidad del cliente, y si cumple los requisitos de almacenamiento de datos de
la empresa. Para obtener más información sobre la residencia de los datos de los
servicios de Microsoft, consulte la sección Dónde se encuentran sus datos del
Centro de confianza de Microsoft.
En el caso de los clientes que han proporcionado una dirección de Australia o Nueva
Zelanda, Microsoft Entra ID mantiene los datos de identidad de estos servicios en
centros de datos australianos:
Administración de directorios de Microsoft Entra

Autenticación
Todos los demás servicios de Microsoft Entra almacenan los datos del cliente en centros
de datos globales.
Autenticación multifactor de Microsoft Entra

MFA almacena datos de identidad del cliente en centros de datos globales. Para obtener
más información sobre la información de usuario recopilada y almacenada por la
autenticación multifactor de Microsoft Entra basada en la nube y Azure Multi-Factor
Authentication Server, consulte recopilación de datos de usuario de autenticación
multifactor de Microsoft Entra.
Pasos siguientes
Para más información sobre cualquiera de las características y funcionalidades que se
han descrito anteriormente, consulte estos artículos:
¿Qué es la autenticación multifactor?
Comentarios

Almacenamiento de datos de clientes
para clientes de Australia y de Nueva
Zelanda en Microsoft Entra ID
Artículo • 25/10/2023
Microsoft Entra ID almacena los datos de identidad en una ubicación que dependerá de
la dirección que la organización haya proporcionado al suscribirse a un servicio de
Microsoft como Microsoft 365 o Azure. Entre los servicios en línea de Microsoft se
incluyen Microsoft 365 y Azure.
Para obtener información sobre la ubicación de los datos de Microsoft Entra ID y otros
servicios de Microsoft, consulte la sección Dónde se encuentran sus datos del Centro
de confianza de Microsoft.
A partir del 26 de febrero de 2020, Microsoft comenzó a almacenar los datos de clientes
de Microsoft Entra ID para los nuevos inquilinos con una dirección de facturación de
Australia o Nueva Zelanda dentro de los centros de datos de Australia.
Además, algunas características de Microsoft Entra todavía no admiten el

almacenamiento de datos de clientes en Australia. Visite la asignación de datos de
Microsoft Entra para obtener información específica sobre las características. Por
ejemplo, autenticación multifactor de Microsoft Entra almacena los datos de los clientes
en los Estados Unidos y los procesa de forma global. Consulte Residencia de datos y
datos de clientes en la autenticación multifactor de Microsoft Entra.
７ Nota
Los productos y servicios de Microsoft, así como las aplicaciones de terceros que se
integran en Microsoft Entra ID tienen acceso a datos del cliente. Evalúe cada
producto, servicio y aplicación que use para determinar la manera en que cada
producto, servicio y aplicación específico procesa los datos del cliente, y si cumple
los requisitos de almacenamiento de datos de la empresa. Para obtener más
información sobre la residencia de los datos de los servicios de Microsoft, consulte
la sección Dónde se encuentran sus datos del Centro de confianza de Microsoft.
Control de acceso basado en roles de Azure

(RBAC de Azure)
Las definiciones de roles, las asignaciones de roles y las asignaciones de denegación se
almacenan globalmente para garantizar que tenga acceso a los recursos
independientemente de la región en la que creó el recurso. Para más información,
consulte ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
Almacenamiento de datos de clientes
para clientes de Japón en Microsoft
Entra ID
Artículo • 11/11/2023
Microsoft Entra ID almacena los datos de los clientes en una ubicación geográfica según
el país o región que se especifique al suscribirse a un servicio en línea de Microsoft.
Entre los servicios en línea de Microsoft se incluyen Microsoft 365 y Azure.
Para obtener información sobre la ubicación de los datos de Microsoft Entra ID y otros
servicios de Microsoft, consulte la sección Dónde se encuentran sus datos del Centro
de confianza de Microsoft.
Además, algunas características de Microsoft Entra todavía no admiten el

almacenamiento de datos de clientes en Japón. Por ejemplo, autenticación multifactor
de Microsoft Entra almacena los datos de los clientes en los Estados Unidos y los
procesa de forma global. Consulte Residencia de datos y datos de clientes en la
autenticación multifactor de Microsoft Entra.
７ Nota
Los productos y servicios de Microsoft, así como las aplicaciones de terceros que se
integran en Microsoft Entra ID tienen acceso a datos del cliente. Evalúe cada
producto, servicio y aplicación que use para determinar la manera en que cada
producto, servicio y aplicación específico procesa los datos del cliente, y si cumple
los requisitos de almacenamiento de datos de la empresa. Para obtener más
información sobre la residencia de los datos de los servicios de Microsoft, consulte
la sección Dónde se encuentran sus datos del Centro de confianza de Microsoft.
Control de acceso basado en roles de Azure

(RBAC de Azure)
Las definiciones de roles, las asignaciones de roles y las asignaciones de denegación se
almacenan globalmente para garantizar que tenga acceso a los recursos
independientemente de la región en la que creó el recurso. Para más información,
consulte ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
Comentarios

Comparar Active Directory con
Microsoft Entra ID
Artículo • 25/10/2023
Microsoft Entra ID es la próxima evolución de las soluciones de gestión de acceso e

identidad para la nube. Microsoft presentó Active Directory Domain Services en
Windows 2000 para ofrecer a las organizaciones la capacidad de administrar varios
componentes y sistemas de infraestructura locales mediante una única identidad por
usuario.
Microsoft Entra ID lleva este enfoque al siguiente nivel al brindar a las organizaciones
una solución de identidad como servicio (IDaaS) para todas sus aplicaciones en la nube
y en las instalaciones.
La mayoría de los administradores de TI están familiarizados con los conceptos de

Active Directory Domain Services. La siguiente tabla describe las diferencias y similitudes
entre los conceptos de Active Directory y Microsoft Entra ID.
Concepto Active Directory (AD) Microsoft Entra ID
Usuarios
Aprovisionamiento: Las organizaciones crean Las organizaciones de AD existentes

usuarios usuarios internos usan Microsoft Entra Connect para
manualmente o utilizan un sincronizar identidades en la nube.
sistema de aprovisionamiento Microsoft Entra agrega compatibilidad
interno o automatizado, como para crear usuarios de forma automática
Microsoft Identity Manager, a partir de sistemas de recursos
para integrarse en un sistema humanos en la nube.
de recursos humanos. Microsoft Entra ID puede proporcionar
identidades en aplicaciones SaaS
habilitadas para SCIM para proporcionar
automáticamente a las aplicaciones los
detalles necesarios para permitir el
acceso a los usuarios.
Aprovisionamiento: Las organizaciones crean Microsoft Entra ID proporciona una

identidades externas usuarios externos clase especial de identidad para admitir
manualmente como usuarios identidades externas. Microsoft Entra
normales en un bosque de AD B2B administrará el enlace a la identidad
externo dedicado, lo que da del usuario externo para asegurarse de
lugar a una sobrecarga de que sea válido.
administración para
administrar el ciclo de vida de
las identidades externas

(usuarios invitados).
Administración de Los administradores nombran Los grupos también están disponibles

derechos y grupos a los usuarios como miembros en Microsoft Entra y los administradores
de grupos. Los propietarios de pueden igualmente utilizar grupos para
los recursos y las aplicaciones conceder permisos a recursos. En
proporcionan a los grupos Microsoft Entra, los administradores
acceso a aplicaciones o pueden asignar la pertenencia a grupos
recursos. de modo manual o usar una consulta
para incluir a los usuarios de forma
dinámica en un grupo.
Los administradores pueden usar la
administración de derechos en
Microsoft Entra ID para brindar a los
usuarios acceso a una colección de
aplicaciones y recursos mediante flujos
de trabajo y, si es necesario, criterios
basados en el tiempo.
Administración de Las organizaciones usarán una Microsoft Entra proporciona roles

administradores combinación de dominios, integrados con su sistema de control de
unidades organizativas y acceso basado en rol (RBAC de
grupos en AD para delegar Microsoft Entra) de Microsoft Entra, con
derechos administrativos con compatibilidad limitada para crear roles
el fin de administrar el personalizados para delegar el acceso
directorio y los recursos que con privilegios al sistema de
controlan. identidades, las aplicaciones y los
recursos que controla.
La administración de roles se puede
mejorar con Privileged Identity
Management (PIM) para proporcionar
acceso just-in-time, restringido en el
tiempo o basado en el flujo de trabajo a
roles con privilegios.
Administración de Las credenciales de Active Microsoft Entra usa la protección con

credenciales Directory se basan en contraseña inteligente para la nube y el
contraseñas, autenticación de entorno local. La protección incluye el
certificados y autenticación de bloqueo inteligente, además del
tarjetas inteligentes. Las bloqueo de frases y sustituciones de
contraseñas se administran contraseñas comunes y personalizadas.
mediante directivas de Microsoft Entra ID aumenta
contraseñas que se basan en significativamente la seguridadmediante
la longitud, la expiración y la la autenticación multifactor y
complejidad de las tecnologías sin contraseña, como
contraseñas. FIDO2.
Microsoft Entra ID reduce los costes de
soporte al brindar a los usuarios un

sistema de autoservicio para restablecer
contraseñas.
Aplicaciones
Aplicaciones de Active Directory constituye la En un nuevo mundo de la nube,

infraestructura base para numerosos Microsoft Entra ID es el nuevo plano de
componentes locales de control para acceder a aplicaciones en
infraestructura, por ejemplo, lugar de depender de los controles de
acceso DNS, DHCP, IPSec, red. Cuando los usuarios se autentican,
WiFi, NPS y VPN. el acceso condicional controla qué
usuarios tendrán acceso a las
aplicaciones en las condiciones
requeridas.
Aplicaciones La mayoría de las aplicaciones Microsoft Entra ID puede proporcionar

tradicionales y locales usan LDAP, la acceso a estos tipos de aplicaciones
heredadas autenticación integrada de locales mediante agentes proxy de
Windows (NTLM y Kerberos) o aplicaciones de Microsoft Entra que se
la autenticación basada en ejecutan localmente. Con este método,
encabezados para controlar el Microsoft Entra ID puede autenticar a
acceso a los usuarios. los usuarios de Active Directory
localmente utilizando Kerberos mientras
migra o necesita coexistir con
aplicaciones heredadas.
Aplicaciones SaaS Active Directory no es Las aplicaciones SaaS que admiten

compatible de forma nativa autenticación OAuth2, SAML y WS-* se
con aplicaciones SaaS y pueden integrar para usar Microsoft
requiere un sistema de Entra ID para la autenticación.
federación, como AD FS.
Aplicaciones de línea Las organizaciones pueden Las aplicaciones LOB que requieren
de negocio (LOB) con usar AD FS con Active autenticación moderna se pueden
autenticación Directory para admitir configurar para usar Microsoft Entra ID
moderna aplicaciones LOB que para la autenticación.
requieran autenticación
moderna.
Servicios de nivel Los servicios que se ejecutan Microsoft Entra ID proporciona

medio/demonio en entornos locales suelen identidades administradas para ejecutar
usar cuentas de servicio de AD otras cargas de trabajo en la nube. El
o cuentas de servicio ciclo de vida de estas identidades lo
administradas de grupo administra Microsoft Entra ID y está
(gMSA) para ejecutarse. Estas vinculado al proveedor de recursos y no
aplicaciones heredarán los se puede utilizar para otros fines para
obtener acceso de puerta trasera.
permisos de la cuenta de
servicio.
Dispositivos
Móvil Active Directory no es La solución de administración de

compatible de forma nativa dispositivos móviles de Microsoft,
con dispositivos móviles sin Microsoft Intune, está integrada con
soluciones de terceros. Microsoft Entra ID. Microsoft Intune
proporciona información sobre el
estado del dispositivo al sistema de
identidades que se va a evaluar durante
la autenticación.
Escritorios de Active Directory proporciona Los dispositivos Windows se pueden

Windows la capacidad de unir a un unir a Microsoft Entra ID. El acceso
dominio dispositivos Windows condicional puede verificar si un
para administrarlos mediante dispositivo está unido a Microsoft Entra
directiva de grupo, System como parte del proceso de
Center Configuration Manager autenticación. Los dispositivos Windows
u otras soluciones de terceros. también se pueden administrar con
Microsoft Intune. En este caso, el acceso
condicional tendrá en cuenta si un
dispositivo es compatible (por ejemplo,
revisiones de seguridad y firmas de virus
actualizadas) antes de permitir el acceso
a las aplicaciones.
Servidores Windows Active Directory proporciona Las máquinas virtuales de Windows

unas funcionalidades de Servers en Azure se pueden administrar
administración seguras para con Microsoft Entra Domain Services. Se
servidores Windows locales pueden utilizar identidades
mediante directivas de grupo administradas cuando las máquinas
u otras soluciones de virtuales necesitan tener acceso al
administración. directorio o a los recursos del sistema
de identidades.
Cargas de trabajo Active Directory no es Las máquinas virtuales Linux/Unix

Linux/Unix compatible de forma nativa pueden usar identidades administradas
con aplicaciones que no son para acceder al sistema de identidades
de Windows sin soluciones de o a los recursos. Algunas organizaciones
terceros, aunque se pueden migran estas cargas de trabajo a
configurar máquinas Linux tecnologías de contenedor en la nube,
para autenticarse con Active que también pueden utilizar identidades
Directory como un dominio administradas.
Kerberos.
Pasos siguientes
Compare los servicios de dominio de Active Directory autoadministrados,
Microsoft Entra ID y los servicios de dominio de Microsoft Entra administrados
Preguntas frecuentes sobre Microsoft Entra ID
¿Qué novedades hay en Microsoft Entra ID?
¿Qué son los atributos de seguridad
personalizados en Microsoft Entra ID?
Artículo • 21/11/2023

Microsoft Entra. Estos atributos se pueden usar para almacenar información, clasificar
objetos o aplicar un control de acceso detallado para recursos específicos de Azure. Los
atributos de seguridad personalizados se pueden usar con el control de acceso basado
en atributos de Azure (Azure ABAC).
¿Por qué usar atributos de seguridad

personalizados?
Estos son algunos escenarios en los que podría usar atributos de seguridad
personalizados:
Amplíe los perfiles de usuario, añada por ejemplo el salario por hora de todos los
empleados.
Asegúrese de que solo los administradores pueden ver el atributo de salario por
hora en los perfiles de los empleados.
Clasifique cientos o miles de aplicaciones para crear fácilmente un inventario
filtrable para la auditoría.
Conceda a los usuarios acceso a blobs de Azure Storage que pertenecen a un
proyecto.
¿Qué puedo hacer con los atributos de

seguridad personalizados?
Los atributos de seguridad personalizados incluyen estas funcionalidades:
Defina información específica del negocio (atributos) para el inquilino.

Agregue un conjunto de atributos de seguridad personalizados en usuarios y
aplicaciones.
Administre objetos de Microsoft Entra mediante atributos de seguridad
personalizados con consultas y filtros.
Proporcione gobernanza de atributos para que los atributos determinen quién
puede obtener acceso.
Los atributos de seguridad personalizados no se admiten en las siguientes áreas:
Servicios de dominio de Microsoft Entra

Notificaciones de token SAML
Características de los atributos de seguridad

personalizados
Los atributos de seguridad personalizados incluyen estas características:
Están disponibles para todo el inquilino.

Permiten incluir una descripción.
Admiten distintos tipos de datos: booleanos, enteros, cadenas.
Admiten un valor único o varios valores.
Admiten valores de formato libre definidos por el usuario o valores predefinidos.
Permiten asignar atributos de seguridad a los usuarios con sincronización de
directorios desde un entorno local de Active Directory.
En el siguiente ejemplo se muestran varios atributos de seguridad personalizados

asignados a un usuario. Los atributos de seguridad personalizados son tipos de datos
diferentes y tienen valores únicos, múltiples, de forma libre o predefinidos.
Objetos que admiten atributos de seguridad

personalizados
Puede agregar atributos de seguridad personalizados para los siguientes objetos de
Microsoft Entra:
Usuarios de Microsoft Entra

Aplicaciones empresariales de Microsoft Entra (entidades de servicio)
¿Qué tienen en común los atributos de

seguridad personalizados con las extensiones?
Aunque tanto las extensiones como los atributos de seguridad personalizados se
pueden usar para extender objetos en Microsoft Entra ID y Microsoft 365, son
adecuados para escenarios de datos personalizados fundamentalmente diferentes. A
continuación se incluyen algunos puntos en común de los atributos de seguridad
personalizados con las extensiones:
Capacidad Extensiones Atributos de seguridad

personalizados
Extender el identificador Sí Sí
de Microsoft Entra ID y
los objetos de Microsoft
365
Objetos admitidos Depende del tipo de extensión Usuarios y entidades de servicio
Acceso restringido No. Cualquier usuario con Sí. El acceso de lectura y escritura
permisos para leer el objeto está restringido a través de un
puede leer los datos de la conjunto independiente de
extensión. permisos y RBAC.
Cuándo se usa Almacenamiento de datos que Almacenamiento de datos

va a usar una aplicación confidenciales
Almacenamiento de datos no Uso para escenarios de
confidenciales autorización
Requisitos de licencia Disponible en todas las Disponible en todas las ediciones

ediciones de Microsoft Entra ID de Microsoft Entra ID
Para obtener más información sobre cómo trabajar con extensiones, consulte Agregar
datos personalizados a los recursos mediante extensiones.
Pasos para usar atributos de seguridad

personalizados
1. Compruebe los permisos.
Compruebe que tiene asignado el rol de administrador de definición de atributos

o administrador de asignación de atributos. Si no es así, consulte con el
administrador para asignarle el rol adecuado en el ámbito del inquilino o en el
ámbito del conjunto de atributos. De manera predeterminada, el rol Administrador
global y otros roles de administrador no tienen permisos para leer, definir o
asignar atributos de seguridad personalizados. Si es necesario, un administrador
global puede asignarse estos roles a sí mismo.
2. Agregar conjuntos de atributos
Agregue conjuntos de atributos para agrupar y administrar los atributos de

seguridad personalizados relacionados. Más información
3. Administrar conjuntos de atributos
Especifique quién puede leer, definir o asignar atributos de seguridad

personalizados en un conjunto de atributos. Más información
4. Definir atributos
Agregar atributos de seguridad personalizados al directorio. Puede especificar el

tipo de fecha (booleano, entero o cadena) y si los valores son predefinidos, de
forma libre, únicos o múltiples. Más información
5. Asignar atributos
Asigne atributos de seguridad personalizados a objetos de Microsoft Entra para

sus escenarios empresariales. Más información
6. Usar atributos
Filtre usuarios y aplicaciones que usan atributos de seguridad personalizados. Más

información
Agregue condiciones que usen atributos de seguridad personalizados a las

asignaciones de roles de Azure para obtener un control de acceso detallado. Más
información
Terminología
Para comprender mejor los atributos de seguridad personalizados, puede consultar la
siguiente lista de términos.
Término Definición
definición de Esquema de un atributo de seguridad personalizado o par clave-valor. Por

atributo ejemplo, el nombre del atributo de seguridad personalizado, la descripción, el
tipo de datos y los valores predefinidos.
Término Definición
conjunto de Colección de atributos de seguridad personalizados relacionados. Los conjuntos

atributos de atributos se pueden delegar en otros usuarios para definir y asignar
atributos de seguridad personalizados.
nombre del Nombre único de un atributo de seguridad personalizado dentro de un

atributo conjunto de atributos. La combinación de conjunto de atributos y nombre de
atributo constituye un atributo único para el inquilino.
asignación de Asignación de un atributo de seguridad personalizado a un objeto de Microsoft

atributos Entra, como usuarios y aplicaciones empresariales (entidades de servicio).
valor Valor permitido para un atributo de seguridad personalizado.

predefinido
Propiedades de atributo de seguridad

personalizadas
En la tabla siguiente se enumeran las propiedades que puede especificar para los
conjuntos de atributos y los atributos de seguridad personalizados. Algunas
propiedades son inmutables y no se pueden cambiar más tarde.
Propiedad Obligatorio Se puede Descripción

cambiar
más tarde
Nombre de ✅ Nombre del conjunto de atributos. Debe ser

conjunto de único dentro de un inquilino. No puede incluir
atributos espacios ni caracteres especiales.
Descripción del ✅ Descripción del conjunto de atributos.

conjunto de
atributos
Número ✅ Número máximo de atributos de seguridad

máximo de personalizados que se pueden definir en un
atributos conjunto de atributos. El valor predeterminado es
null . Si no se especifica, el administrador puede
agregar hasta 500 atributos activos por inquilino.
Conjunto de ✅ Colección de atributos de seguridad

atributos personalizados relacionados. Todos los atributos
de seguridad personalizados deben formar parte
de un conjunto de atributos.
Nombre del ✅ Nombre del atributo de seguridad personalizado.

atributo Debe ser único dentro de un conjunto de
Propiedad Obligatorio Se puede atributos. No puede incluir espacios ni caracteres
Descripción
cambiar especiales.
más tarde
La descripción ✅ Descripción del atributo de seguridad
del atributo. personalizado.
Tipo de datos ✅ Tipo de datos para los valores de atributo de

seguridad personalizado. Los tipos compatibles
son Boolean , Integer y String .
Permitir que se ✅ Indica si se pueden asignar varios valores al

asignen varios atributo de seguridad personalizado. Si el tipo de
valores datos se establece en Boolean , no se puede
establecer en Sí.
Permitir que ✅ Indica si solo se pueden asignar valores

solo se asignen predefinidos al atributo de seguridad
valores personalizado. Si se establece en No, se permiten
predefinidos valores de forma libre. Más adelante se puede
cambiar de Sí a No, pero no se puede cambiar de
No a Sí. Si el tipo de datos se establece en
Boolean , no se puede establecer en Sí.
Valores Valores predefinidos para el atributo de seguridad

predefinidos personalizado del tipo de datos seleccionado.
Más adelante se pueden agregar más valores
predefinidos. Los valores pueden incluir espacios,
pero no se permiten algunos caracteres
especiales.
El valor ✅ Especifica si el valor predefinido está activo o

predefinido está desactivado. Si se establece en false, el valor
activo predefinido no se puede asignar a ningún objeto
de directorio compatible adicional.
Atributo activo ✅ Especifica si el atributo de seguridad

personalizado está activo o desactivado.
Límites y restricciones
Estos son algunos de los límites y restricciones de los atributos de seguridad
personalizados.
Resource Límite Notas
Definiciones de atributos por 500 Solo se aplica a los atributos

inquilino activos del inquilino.
Conjuntos de atributos por 500

inquilino
Longitud del nombre del 32 Caracteres Unicode y sin

conjunto de atributos distinción de mayúsculas y
minúsculas
Longitud de la descripción del 128 Caracteres Unicode

conjunto de atributos
Longitud del nombre del 32 Caracteres Unicode y sin

atributo distinción de mayúsculas y
minúsculas
Longitud de la descripción del 128 Caracteres Unicode

atributo
Valores predefinidos Caracteres Unicode y con

distinción de mayúsculas y
minúsculas
Valores predefinidos por 100

definición de atributo
Longitud del valor del atributo 64 Caracteres Unicode
Valores de atributo asignados 50 Los valores se pueden

por objeto distribuir entre atributos
únicos y multivalor.
Ejemplo: 5 atributos con 10
valores cada uno o 50
atributos con 1 valor cada uno
Caracteres especiales no <space> ` ~ ! @ # $ % ^ & * El nombre del conjunto de

permitidos para: ( ) _ - + = { [ } ] \| \ : ; atributos y el nombre del
Nombre del conjunto de " ' < , > . ? / atributo no pueden comenzar
atributos con un número
Nombre del atributo
Caracteres especiales Todos los caracteres especiales

permitidos para valores de
atributos
Caracteres especiales <space> + - . : = _ / Si tiene previsto usar valores

permitidos para valores de de atributos con etiquetas de
atributos cuando se usan con índice de blobs, estos son los
etiquetas de índice de blobs únicos caracteres especiales
permitidos para ellas. Para más
información, vea
Configuración de etiquetas de
índice de blobs.
Roles de los atributos de seguridad

personalizados
Microsoft Entra ID proporciona roles integrados para trabajar con atributos de
seguridad personalizados. El rol de administrador de definición de atributos es el rol
mínimo que necesita para administrar atributos de seguridad personalizados. El rol
Administrador de asignación de atributos es el rol mínimo que necesita para asignar
valores de atributo de seguridad personalizados para objetos de Microsoft Entra como
usuarios y aplicaciones. Puede asignar estos roles en el ámbito del inquilino o el del
conjunto de atributos.
Role Permisos
Lector de definiciones de atributos Leer conjuntos de atributos

Leer definiciones de atributos de seguridad
personalizados
Administrador de definiciones de atributos Administrar todos los aspectos de los

conjuntos de atributos
Administrar todos los aspectos de las
definiciones de atributos de seguridad
personalizados
Lector de asignaciones de atributos Leer conjuntos de atributos

personalizados
Leer claves y valores de atributos de seguridad
personalizados para usuarios y entidades de
servicio
Administrador de asignaciones de atributos Leer conjuntos de atributos

personalizados
Leer y actualizar claves y valores de atributos
de seguridad personalizados para usuarios y
entidades de servicio
Lector de registro de atributos Lectura de registros de auditoría para atributos

de seguridad personalizados
Administrador del registro de atributos Lectura de registros de auditoría para atributos

Role Permisos
Configuración de opciones de diagnóstico para

atributos de seguridad personalizados
） Importante
De manera predeterminada, el rol Administrador global y otros roles de

administrador no tienen permisos para leer, definir o asignar atributos de
seguridad personalizados.
Microsoft Graph API

Puede administrar atributos de seguridad personalizados mediante programación
mediante las API de Microsoft Graph. Para más información, consulte Introducción a los
atributos de seguridad personalizados mediante Microsoft Graph API.
Puede usar un cliente de API como el Probador de Graph o Postman para probar más
fácilmente las API de Microsoft Graph para los atributos de seguridad personalizados.
Requisitos de licencia
El uso de esta característica es gratis y está incluido en su suscripción de Azure.
Pasos siguientes
Incorporación o desactivación de definiciones de atributos de seguridad
Administración de acceso a atributos de seguridad personalizados en Microsoft
Entra ID
Asignar, actualizar, enumerar o quitar atributos de seguridad personalizados para
un usuario
Comentarios

Incorporación o desactivación de
definiciones de atributos de seguridad
Artículo • 15/11/2023

Microsoft Entra. En este artículo se describe cómo agregar, editar o desactivar
definiciones de atributos de seguridad personalizados.
Requisitos previos
Para agregar o desactivar definiciones de atributos de seguridad personalizados, debe
tener:
Administrador de definiciones de atributos

Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
Versión 2.0.2.138 o posterior de AzureADPreview si usa Azure AD PowerShell
） Importante
De forma predeterminada, el rol Administrador global y otros roles de

Agregar un conjunto de atributos
 Sugerencia
donde comienza.
Un conjunto de atributos es una colección de atributos relacionados. Todos los atributos

de seguridad personalizados deben formar parte de un conjunto de atributos. No se
puede cambiar el nombre ni eliminar los conjuntos de atributos.
administrador de definición de atributos.
2. Vaya a Protección>Atributos de seguridad personalizados.
3. Haga clic en Agregar conjunto de atributos para agregar un nuevo conjunto de

atributos.
Si la opción Agregar conjunto de atributos está deshabilitada, asegúrese de que se

le ha asignado el rol Administrador de definición de atributos. Para más
información, consulte Troubleshoot custom security attributes (Solución de
problemas de atributos de seguridad personalizados).
4. Escriba un nombre, una descripción y un número máximo de atributos.
Un nombre de conjunto de atributos puede tener 32 caracteres sin espacios ni

caracteres especiales. Una vez que haya especificado un nombre, no puede
cambiarlo. Para obtener detalles, consulte Límites y restricciones.
5. Cuando haya finalizado, haga clic en Agregar.
El nuevo conjunto de atributos aparece en la lista de conjuntos de atributos.
Agregar una definición de atributos de

seguridad personalizados
3. En la página Atributos de seguridad personalizados, busque un conjunto de

atributos existente o haga clic en Agregar conjunto de atributos para agregar un
nuevo conjunto de atributos.
Todas las definiciones de atributos de seguridad personalizados deben formar

parte de un conjunto de atributos.
4. Haga clic para abrir el conjunto de atributos seleccionado.
5. Haga clic en Agregar atributo para agregar un nuevo atributo de seguridad

personalizado al conjunto de atributos.
6. En el cuadro Nombre del atributo, escriba un nombre de atributo de seguridad

personalizado.
Un nombre de atributo de seguridad personalizado puede tener 32 caracteres sin

espacios ni caracteres especiales. Una vez que haya especificado un nombre, no
puede cambiarlo. Para obtener detalles, consulte Límites y restricciones.
7. En el cuadro Descripción, escriba una descripción opcional.
Una descripción puede tener 128 caracteres. Si es necesario, puede cambiar la

descripción más adelante.
8. En la lista Tipo de datos, seleccione el tipo de datos para el atributo de seguridad
personalizado.
Tipo de datos Descripción
Booleano Valor booleano que puede ser true, True, false o False.
Entero Entero de 32 bits.
String Cadena que puede tener una longitud de X caracteres.
9. En Permitir que se asignen varios valores, seleccione Sí o No.
Seleccione Sí para permitir que se asignen varios valores a este atributo de

seguridad personalizado. Seleccione No para permitir que solo se asigne un valor
a este atributo de seguridad personalizado.
10. En Permitir que solo se asignen valores predefinidos, seleccione Sí o No.
Seleccione Sí para requerir que se asignen valores de una lista de valores

predefinidos a este atributo de seguridad personalizado. Seleccione No para
permitir que a este atributo de seguridad personalizado se le asignen valores
definidos por el usuario o valores potencialmente predefinidos.
11. Si Permitir que solo se asignen valores predefinidos está en Sí, haga clic en
Agregar valor para agregar valores predefinidos.
Hay un valor activo disponible para la asignación a objetos. Se define un valor que
no está activo, pero aún no está disponible para la asignación.

12. Cuando termine, haga clic en Guardar.
El nuevo atributo de seguridad personalizado aparece en la lista de atributos de

13. Si desea incluir valores predefinidos, siga los pasos de la sección siguiente.
Edición de una definición de atributos de

Tras agregar una nueva definición de atributo de seguridad personalizado, podrá editar
algunas de las propiedades. Algunas propiedades son inmutables y no se pueden
cambiar.

3. Haga clic en el conjunto de atributos que incluye el atributo de seguridad

personalizado que desea editar.
4. En la lista de atributos de seguridad personalizados, haga clic en los puntos

suspensivos del atributo de seguridad personalizado que desea editar y, a
continuación, haga clic en Editar atributo.
5. Edite las propiedades que están habilitadas.

6. Si Permitir que solo se asignen valores predefinidos está en Sí, haga clic en
Agregar valor para agregar valores predefinidos. Haga clic en un valor predefinido
existente para cambiar la configuración ¿Está activo?.
Desactivar una definición de atributos de

Una vez que agregue una definición de atributo de seguridad personalizado, no podrá
eliminarlo. Sin embargo, puede desactivar una definición de atributo de seguridad
personalizado.

3. Haga clic en el conjunto de atributos que incluye el atributo de seguridad

personalizado que desea desactivar.
4. En la lista de atributos de seguridad personalizados, agregue una marca de

verificación junto al atributo de seguridad personalizado que desea desactivar.
5. Haga clic en Desactivar atributo.
6. En el cuadro de diálogo Desactivar atributo que aparece, haga clic en Sí.
El atributo de seguridad personalizado se desactiva y se mueve a la lista Atributos

desactivados.
PowerShell o Microsoft Graph API
Para administrar las definiciones de atributos de seguridad personalizados de la
organización de Microsoft Entra, puede usar PowerShell o Microsoft Graph API. En los
ejemplos siguientes se administran conjuntos de atributos y definiciones de atributos de
Obtener todos los conjuntos de atributos

En el ejemplo siguiente se obtienen todos los conjuntos de atributos.
PowerShell
Get-MgDirectoryAttributeSet
PowerShell
Get-MgDirectoryAttributeSet | Format-List
Output
Description : Attributes for engineering team

Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team

Id : Marketing
Obtener los conjuntos de atributos principales

En el ejemplo siguiente se obtienen los conjuntos de atributos principales.
PowerShell
PowerShell
Get-MgDirectoryAttributeSet -Top 10
Obtener los conjuntos de atributos en orden

En el ejemplo siguiente se obtienen los conjuntos de atributos por orden.
PowerShell
PowerShell
Get-MgDirectoryAttributeSet -Sort "Id"
Obtener un conjunto de atributos
En el ejemplo siguiente se obtiene un conjunto de atributos.
Conjunto de atributos: Engineering
PowerShell
PowerShell
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Output
Description : Attributes for engineering team

Id : Engineering
AdditionalProperties : {[@odata.context,
https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$enti
ty]}

En el ejemplo siguiente se agrega un nuevo conjunto de atributos.
PowerShell
New-MgDirectoryAttributeSet
PowerShell
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Output
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Actualizar un conjunto de atributos
En el ejemplo siguiente se actualiza un conjunto de atributos.
PowerShell
Update-MgDirectoryAttributeSet
PowerShell
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -
BodyParameter $params
Obtener todas las definiciones de atributos de seguridad
personalizados
En el ejemplo siguiente se obtienen todas las definiciones de atributos de seguridad

personalizados.
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
Output
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AllowedValues :
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
Filtrar las definiciones de atributos de seguridad personalizados

En el ejemplo siguiente se filtran las definiciones de atributos de seguridad
personalizados.
Filtro: nombre de atributo eq 'Project' y estado eq 'Available'
PowerShell
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq

'Project' and status eq 'Available'" | Format-List
Output
AllowedValues :
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
Filtro: conjunto de atributos eq 'Engineering' y estado eq 'Available' y tipo de datos

eq 'String'
PowerShell
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet

eq 'Engineering' and status eq 'Available' and type eq 'String'" |
Format-List
Output
AllowedValues :
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
AllowedValues :
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
Obtener una definición de atributos de seguridad personalizados

En el ejemplo siguiente se obtiene la definición de atributo de seguridad personalizado.

Atributo: ProjectDate
PowerShell
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinition -
CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-
List
Output
AllowedValues :
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttri
buteDefinitions/$entity]}
Agregar una definición de atributos de seguridad personalizados

En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad
personalizado.

Tipo de datos del atributo: cadena
PowerShell
New-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params
| Format-List
Output
AllowedValues :
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
Agregar una definición de atributo de seguridad personalizado que

admita varios valores predefinidos

personalizado que admite varios valores predefinidos.

Atributo: Project
Tipo de datos del atributo: colección de cadenas
PowerShell
PowerShell
$params = @{
description = "Active projects for user"
isCollection = $true
name = "Project"
type = "String"
usePreDefinedValuesOnly = $true
}
| Format-List
Output
AllowedValues :
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
Agregar una definición de atributo de seguridad personalizado con

una lista de valores predefinidos

personalizado con una lista de varios valores predefinidos.

Atributo: Project
Valores predefinidos: Alpine , Baker , Cascade
PowerShell
PowerShell
$params = @{
description = "Active projects for user"
isCollection = $true
name = "Project"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
| Format-List
Output
AllowedValues :
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
Actualización de una definición de atributo de seguridad

personalizado
En el ejemplo siguiente se actualiza la definición de atributo de seguridad

personalizado.

PowerShell
Update-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -
CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -
Actualización de los valores predefinidos de una definición de
atributo de seguridad personalizado
En el ejemplo siguiente se actualizan los valores predefinidos para una definición de

atributo de seguridad personalizado.

Atributo: Project
Actualizar un valor predefinido: Baker
Nuevo valor predefinido: Skagit
PowerShell
Invoke-MgGraphRequest
７ Nota
Para esta solicitud, debe agregar el encabezado OData-Version y asignarle el

valor 4.01 .
PowerShell
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri
"https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefin
itions/Engineering_Project5" -Headers $header -Body $params
Desactivar una definición de atributos de seguridad personalizados

En el ejemplo siguiente se desactiva la definición de atributo de seguridad
personalizado.

Atributo: Project
PowerShell
Update-MgDirectoryCustomSecurityAttributeDefinition
PowerShell
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -
CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -
Obtener todos los valores predefinidos
En el ejemplo siguiente se obtienen todos los valores predefinidos para una definición
de atributo de seguridad personalizado.

Atributo: Project
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Output
Id : Skagit
IsActive : True
Id : Baker
IsActive : False
Id : Cascade
IsActive : True
Id : Alpine
IsActive : True
Obtener un valor predefinido

En el ejemplo siguiente se obtiene el valor predefinido para una definición de atributo
de seguridad personalizado.

Atributo: Project
Valor predefinido: Alpine
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" -
AllowedValueId "Alpine" | Format-List
Output
Id : Alpine
IsActive : True
buteDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Agregar un valor predefinido
En el ejemplo siguiente se agrega el valor predefinido para una definición de atributo de

seguridad personalizado.
Puede agregar valores predefinidos para atributos de seguridad personalizados que
tengan usePreDefinedValuesOnly establecido en true .

Atributo: Project
PowerShell
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter
$params | Format-List
Output
Id : Alpine
IsActive : True
buteDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Desactivar un valor predefinido

En el ejemplo siguiente se desactiva el valor predefinido para una definición de atributo
de seguridad personalizado.

Atributo: Project
PowerShell
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
PowerShell
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -
CustomSecurityAttributeDefinitionId "Engineering_Project" -
AllowedValueId "Alpine" -BodyParameter $params

¿Se pueden eliminar definiciones de atributos de seguridad personalizados?
No, no puede eliminar definiciones de atributos de seguridad personalizados. Solo

puede desactivar definiciones de atributos de seguridad personalizados. Una vez que se
desactiva un atributo de seguridad personalizado, ya no se puede aplicar a los objetos
de Microsoft Entra. Las asignaciones de atributos de seguridad personalizados de la
definición del atributo de seguridad personalizado que se ha desactivado no se quitan
automáticamente. No hay ningún límite en el número de atributos de seguridad
personalizados desactivados. Puede tener 500 definiciones de atributos de seguridad
personalizados activas por inquilino con 100 valores predefinidos permitidos por
definición de atributo de seguridad personalizado.
Pasos siguientes
Entra ID
un usuario
Asignación, actualización, enumeración o eliminación de atributos de seguridad
personalizados de una aplicación
Comentarios

Administración de acceso a atributos de
seguridad personalizados en Microsoft
Entra ID
Artículo • 06/12/2023
Para que los usuarios de su organización trabajen de forma eficaz con atributos de
seguridad personalizados, debe conceder el acceso adecuado. En función de la
información que tenga pensado incluir en los atributos de seguridad personalizados, es
posible que quiera restringir dichos atributos o poder acceder a ellos de forma amplia
en su organización. En este artículo se describe cómo administrar el acceso a atributos
de seguridad personalizados.
Requisitos previos
Para administrar el acceso a atributos de seguridad personalizados, debe tener lo
siguiente:
Administrador de asignaciones de atributos

） Importante

Paso 1: Determinación de cómo organizar los

atributos
Todas las definiciones de atributos de seguridad personalizados deben formar parte de
un conjunto de atributos. Un conjunto de atributos es una forma de agrupar y
administrar los atributos de seguridad personalizados relacionados. Deberá determinar
cómo desea agregar los conjuntos de atributos para su organización. Por ejemplo, es
posible que desee agregar conjuntos de atributos basados en departamentos, equipos
o proyectos. La capacidad de conceder acceso a atributos de seguridad personalizados
depende de cómo organice los conjuntos de atributos.
Paso 2: Identificación del ámbito necesario
Ámbito es el conjunto de recursos al que se aplica el acceso. Para los atributos de
seguridad personalizados, puede asignar roles en el ámbito del inquilino o en el ámbito
del conjunto de atributos. Si desea asignar un acceso amplio, puede asignar roles en el
ámbito del inquilino. Sin embargo, si desea limitar el acceso a determinados conjuntos
de atributos, puede asignar roles en el ámbito del conjunto de atributos.
Las asignaciones de roles de Microsoft Entra son un modelo aditivo, por lo que los
permisos efectivos son la suma de las asignaciones de roles. Por ejemplo, si asigna un
rol a un usuario en el ámbito del inquilino y asigna al mismo usuario el mismo rol en el
ámbito del conjunto de atributos, el usuario seguirá teniendo permisos en el ámbito del
inquilino.
Paso 3: Revisión de los roles disponibles

Debe determinar quién necesita acceso para trabajar con atributos de seguridad
personalizados en su organización. Para ayudarle a administrar el acceso a atributos de
seguridad personalizados, hay cuatro roles integrados de Microsoft Entra. De manera
predeterminada, el rol Administrador global y otros roles de administrador no tienen
permisos para leer, definir o asignar atributos de seguridad personalizados. Si es
necesario, un administrador global puede asignarse estos roles a sí mismo.
Administrador de definiciones de atributos

Lector de definiciones de atributos
Lector de asignaciones de atributos
En la tabla siguiente se proporciona una comparación de alto nivel de los roles de
ﾉ Expand table
Permiso Administrador Administrador Administrador Lector de Lector de

global de de definiciones asignaciones
definiciones asignaciones de de atributos
de atributos de atributos atributos
Leer ✅ ✅ ✅ ✅
conjuntos
de atributos
Leer ✅ ✅ ✅ ✅
definiciones
de atributos
Leer ✅ ✅
asignaciones
de atributos
para
usuarios y
aplicaciones
(entidades
de servicio)
Agregar o ✅
editar
conjuntos
de atributos
Agregar, ✅
editar o
desactivar
definiciones
de atributos
Asignar ✅
atributos a
usuarios y
aplicaciones
(entidades
de servicio)
Paso 4: Determinación de la estrategia de

delegación
En este paso se describen dos maneras de administrar el acceso a los atributos de
seguridad personalizados. La primera consiste en administrarlas de forma centralizada y
la segunda, en delegar su administración en otras personas.
Administración centralizada de atributos

Un administrador al que se le hayan asignado los roles Administrador de definiciones de
atributos y Administrador de asignaciones de atributos en el ámbito del inquilino puede
administrar todos los aspectos de los atributos de seguridad personalizados. En el
diagrama siguiente se muestra cómo un único administrador define y asigna los
1. El administrador (Xia) tiene los roles Administrador de definiciones de atributos y

Administrador de asignaciones de atributos asignados en el ámbito del inquilino.
El administrador agrega conjuntos de atributos y define atributos.
2. El administrador asigna atributos a objetos de Microsoft Entra.
Administrar los atributos de forma centralizada tiene la ventaja de que pueden
administrarlos uno o dos administradores. La desventaja es que el administrador puede
recibir varias solicitudes para definir o asignar atributos de seguridad personalizados. En
este caso, es posible que desee delegar la administración.
Administración de atributos con delegación
Es posible que un administrador no conozca todas las situaciones de cómo se deben

definir y asignar los atributos de seguridad personalizados. Normalmente son los
usuarios de los respectivos departamentos, equipos o proyectos los que más conocen
su área. En lugar de asignar uno o dos administradores para administrar todos los
atributos de seguridad personalizados, puede delegar la administración en el ámbito del
conjunto de atributos. Esto también sigue el procedimiento recomendado de privilegios
mínimos para conceder solo los permisos que otros administradores necesitan para
realizar su trabajo y evitar el acceso innecesario. En el diagrama siguiente se muestra
cómo se puede delegar la administración de atributos de seguridad personalizados en
varios administradores.

1. El administrador (Xia) con el rol Administrador de definiciones de atributos
asignado en el ámbito del inquilino agrega conjuntos de atributos. El
administrador también tiene permisos para asignar roles a otros usuarios
(administrador de roles con privilegios) y delega quién pueden leer, definir o
asignar atributos de seguridad personalizados para cada conjunto de atributos.
2. Los administradores de definiciones de atributos delegados (Alice y Bob) definen
atributos en los conjuntos de atributos a los que se les ha concedido acceso.
3. Los administradores delegados de asignación de atributos (Chandra y Bob)
asignan atributos de sus conjuntos de atributos a objetos de Microsoft Entra.
Paso 5: Selección del ámbito y los roles

apropiados
Una vez que comprenda mejor cómo se organizarán los atributos y quién necesita
acceso, puede seleccionar el ámbito y los roles adecuados de los atributos de seguridad
personalizados. La tabla siguiente puede ayudarle con la selección.
ﾉ Expand table
Quiero conceder este acceso Asigne este rol Ámbito
Leer todos los conjuntos de atributos de un Administrador de

inquilino definiciones de
Inquilino
Leer todas las definiciones de atributos de un atributos
inquilino
Agregar o editar todos los conjuntos de atributos
de un inquilino
Agregar, editar o desactivar todas las definiciones
de atributos de un inquilino
Leer las definiciones de atributos de un conjunto de Administrador de

atributos con ámbito definiciones de
Conjunto de
Agregar, editar o desactivar las definiciones de atributos
atributos
atributos de un conjunto de atributos con ámbito
No poder actualizar el conjunto de atributos con
ámbito
No poder leer, agregar ni actualizar otros conjuntos
de atributos
Leer todos los conjuntos de atributos de un Administrador de

inquilino asignaciones de
Inquilino
Leer todas las definiciones de atributos de un atributos
inquilino
Quiero conceder este acceso Asigne este rol Ámbito
Leer todas las asignaciones de atributos de un

inquilino para los usuarios
inquilino para las aplicaciones (entidades de
servicio)
Asignar todos los atributos de un inquilino a los
usuarios
Asignar todos los atributos de un inquilino a las
aplicaciones (entidades de servicio)
Crear condiciones de asignación de roles de Azure
que usen el atributo de entidad de seguridad para
todos los atributos de un inquilino
Leer las definiciones de atributos de un conjunto de Administrador de

atributos con ámbito asignaciones de
Conjunto de
Leer asignaciones de atributos que usen atributos atributos
atributos
de un conjunto de atributos con ámbito para los
usuarios
Leer asignaciones de atributos que usen atributos
de un conjunto de atributos con ámbito para las
Asignar atributos de un conjunto de atributos con
ámbito a los usuarios
Asignar atributos de un conjunto de atributos con
ámbito a los aplicaciones (entidades de servicio)
Crear condiciones de asignación de roles de Azure
que usen el atributo de entidad de seguridad para
todos los atributos de un conjunto de atributos con
ámbito
No poder leer atributos de otros conjuntos de
atributos
No poder leer asignaciones de atributos que usen
atributos de otros conjuntos de atributos
Leer todos los conjuntos de atributos de un Lector de definiciones

inquilino de atributos
Inquilino
Leer todas las definiciones de atributos de un
inquilino
Leer las definiciones de atributos de un conjunto de Lector de definiciones

atributos con ámbito de atributos
Conjunto de
No poder leer otros conjuntos de atributos
atributos
Leer todos los conjuntos de atributos de un Lector de

inquilino asignaciones de
Inquilino
QuieroLeer todas las
conceder definiciones
este acceso de atributos de un atributos
Asigne este rol Ámbito
inquilino
inquilino para los usuarios
inquilino para las aplicaciones (entidades de
servicio)
Leer las definiciones de atributos de un conjunto de Lector de

atributos con ámbito asignaciones de
Conjunto de
Leer asignaciones de atributos que usen atributos atributos
atributos
de un conjunto de atributos con ámbito para los
usuarios
Leer asignaciones de atributos que usen atributos
de un conjunto de atributos con ámbito para las
No poder leer atributos de otros conjuntos de
atributos
No poder leer asignaciones de atributos que usen
atributos de otros conjuntos de atributos
Paso 6: Asignación de roles

A fin de conceder acceso a las personas adecuadas, siga estos pasos para asignar uno
de los roles de atributos de seguridad personalizados.
Asignación de roles en el ámbito del conjunto de

atributos
 Sugerencia
donde comienza.
En los ejemplos siguientes se muestra cómo asignar un rol de atributo de seguridad

personalizado a una entidad de seguridad en un ámbito de conjunto de atributos
denominado Engineering.
Centro de administración
administrador de asignaciones de atributos.
3. Seleccione el conjunto de atributos al que desea conceder acceso.
4. Seleccione Roles y administradores.
5. Agregue asignaciones para los roles de atributos de seguridad personalizados.
７ Nota
Si usa Microsoft Entra Privileged Identity Management (PIM), actualmente

no se admiten las asignaciones de roles aptas en el ámbito del conjunto
de atributos. Se admiten asignaciones de roles permanentes en el ámbito
del conjunto de atributos.
Asignación de roles en el ámbito del inquilino

En los ejemplos siguientes se muestra cómo asignar un rol de atributo de seguridad
personalizado a una entidad de seguridad en el ámbito del inquilino.
Centro de administración
2. Vaya a Identidad>administradores & Roles > administradores & Roles.
3. Agregue asignaciones para los roles de atributos de seguridad personalizados.
Registros de auditoría de atributos de

En ciertas ocasiones, necesita obtener información acerca de los cambios de los
atributos de seguridad personalizados para fines de auditoría o de solución de
problemas. Cada vez que alguien realice cambios en definiciones o asignaciones, las
actividades se registran.
Los registros de auditoría de atributos de seguridad personalizados proporcionan el

historial de actividades relacionadas con atributos de seguridad personalizados, como
agregar una nueva definición o asignar un valor de atributo a un usuario. A continuación
se incluyen las actividades relacionadas con los atributos de seguridad personalizados
que se registran:

Adición de una definición de atributo de seguridad personalizada en un conjunto
de atributos
Actualizar un conjunto de atributos
Actualización de valores de atributo asignados a un servicePrincipal
Actualización de valores de atributo asignados a un usuario
Actualización de la definición de atributo de seguridad personalizada en un
conjunto de atributos
Visualización de registros de auditoría para cambios de

atributos
Para ver los registros de auditoría de atributos de seguridad personalizados, inicie
sesión en el Centro de administración de Microsoft Entra, vaya a registros de auditoría y
seleccione seguridad personalizada. Para ver los registros de auditoría de atributos de
seguridad personalizada, debe tener asignado uno de los roles siguientes. De forma
predeterminada, un administrador global no tiene acceso a estos registros de auditoría.
Lector de registro de atributos

Administrador del registro de atributos
Para obtener información sobre cómo obtener los registros de auditoría de atributos de
seguridad personalizados mediante Microsoft Graph API, consulte el tipo de recurso
customSecurityAttributeAudit. Para obtener más información, consulte Registros de
auditoría de Microsoft Entra.
Configuración de diagnóstico
Para exportar registros de auditoría de atributos de seguridad personalizados a distintos
destinos para su procesamiento adicional, use la configuración de diagnóstico. Para
crear y configurar opciones de diagnóstico para atributos de seguridad personalizados,
debe tener asignado el rol Administrador de registros de atributos.
 Sugerencia
Microsoft recomienda mantener los registros de auditoría de atributos de

seguridad personalizados separados de los registros de auditoría de directorio para
que las asignaciones de atributos no se muestren involuntariamente.
En la siguiente captura de pantalla se muestra la configuración de diagnóstico de los

atributos de seguridad personalizados. Para más información, consulte Configuración de
diagnóstico en Azure Monitor.
Cambios en el comportamiento de los registros

de auditoría
Se han realizado cambios en los registros de auditoría de atributos de seguridad
personalizados para la disponibilidad general que podrían afectar a las operaciones
diarias. Si ha estado usando registros de auditoría de atributos de seguridad
personalizados durante la versión preliminar, estas son las acciones que debe realizar
para asegurarse de que las operaciones del registro de auditoría no se interrumpen.
Uso de la nueva ubicación de registros de auditoría

Asignación de roles de registro de atributos para ver los registros de auditoría
Creación de una nueva configuración de diagnóstico para exportar registros de
auditoría
Uso de la nueva ubicación de registros de auditoría

Durante la versión preliminar, los registros de auditoría de atributos de seguridad
personalizados se escribieron en el punto de conexión de registros de auditoría de
directorio. En octubre de 2023, se agregó un nuevo punto de conexión exclusivamente
para los registros de auditoría de atributos de seguridad personalizados. En la siguiente
captura de pantalla se muestran los registros de auditoría de directorio y la nueva
ubicación de los registros de auditoría de atributos de seguridad personalizados. Para
obtener los registros de auditoría de atributos de seguridad personalizados mediante
Microsoft Graph API, consulte el tipo de recurso customSecurityAttributeAudit.
Hay un período de transición en el que los registros de auditoría de seguridad

personalizados se escriben tanto en el directorio como en los atributos de seguridad
personalizados de los puntos de conexión del registro de auditoría. En el futuro, debe
usar el punto de conexión de registro de auditoría de atributos de seguridad
personalizados para buscar registros de auditoría de atributos de seguridad
personalizados.
En la siguiente tabla se muestra el punto de conexión donde puede encontrar registros

de auditoría de atributos de seguridad personalizados durante el período de transición.
ﾉ Expand table
Fecha del Punto de conexión de Punto de conexión de atributos de seguridad

evento directorio personalizados
Octubre de ✅ ✅
2023
Feb. de 2024 ✅
Asignación de roles de registro de atributos para ver los

registros de auditoría
Durante la versión preliminar, los registros de auditoría de atributos de seguridad
personalizados se pueden ver mediante el administrador global o roles de
administrador de seguridad en los registros de auditoría del directorio. Ya no puede
usar estos roles para ver los registros de auditoría de atributos de seguridad
personalizados mediante el nuevo punto de conexión. Para ver los registros de auditoría
de atributos de seguridad personalizados, debe tener asignado el rol Lector de registro
de atributos o Administrador de registros de atributos.
Creación de una nueva configuración de diagnóstico para

exportar registros de auditoría
Durante la versión preliminar, si configuró exportar registros de auditoría, los registros
de auditoría de atributos de auditoría de seguridad personalizados se enviaron a la
configuración de diagnóstico actual. Para seguir recibiendo registros de auditoría de
atributos de auditoría de seguridad personalizados, debe crear una nueva configuración
de diagnóstico como se describe en la sección Configuración de diagnóstico anterior.
Pasos siguientes
un usuario
Solución de problemas de atributos de seguridad personalizados en Microsoft
Entra ID
Asignar, actualizar, enumerar o quitar
atributos de seguridad personalizados
para un usuario
Artículo • 16/11/2023
Los atributos de seguridad personalizados de Microsoft Entra ID, parte de

Microsoft Entra, son atributos específicos de la empresa (pares clave-valor) que puede
definir y asignar a objetos de Microsoft Entra. Por ejemplo, puede asignar un atributo de
seguridad personalizado para filtrar a los empleados o para ayudar a determinar quién
obtiene acceso a los recursos. En este artículo se describe cómo asignar, actualizar,
enumerar o quitar atributos de seguridad personalizados para Microsoft Entra ID.
Requisitos previos
Para asignar o eliminar atributos de seguridad personalizados para un usuario en el
inquilino de Microsoft Entra, necesita lo siguiente:

Versión 2.0.2.138 o posterior de AzureADPreview si usa Azure AD PowerShell
） Importante

Asignación de atributos de seguridad

personalizados a un usuario
 Sugerencia
donde comienza.
2. Asegúrese de que ha definido atributos de seguridad personalizados. Para obtener

más información, consulte Agregar o desactivar definiciones de atributos de
seguridad personalizados en Microsoft Entra ID.
4. Busque y seleccione el usuario al que desea asignar atributos de seguridad

personalizados.
5. En la sección Administrar, seleccione Atributos de seguridad personalizados.
6. Seleccione Agregar asignación.
7. En Conjunto de atributos, seleccione un conjunto de atributos de la lista.
8. En Nombre del atributo, seleccione un atributo de seguridad personalizado de la

lista.
9. En función de las propiedades del atributo de seguridad personalizado

seleccionado, puede escribir un valor único, seleccionar un valor de una lista
predefinida o agregar varios valores.
Para los atributos de seguridad personalizados de formato libre y con un solo

valor, escriba un valor en el cuadro Valores asignados.
Para los valores de los atributos de seguridad personalizados predefinidos,
seleccione un valor de la lista Valores asignados.
Para los atributos de seguridad personalizados con varios valores, seleccione
Agregar valores para abrir el panel Valores del atributo y agregue los
valores. Cuando termine de agregar los valores pertinentes, seleccione Listo.

10. Cuando termine, seleccione Guardar para asignar los atributos de seguridad
personalizados al usuario.
Actualización de los valores de asignación de

atributos de seguridad personalizados para un
usuario
Administrador de asignaciones de atributos.
3. Busque y seleccione el usuario que tiene un valor de asignación de atributos de

seguridad personalizados que desea actualizar.
5. Busque el valor de asignación de atributos de seguridad personalizados que desea

actualizar.
Una vez que haya asignado un atributo de seguridad personalizado a un usuario,

solo puede cambiar el valor del atributo de seguridad personalizado. No puede
cambiar otras propiedades del atributo de seguridad personalizado, como el
conjunto de atributos o el nombre del atributo.

seleccionado, puede actualizar un valor único, seleccionar un valor de una lista
predefinida o actualizar varios valores.
7. Cuando termine, seleccione Guardar.
Filtrar usuarios en función de las asignaciones

de atributos de seguridad personalizados
Puede filtrar la lista de atributos de seguridad personalizados asignados a los usuarios
en la página Todos los usuarios.
1. Inicie sesión en el Centro de administración de Microsoft Entra como Lector de

asignaciones de atributos.

3. Seleccione Agregar filtro para abrir el panel Agregar filtro.
4. Seleccione Atributos de seguridad personalizados.
5. Seleccione el conjunto de atributos y el nombre del atributo.
6. En Operador, puede seleccionar es igual a (==), no es igual a (!=) o empieza por.
7. En Valor, escriba o seleccione un valor.
8. Para aplicar el filtro, seleccione Aplicar.
Quitar asignaciones de atributos de seguridad

personalizados de un usuario
Administrador de asignaciones de atributos.
3. Busque y seleccione el usuario que tiene las asignaciones de atributos de

seguridad personalizados que desea quitar.
5. Agregue marcas de verificación junto a todas las asignaciones de atributos de

seguridad personalizados que desea eliminar.
6. Seleccione Quitar asignación.

PowerShell o Microsoft Graph API
Para administrar asignaciones de atributos de seguridad personalizados para los
usuarios de la organización de Microsoft Entra, puede usar PowerShell o
Microsoft Graph API. Los siguientes ejemplos pueden usarse para administrar
asignaciones.
Asignación de un atributo de seguridad personalizado con un valor

de cadena a un usuario
En el ejemplo siguiente se asigna un atributo de seguridad personalizado con un valor

de cadena a un usuario.

Tipo de datos del atributo: cadena
Valor del atributo: "2024-11-15"
PowerShell
Update-MgUser
PowerShell
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" =
"#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = "2024-11-15"
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes
$customSecurityAttributes

de varias cadenas a un usuario
de cadena múltiple a un usuario.

Atributo: Project
Valor del atributo: ["Baker","Cascade"]
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"Project@odata.type" = "#Collection(String)"
"Project" = @("Baker","Cascade")
}
}

de entero a un usuario
entero a un usuario.

Atributo: NumVendors
Tipo de datos del atributo: entero
Valor del atributo: 4
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 4
}
}

de varios enteros a un usuario

entero múltiple a un usuario.

Atributo: CostCenter
Tipo de datos del atributo: colección de enteros
Valor del atributo: [1001,1003]
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"CostCenter@odata.type" = "#Collection(Int32)"
"CostCenter" = @(1001,1003)
}
}

de booleano a un usuario

booleano a un usuario.

Atributo: Certification
Tipo de datos del atributo: booleano
Valor del atributo: true
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"Certification" = $true
}
}
Actualización de una asignación de atributos de seguridad

personalizados con un valor entero para un usuario
En el ejemplo siguiente se actualiza una asignación de atributos de seguridad
personalizados con un valor entero para un usuario.

Atributo: NumVendors
Tipo de datos del atributo: entero
Valor del atributo: 8
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 8
}
}
personalizados con un valor booleano para un usuario

personalizados con un valor booleano para un usuario.

Atributo: Certification
Tipo de datos del atributo: booleano
Valor del atributo: false
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"Certification" = $false
}
}

personalizados con un valor de varias cadenas para un usuario

personalizados con un valor de cadena múltiple para un usuario.

Atributo: Project
Valor del atributo: ("Alpine","Baker")
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"Project@odata.type" = "#Collection(String)"
"Project" = @("Alpine","Baker")
}
}
Obtención de asignaciones de atributos de seguridad

personalizados de un usuario
En el ejemplo siguiente se obtienen las asignaciones de atributo de seguridad

personalizados para un usuario.
PowerShell
Get-MgUser
PowerShell
$userAttributes = Get-MgUser -UserId $userId -Property

"customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-
List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineerin
g
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing
Output
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue],
[Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
[EmployeeId, GS45897]}
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
Project@odata.type #Collection(String)
Project {Baker, Alpine}
ProjectDate 2024-11-15
NumVendors 8
CostCenter@odata.type #Collection(Int32)
CostCenter {1001, 1003}
Certification False
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId KX45897
Si no hay atributos de seguridad personalizados asignados al usuario o si la entidad

de seguridad que realiza la llamada no tiene acceso, la respuesta estará vacía.
Enumeración de todos los usuarios con una asignación de atributos

de seguridad personalizados igual a un valor
En el ejemplo siguiente se enumeran todos los usuarios con una asignación de atributos
de seguridad personalizados que es igual a un valor. Recupera los usuarios con un
atributo de seguridad personalizado denominado AppCountry con un valor igual a
Canada . El valor de filtro no distingue mayúsculas de minúsculas. Debe agregar
ConsistencyLevel=eventual en la solicitud o el encabezado. También debe incluir
$count=true para asegurarse de que la solicitud se enruta correctamente.
Conjunto de atributos: Marketing

Atributo: AppCountry
Filtro: AppCountry eq 'Canada'
PowerShell
Get-MgUser
PowerShell
$userAttributes = Get-MgUser -CountVariable CountVar -Property

"id,displayName,customSecurityAttributes" -Filter
"customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -
ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
List
Output
Id DisplayName
CustomSecurityAttributes
-- ----------- -----------------------
-
4b4e8090-e9ba-4bdc-b2f0-67c3c7c59489 Jiya
Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeV
alue
efdf3082-64ae-495f-b051-855e2d8df969 Jana
alue
Key : Engineering
[Datacenter@odata.type, #Collection(String)], [Datacenter,
System.Object[]]}
Key : Marketing
[AppCountry@odata.type, #Collection(String)], [AppCountry,
System.Object[]],
[EmployeeId, KX19476]}
Key : Marketing
System.Object[]],

de seguridad personalizados que empieza con un valor
En el ejemplo siguiente se enumeran todos los usuarios con una asignación de atributo
de seguridad personalizados que comienza con un valor. Recupera los usuarios con un
atributo de seguridad personalizado denominado EmployeeId , con un valor que
empieza por GS . El valor de filtro no distingue mayúsculas de minúsculas. Debe agregar

Atributo: EmployeeId
Filtro: EmployeeId startsWith 'GS'
PowerShell
Get-MgUser
PowerShell

"startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -
List
Output
Id DisplayName
-- ----------- -----------------------
-
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra
alue
efdf3082-64ae-495f-b051-855e2d8df969 Jana
alue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe
alue
Key : Marketing
Key : Marketing
System.Object[]],
Key : Engineering
[Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
de seguridad personalizados que no equivale a un valor
En el siguiente ejemplo se enumeran todos los usuarios con una asignación de atributos
de seguridad personalizados que no equivale a un valor. Recupera los usuarios con un
atributo de seguridad personalizado denominado AppCountry , con un valor que no es
igual a Canada . El valor de filtro no distingue mayúsculas de minúsculas. Debe agregar

Atributo: AppCountry
Filtro: AppCountry ne 'Canada'
PowerShell
Get-MgUser
PowerShell

"customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -
Output
Id DisplayName
-- ----------- ----------
--------------
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra
alue
eaea4971-7764-4498-9aeb-776496812e75 Isabella
alue
d937580c-692c-451f-a507-6758d3bdf353 Alain
alue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe
alue
23ad8721-f46c-421a-9785-33b0ef474198 Dara
alue
Quitar una asignación de atributos de seguridad personalizados de

un solo valor de un usuario
En el siguiente ejemplo se quita una asignación de atributos de seguridad

personalizados de un solo valor de un usuario al establecer el valor en NULL.

Valor del atributo: null
PowerShell
Invoke-MgGraphRequest
PowerShell
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" =
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri
"https://graph.microsoft.com/v1.0/users/$userId" -Body $params
Quitar una asignación de atributos de seguridad personalizados de

varios valores de un usuario
En el siguiente ejemplo se quita una asignación de atributos de seguridad

personalizados de varios valores de un usuario al establecer el valor en una colección
vacía.

Atributo: Project
Valor del atributo: []
PowerShell
Update-MgUser
PowerShell
"Engineering" = @{
"@odata.type" =
"Project" = @()
}
}

¿Dónde se admiten las asignaciones de atributos de seguridad personalizados para
los usuarios?
Las asignaciones de atributos de seguridad personalizados para los usuarios se admiten

en el centro de administración de Microsoft Entra, PowerShell y las API de
Microsoft Graph. Las asignaciones de atributos de seguridad personalizados no se
admiten en Aplicaciones ni en el Centro de administración de Microsoft 365.
Quién puede ver los atributos de seguridad personalizados asignados a un usuario?
Solo los usuarios a los que se han asignado los roles de administrador de asignaciones
de atributos o de lector de asignaciones de atributos en el ámbito del inquilino pueden
ver los atributos de seguridad personalizados asignados a cualquier usuario del
inquilino. Los usuarios no pueden ver los atributos de seguridad personalizados
asignados a su propio perfil u otros usuarios. Los invitados no pueden ver los atributos
de seguridad personalizados independientemente de los permisos de invitado
establecidos en el inquilino.
¿Es necesario crear una aplicación para agregar asignaciones de atributos de

seguridad personalizados?
No, los atributos de seguridad personalizados se pueden asignar a objetos de usuario

sin necesidad de una aplicación.
¿Por qué se sigue obteniendo un error al intentar guardar asignaciones de atributos

de seguridad personalizados?
No tiene permisos para asignar atributos de seguridad personalizados a usuarios.
Asegúrese de que tiene asignado el rol Administrador de asignaciones de atributos.
¿Puedo asignar atributos de seguridad personalizados a invitados?
Sí, los atributos de seguridad personalizados se pueden asignar a miembros o invitados

del inquilino.
¿Puedo asignar atributos de seguridad personalizados a usuarios sincronizados con

directorios?
Sí, a los usuarios sincronizados con directorios de un entorno de Active Directory local
se les pueden asignar atributos de seguridad personalizados.
¿Están disponibles las asignaciones de atributos de seguridad personalizados para las

reglas de pertenencia dinámica?
No, no se admiten atributos de seguridad personalizados asignados a los usuarios para

configurar reglas de pertenencia dinámica.
¿Los atributos de seguridad personalizados son los mismos que los de los inquilinos
B2C?
No, los atributos de seguridad personalizados no se admiten en los inquilinos B2C y no

están relacionados con las características de B2C.
Pasos siguientes
Asignación, actualización, enumeración o eliminación de atributos de seguridad
personalizados de una aplicación
Ejemplos: asignación, actualización, enumeración o eliminación de asignaciones de
atributos de seguridad personalizados mediante Microsoft Graph API
Entra ID
Comentarios

Administración de atributos de
seguridad personalizados para una
aplicación
Artículo • 20/11/2023

Microsoft Entra. Por ejemplo, puede asignar un atributo de seguridad personalizado
para filtrar las aplicaciones o para ayudar a determinar quién obtiene acceso. En este
artículo se describe cómo asignar, actualizar, enumerar o eliminar atributos de
seguridad personalizados para aplicaciones empresariales de Microsoft Entra.
Requisitos previos
Para asignar o eliminar atributos de seguridad personalizados de una aplicación en el
inquilino de Microsoft Entra, necesita lo siguiente:

Asegúrese de que dispone de atributos de seguridad personalizados existentes.
Para aprender a crear un atributo de seguridad, consulte Incorporación o
desactivación de atributos de seguridad personalizados en Microsoft Entra ID.
） Importante
De manera predeterminada, el rol Administrador global y otros roles de

Asignación, actualización, enumeración o

eliminación de atributos de personalizados de
una aplicación
Descubra cómo trabajar con atributos personalizados de aplicaciones en Microsoft Entra
ID.
Asignación de atributos de seguridad personalizados a
una aplicación
 Sugerencia
donde comienza.
Realice los pasos siguientes para asignar atributos de seguridad personalizados a través
del centro de administración de Microsoft Entra.

2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
3. Busque y seleccione la aplicación a la que desea agregar un atributo de seguridad

personalizado.
5. Seleccione Agregar asignación.
6. En Conjunto de atributos, seleccione un conjunto de atributos de la lista.
7. En Nombre del atributo, seleccione un atributo de seguridad personalizado de la

lista.

seleccionado, puede escribir un valor único, seleccionar un valor de una lista
predefinida o agregar varios valores.
Para los atributos de seguridad personalizados de formato libre y con un solo

valor, escriba un valor en el cuadro Valores asignados.
Para los valores de los atributos de seguridad personalizados predefinidos,
seleccione un valor de la lista Valores asignados.
Para los atributos de seguridad personalizados con varios valores, seleccione
Agregar valores para abrir el panel Valores del atributo y agregue los
valores. Cuando termine de agregar los valores pertinentes, seleccione Listo.

9. Cuando termine, seleccione Guardar para asignar los atributos de seguridad

personalizados a la aplicación.
Actualización de los valores de asignación de atributos de

seguridad personalizados para una aplicación
3. Busque y seleccione la aplicación que tiene un valor de asignación de atributos de

seguridad personalizados que desea actualizar.
5. Busque el valor de asignación de atributos de seguridad personalizados que desea

actualizar.
Una vez que ha asignado un atributo de seguridad personalizado a una aplicación,

solo puede cambiar el valor del atributo de seguridad personalizado. No puede
cambiar otras propiedades del atributo de seguridad personalizado, como el
conjunto de atributos o el nombre del atributo.

seleccionado, puede actualizar un valor único, seleccionar un valor de una lista
predefinida o actualizar varios valores.
7. Cuando termine, seleccione Guardar.

Filtrado de aplicaciones en función de los atributos de
Puede filtrar la lista de atributos de seguridad personalizados asignados a las
aplicaciones en la página Todas las aplicaciones.
1. Inicie sesión en el centro de administración de Microsoft Entra como al menos

un Lector de asignación de atributos.
3. Seleccione Agregar filtros para abrir el panel Seleccionar un campo.
Si no ve Agregar filtros, seleccione el banner para habilitar la versión preliminar de

la búsqueda de aplicaciones empresariales.
4. En Filtros, seleccione Atributo de seguridad personalizado.
5. Seleccione el conjunto de atributos y el nombre del atributo.
6. En Operador, puede seleccionar es igual a (==), no es igual a (!=) o empieza por.
7. En Valor, escriba o seleccione un valor.
8. Para aplicar el filtro, seleccione Aplicar.

Eliminación de asignaciones de atributos de seguridad
personalizados de aplicaciones
3. Busque y seleccione la aplicación que tiene las asignaciones de atributos de

4. En la sección Administrar, seleccione Atributos de seguridad personalizados

5. Agregue marcas de verificación junto a todas las asignaciones de atributos de

6. Seleccione Quitar asignación.
Pasos siguientes
Incorporación o desactivación de atributos de seguridad personalizados en
Microsoft Entra ID
un usuario
Entra ID
Comentarios

Solución de problemas de atributos de
seguridad personalizados en Microsoft
Entra ID
Artículo • 15/11/2023
Síntoma: La adición de un conjunto de

atributos está deshabilitada
Cuando inicia sesión en el centro de administración de Microsoft Entra e intenta
seleccionar la opción Atributos de seguridad personalizados>Agregar conjunto de
atributos, esta está deshabilitada.
Causa
No tiene permisos para agregar un conjunto de atributos. Para agregar un conjunto de

atributos y atributos de seguridad personalizados, debe tener asignado el rol
Administrador de definiciones de atributos. De manera predeterminada, el rol
Administrador global y otros roles de administrador no tienen permisos para leer,
definir o asignar atributos de seguridad personalizados.
Solución
Asegúrese de que se le asigna el rol Administrador de definiciones de atributos en el

ámbito del inquilino o en el ámbito del conjunto de atributos. Para obtener más
información, consulte Administración del acceso a atributos de seguridad
personalizados en Microsoft Entra ID.
Síntoma: Error al intentar asignar un atributo

de seguridad personalizado
Al intentar guardar una asignación de atributos de seguridad personalizados, recibe el
siguiente mensaje:
Insufficient privileges to save custom security attributes

This account does not have the necessary admin privileges to change custom
security attributes
Causa
No tiene permisos para asignar atributos de seguridad personalizados. Para asignar

atributos de seguridad personalizados, debe tener asignado el rol Administrador de
asignaciones de atributos. De manera predeterminada, el rol Administrador global y
otros roles de administrador no tienen permisos para leer, definir o asignar atributos de
Solución
Asegúrese de que se le asigna el rol Administrador de asignaciones de atributos en el

ámbito del inquilino o en el ámbito del conjunto de atributos. Para obtener más
información, consulte Administración del acceso a atributos de seguridad
Síntoma: No se pueden filtrar los atributos de

seguridad personalizados por usuarios o
aplicaciones
Causa 1
No tiene permisos para filtrar los atributos de seguridad personalizados. Para leer y
filtrar los atributos de seguridad personalizados por usuarios o aplicaciones
empresariales, se le debe asignar el rol Lector de asignaciones de atributos o
Administrador de asignaciones de atributos. De manera predeterminada, el rol
Administrador global y otros roles de administrador no tienen permisos para leer,
definir o asignar atributos de seguridad personalizados.
Solución 1
Asegúrese de que se le asigna uno de los siguientes roles integrados de Microsoft Entra
en el ámbito del inquilino o del conjunto de atributos. Para obtener más información,
consulte Administración del acceso a atributos de seguridad personalizados en
Microsoft Entra ID.

Lector de asignaciones de atributos
Causa 2
Se le ha asignado el rol Lector de asignaciones de atributos o Administrador de

asignaciones de atributos, pero no se le ha asignado acceso a un conjunto de atributos.
Solución 2
Puede delegar la administración de los atributos de seguridad personalizados en el

ámbito del inquilino o en el ámbito del conjunto de atributos. Asegúrese de que se le ha
asignado acceso a un conjunto de atributos en el ámbito del inquilino o en el ámbito
del conjunto de atributos. Para obtener más información, consulte Administración del
acceso a atributos de seguridad personalizados en Microsoft Entra ID.
Causa 3
Todavía no hay ningún atributo de seguridad personalizado definido ni asignado para el

inquilino.
Solución 3
Agregue y asigne atributos de seguridad personalizados a usuarios o aplicaciones

empresariales. Para obtener más información, consulte Agregar o desactivar definiciones
de atributos de seguridad personalizados en Microsoft Entra ID, Asignación,
actualización, enumeración o eliminación de atributos de seguridad personalizados para
un usuario o Administración de atributos de seguridad personalizados de una
aplicación.
Síntoma: No se pueden eliminar los atributos
Causa
Solo puede activar y desactivar definiciones de atributos de seguridad personalizados.

No se admite la eliminación de dichos atributos. Las definiciones desactivadas no
cuentan para el límite de 500 definiciones del inquilino.
Solución
Desactive los atributos de seguridad personalizados que ya no necesite. Para obtener

más información, consulte Agregar o desactivar definiciones de atributos de seguridad
Síntoma: No se puede agregar una asignación

de roles en un ámbito de conjunto de atributos
mediante PIM
Cuando se intenta agregar una asignación de roles válida de Microsoft Entra usando
Microsoft Entra Privileged Identity Management (PIM), no se puede establecer el ámbito
en un conjunto de atributos.
Causa
Actualmente, PIM no admite la adición de una asignación de roles válida de

Microsoft Entra en un ámbito de conjunto de atributos.
Síntoma: privilegios insuficientes para

completar la operación
Al intentar usar Graph Explorer para llamar a las API de Microsoft Graph para los
atributos de seguridad personalizados, verá un mensaje similar al siguiente:
Forbidden - 403. You need to consent to the permissions on the Modify

permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

O bien, al intentar usar un comando de PowerShell, ve un mensaje similar al siguiente:
Insufficient privileges to complete the operation.

Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Causa 1
Está usando el explorador de Graph y no ha dado su consentimiento a los permisos de

atributo de seguridad personalizados necesarios para realizar la llamada API.
Solución 1
Abra el panel Permisos, seleccione el permiso de atributo de seguridad personalizado

adecuado y seleccione Consentir. En la ventana Permisos solicitados que aparece, revise
los permisos solicitados.

Causa 2
No se le asigna el rol de atributo de seguridad personalizado necesario para realizar la

llamada API. De manera predeterminada, el rol Administrador global y otros roles de
administrador no tienen permisos para leer, definir o asignar atributos de seguridad
personalizados.
Solución 2
Asegúrese de que se le asigna el rol de atributo de seguridad personalizado necesario.

Para obtener más información, consulte Administración del acceso a atributos de
seguridad personalizados en Microsoft Entra ID.
Causa 3
Está intentando quitar una asignación de atributo de seguridad personalizada de un
solo valor estableciendo en null usando el comando Update-MgUser o Update-
MgServicePrincipal.
Solución 3
Use el comando Invoke-MgGraphRequest en su lugar. Para obtener más información,

consulte Quitar una asignación de atributos de seguridad personalizados con un solo
valor de un usuario o Quitar asignaciones de atributos de seguridad personalizados de
aplicaciones.
Síntoma: Mensaje de error

Request_UnsupportedQuery
Al intentar llamar a las API de Microsoft Graph para los atributos de seguridad
personalizados, verá un mensaje similar al siguiente:
Bad Request - 400

Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property
'<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Causa
La solicitud no tiene el formato correcto.
Solución
Si es necesario, agregue ConsistencyLevel=eventual en la solicitud o el encabezado.

También puede ser necesario incluir $count=true para asegurarse de que la solicitud se
enruta correctamente. Para obtener más información, consulte Ejemplos: asignar,
actualizar, enumerar o quitar asignaciones de atributos de seguridad personalizados
mediante Microsoft Graph API.

Pasos siguientes
Entra ID
Solución de problemas de las condiciones de asignación de roles de Azure
Comentarios

Administración de trabajadores de
primera línea
Artículo • 18/12/2023
Los trabajadores de primera línea suponen más del 80 % de la mano de obra global. A
pesar de ello, debido a la gran escala, la rápida rotación y la fragmentación de los
procesos, los trabajadores de primera línea no suelen disponer de las herramientas
necesarias para hacer que sus exigentes trabajos resulten un poco más sencillos. La
administración de trabajadores de primera línea lleva la transformación digital a toda la
mano de obra de primera línea. La mano de obra puede incluir directivos, trabajadores
de primera línea, operaciones y TI.
La administración de trabajadores de primera línea capacita a esta mano de obra al

hacer que las siguientes actividades resulten más fáciles de realizar:
Simplificación de tareas comunes de TI con Mi personal

Incorporación sencilla de trabajadores de primera línea por medio de una
autenticación simplificada
Aprovisionamiento sin problemas de dispositivos compartidos y cierre de sesión
seguro de los trabajadores de primera línea
Administración de usuarios delegada por

medio de Mi personal
Microsoft Entra ID en el portal Mi Personal permite delegar la administración de
usuarios. Los administradores de primera línea pueden ahorrar un valioso tiempo y
reducir los riesgos por medio del portal Mi personal. Cuando un administrador habilita
los restablecimientos de contraseña y la administración telefónica simplificados
directamente desde la tienda o la fábrica, los administradores pueden conceder acceso
a los empleados sin necesidad de enrutar la solicitud a través del departamento de
soporte técnico, TI u otras operaciones.
Incorporación acelerada con autenticación
simplificada
Mi personal también permite a los administradores de primera línea registrar los
números de teléfono de los miembros del equipo para inicio de sesión con SMS. En
muchos segmentos verticales, los trabajadores de primera línea tienen una combinación
de nombre de usuario y contraseña local, una solución que suele resultar engorrosa,
costosa y propensa a errores. Cuando el departamento de TI habilita la autenticación
mediante inicio de sesión con SMS, los trabajadores de primera línea pueden iniciar
sesión con inicio de sesión único (SSO) en Microsoft Teams y otras aplicaciones con solo
su número de teléfono y un código de acceso de un solo uso (OTP) que se envía por
SMS. De esta forma, el inicio de sesión de los trabajadores de primera línea será sencillo
y seguro, además proporcionará un acceso rápido a las aplicaciones que más necesitan
utilizar.
Los administradores de primera línea también pueden usar la aplicación Managed
Home Screen (MHS) para permitir a los trabajadores el acceso a un conjunto
determinado de aplicaciones en sus dispositivos dedicados Android inscritos en Intune.
Los dispositivos dedicados están inscritos en el modo de dispositivo compartido de
Microsoft Entra. Si se ha configurado en el modo de pantalla completa de varias
aplicaciones en el centro de administración de Microsoft Intune, MHS se iniciará
automáticamente como pantalla principal predeterminada en el dispositivo y se
mostrará al usuario final como la única pantalla principal. Para obtener más información,
vea Configuración de la aplicación Managed Home Screen de Microsoft para Android
Enterprise.
Cierre de sesión seguro de los trabajadores de

primera línea desde dispositivos compartidos
Los trabajadores de primera línea de muchas empresas usan dispositivos compartidos
para realizar transacciones de administración de inventario y ventas. El uso compartido
de dispositivos reduce la carga de TI al realizar el aprovisionamiento y el seguimiento de
forma individual. Con el cierre de sesión de dispositivo compartido, es fácil para un
trabajador de primera línea cerrar la sesión de todas las aplicaciones de forma segura en
cualquier dispositivo compartido antes de entregarlo a la central o de pasarlo a un
compañero en el turno siguiente. Los trabajadores de primera línea pueden usar
Microsoft Teams para consultar las tareas que tengan asignadas. Una vez que un
trabajador cierra la sesión de un dispositivo compartido, Intune y Microsoft Entra ID
borran todos los datos de la empresa para que el dispositivo pueda entregarse de forma
segura al siguiente asociado. Puede optar por integrar esta capacidad en todas las
aplicaciones iOS y Android de línea de negocio mediante la Biblioteca de autenticación
de Microsoft.
Pasos siguientes
Para obtener más información sobre la administración de usuarios delegada, vea la
documentación del usuario de Mi personal .
Artículo • 13/12/2023
Agregue nuevos usuarios al inquilino o elimine existentes. Para agregar o eliminar

usuarios debe ser administrador de usuarios o global.
７ Nota
Para obtener información sobre la visualización y eliminación de datos personales,

revise las instrucciones de Microsoft en el sitio Servicio de tratamiento de datos de
solicitudes de interesados de Windows Enterprise para el RGPD y la CCPA. Para
obtener información general sobre RGPD, consulte Información sobre los
procedimientos recomendados para el cumplimiento del RGPD y la sección
RGPD del portal de confianza de servicios .
Agregar un nuevo usuario
 Sugerencia
donde comienza.
Puede crear un nuevo usuario para su organización o invitar a un usuario externo desde
el mismo punto de partida.

3. Seleccione Nuevo usuario>Crear nuevo usuario o Invitar a un usuario externo.

4. En la página Nuevo usuario, proporcione la información del nuevo usuario:
Información básica: agregue un nombre principal de usuario y un nombre

para mostrar. El nombre principal de usuario y el nombre para mostrar son
necesarios y no pueden contener caracteres con tilde. También puede
agregar un nombre y apellidos.
La parte de dominio del nombre de usuario debe usar el nombre de dominio

predeterminado inicial, como nombrededominio.onmicrosoft.com o un
nombre de dominio personalizado, como contoso.com. Para más información
sobre cómo crear un nombre de dominio personalizado, consulte
Incorporación del nombre de dominio personalizado.
Asignaciones Opcionalmente, agregue el usuario a uno o varios grupos,

unidades administrativas o roles existentes.
Propiedades: agregue información como la ubicación de uso del usuario, el

puesto de trabajo, el departamento, el nombre de la empresa y el supervisor.
Estos detalles se pueden actualizar en cualquier momento. Para obtener más
información sobre cómo agregar información de usuario, vea Administración
de la información del perfil de usuario.
5. Copie la contraseña generada automáticamente proporcionada en el cuadro de

texto Contraseña. Debe proporcionar esta contraseña al usuario para que inicie
sesión por primera vez.
6. Seleccione Revisar y crear>Crear.
Incorporación de un usuario invitado nuevo

También puede invitar a un usuario invitado nuevo a colaborar con su organización si
selecciona Invitar usuario externo en la página Nuevo usuario. Si la configuración de
colaboración externa de la organización está configurada para invitar a otros usuarios, el
usuario recibirá una invitación por correo electrónico que debe aceptar para empezar a
colaborar. Para más información sobre cómo invitar a usuarios de colaboración B2B,
consulte Invitación a usuarios B2B a Microsoft Entra ID.
El proceso para invitar a un usuario es el mismo que agregar un nuevo usuario, con dos
excepciones. La dirección de correo electrónico no seguirá las mismas reglas de dominio
que los usuarios de la organización. También puedes incluir un mensaje personal.
Agregar otros usuarios

Puede haber escenarios en los que desee crear manualmente cuentas de consumidor en
el directorio de Azure Active Directory B2C (Azure AD B2C). Para más información sobre
cómo crear cuentas de consumidor, consulte Creación y eliminación de usuarios
consumidores en Azure AD B2C.
Si tiene un entorno con Microsoft Entra ID (nube) y Windows Server Active Directory
(local), puede agregar nuevos usuarios mediante la sincronización de los datos de la
cuenta de usuario existentes. Para obtener más información sobre entornos híbridos y
usuarios, consulte Integración de directorios locales con Microsoft Entra ID.
Eliminación de usuarios
Puede eliminar un usuario existente mediante el centro de administración de
Microsoft Entra.
Debe tener una asignación de roles de administrador global, administrador de

autenticación con privilegios o administrador de usuarios para eliminar usuarios de
la organización.
Los administradores globales y los administradores de autenticación con
privilegios pueden eliminar cualquier usuario, entre los que se incluyen otros
administradores.
Los administradores de usuarios pueden eliminar cualquier usuarios que no sea
administrador, administradores del departamento de soporte técnico y otros
administradores de usuarios.
Para más información, consulte los permisos del rol de administrador.
Siga estos pasos para eliminar un usuario:

3. Busque y seleccione el usuario que desea eliminar.
El usuario se elimina y ya no aparece en la página Todos los usuarios. El usuario se

puede ver en la página Usuarios eliminados durante los próximos 30 días y puede
restaurarse durante ese tiempo. Para más información sobre cómo restaurar un usuario,
consulte Restauración o eliminación de un usuario recientemente eliminado.
Cuando se elimina un usuario, las licencias consumidas por el usuario se ponen a

disposición de otros usuarios.
７ Nota
Para actualizar la identidad, la información de contacto o la información del trabajo

de los usuarios cuyo origen de autoridad es Windows Server Active Directory, debe
usar Windows Server Active Directory. Después de completar la actualización, debe
esperar a que se complete el ciclo de sincronización siguiente para poder ver los
cambios.
Pasos siguientes
Después de agregar a los usuarios, puede realizar los procesos básicos siguientes:
del perfil)
Trabajo con usuarios y grupos dinámicos
Adición de usuarios invitados de otro directorio

Azure Entra

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Azure Entra

Cargado por

Copyright:

Formatos disponibles

Díganos qué opina sobre la experiencia de descarga del PDF.

Documentación sobre los aspectos

Acerca de Microsoft Entra

¿Qué es Microsoft Entra ID?

Novedades de Microsoft Entra ID

Arquitectura de Microsoft Entra

Acceso al portal y creación de un inquilino

Creación de un grupo e incorporación de miembros

Adición de personalización de compañía

Crear una cuenta Microsoft Entra

ｃ GUÍA PASO A PASO

Inscríbase en las ediciones P1 o P2 de Microsoft Entra ID

Regístrese en Microsoft Entra ID como organización

Incorporación del nombre de dominio personalizado

Administrar grupos en Microsoft Entra ID

Más información sobre los grupos

ｃ GUÍA PASO A PASO

Administración de grupos y pertenencia a grupos

Adición de usuarios y asignación de roles y licencias

ｃ GUÍA PASO A PASO

Crear o eliminar usuarios

Asignación de roles a usuarios

Asignación de licencias a usuarios

Microsoft Entra ID es un servicio de administración de identidades y acceso basado en la

¿Quién usa Microsoft Entra ID?

Administradores de TI: pueden usar Microsoft Entra ID para controlar el acceso a

Los desarrolladores de aplicaciones pueden usar Microsoft Entra ID como

¿Cuáles son las licencias de identificador de

Para mejorar la implementación de Microsoft Entra, también puede agregar

Para conocer las opciones de precios de estas licencias, consulte Precios de

Microsoft Entra ID Free. Proporciona administración de grupos y usuarios,

Microsoft Entra ID P1. Además de las características de la versión Free, P1 también

Licencias de la característica de "Pago por uso". También puede obtener licencias

¿Qué características funcionan en el

Administración de Administre las aplicaciones en la nube y locales mediante Application

Autenticación Administrar Microsoft Introduce el restablecimiento de contraseñas de

Administración de Gestione la forma en que los dispositivos en la nube o locales acceden a

Servicios de Combine máquinas virtuales de Azure en un dominio sin controladores de

Usuarios de Gestione las asignaciones de licencias, el acceso a las aplicaciones y

Gobernanza de Administre la identidad de su organización a través de controles de acceso

Protección de Detecte posibles puntos vulnerables que afecten a identidades de su

Identidades Proporcione a sus servicios de Azure una identidad administrada

Privileged Identity Administre, controle y supervise el acceso dentro de su organización. Esta

Azure, así como a otros servicios Microsoft Online Services, como

Identidades de Proporcione una identidad a su carga de trabajo de software (como una

Cuenta de Una identidad creada a través de Microsoft Entra ID u otro servicio en la

Administrador de Este rol de administrador de suscripción clásica conceptualmente es el

Administrador de Este rol de administrador de suscripciones clásico permite administrar todos

Administrador Este rol de administrador se asigna automáticamente a quien haya creado el

Inquilino de Instancia dedicada y de confianza del identificador de Microsoft Entra. Un

Directorio de Cada inquilino de Azure tiene un directorio dedicado y confiable de

Lista de verificación de implementación de características de Microsoft Entra ID P2

Lista de verificación de implementación de características de Microsoft Entra ID P2

Microsoft ha cambiado el nombre de Azure Active Directory (Azure AD) a Microsoft

Sin interrupciones en el uso o el servicio

Todas las características y funcionalidades siguen estando disponibles en el producto.

Nomenclatura de cambios y excepciones

Microsoft Entra es el nombre de la familia de productos de soluciones de identidad

Puede descargar el nuevo icono de Microsoft Entra ID aquí: Iconos de arquitectura de

"Acceso condicional de Azure AD" es ahora "Acceso condicional de

Para obtener una lista detallada, consulte el Glosario de terminología actualizada.

¿Qué nombres no cambian?

Grafo de Windows Server Active Directory, comúnmente conocido como Active