Configurar la administración de grupos de autoservicio en Microsoft Entra ID

Puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Microsoft 365 en Microsoft Entra ID. El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y delegar el control de la pertenencia a grupos. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución.

Pertenencia a grupos de autoservicio

Puede permitir que los usuarios creen grupos de seguridad, los cuales se usan para administrar el acceso a los recursos compartidos. Los usuarios pueden crear grupos de seguridad en Azure Portal mediante PowerShell de Azure Active Directory (Azure AD) o desde el portal Mis grupos.

Captura de pantalla que muestra el portal Mis Grupos.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Solo los propietarios del grupo pueden actualizar la pertenencia, pero puedes proporcionarles la capacidad de aprobar o denegar las solicitudes de pertenencia desde el portal Mis Grupos. Los grupos de seguridad creados con autoservicio mediante el portal Mis Grupos están disponibles para que se unan todos los usuarios, tanto los aprobados por el propietario como los aprobados automáticamente. En el portal Mis Grupos, puedes cambiar las opciones de pertenencia al crear el grupo.

Los grupos de Microsoft 365 proporcionan oportunidades de colaboración a los usuarios. Puede crear grupos en cualquiera de las aplicaciones de Microsoft 365, tales como SharePoint, Microsoft Teams y Planner. También puedes crear Grupos de Microsoft 365 en Azure Portal mediante PowerShell de Microsoft Graph o desde el portal Mis Grupos. Para obtener más información sobre la diferencia entre los grupos de seguridad y los grupos de Microsoft 365, consulte más información sobre los grupos.

Grupos creados en Comportamiento predeterminado del grupo de seguridad Comportamiento predeterminado del grupo de Microsoft 365
PowerShell de Microsoft Graph Solo los propietarios pueden agregar miembros.
Visible pero no disponible para unirse en el panel de acceso a grupos de Aplicaciones.
Abierto para que todos los usuarios se unan.
Azure Portal Solo los propietarios pueden agregar miembros.
Visible pero no disponible para unirse en el portal Mis grupos.
El propietario no se asigna automáticamente durante la creación del grupo.
Abierto para que todos los usuarios se unan.
Portal Mis grupos Los usuarios pueden administrar grupos y solicitar acceso para unirse a grupos aquí.
Las opciones de pertenencia se pueden cambiar al crear un grupo.
Abierto para que todos los usuarios se unan.
Las opciones de pertenencia se pueden cambiar al crear un grupo.

Escenarios de administración de grupos de autoservicio

Hay dos escenarios que ayudan a explicar la administración de grupos de autoservicio.

Administración de grupos delegados

En este escenario de ejemplo, un administrador administra el acceso a una aplicación de software como servicio (SaaS) que usa su empresa. La administración de los derechos de acceso es compleja, por lo que el administrador solicita al propietario de la empresa la creación de un nuevo grupo. El administrador asigna al nuevo grupo acceso a la aplicación y le agrega todas las personas que ya acceden a la aplicación. Luego, el propietario de la empresa puede agregar más usuarios, y dichos usuarios se aprovisionan automáticamente en la aplicación.

No es preciso que el propietario espere a que el administrador administre el acceso de los usuarios. Si el administrador concede el mismo permiso a un administrador de otro grupo de negocios, esa persona también puede administrar el acceso de sus propios usuarios. Ni el propietario de la empresa ni el administrador pueden ver ni administrar la pertenencia a grupos del otro. El administrador sigue viendo a todos los usuarios que tienen acceso a la aplicación y puede bloquear los derechos de acceso si es necesario.

Nota:

En escenarios delegados, el administrador debe tener al menos un rol Administrador de roles con privilegios de Microsoft Entra .

Self-service group management (Administración de grupos de autoservicio)

En este escenario de ejemplo, dos usuarios tienen sitios de SharePoint Online configurados de forma independiente. Ellos quieren dar al equipo del otro acceso a sus sitios. Para realizar esta tarea, pueden crear un grupo en Microsoft Entra ID. En SharePoint Online, cada uno de ellos selecciona ese grupo para proporcionar acceso a sus sitios.

Cuando alguien quiera acceder, lo solicitará desde el portal Mis Grupos. Después de la aprobación, se obtiene acceso a ambos sitios de SharePoint Online automáticamente. Posteriormente, uno de ellos decide que todas las personas que accedan a su sitio también deben obtener acceso a una aplicación SaaS concreta. El administrador de la aplicación SaaS puede agregar derechos de acceso a la aplicación en el sitio de SharePoint Online. Desde ese momento, todas las solicitudes aprobadas dan acceso tanto a los dos sitios de SharePoint Online como a la aplicación SaaS.

Puesta a disposición de un grupo para el autoservicio del usuario

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Todos los grupos>Grupos y, a continuación, seleccione el valor General.

    Nota:

    Esta configuración solo restringe el acceso a la información de grupo en Mis grupos. No restringe el acceso a la información de grupo a través de otros métodos, tales como llamadas a la API de Microsoft Graph o el Centro de administración Microsoft Entra.

    Captura de pantalla que muestra la configuración general de los grupos de Microsoft Entra.

    Nota:

    Los cambios relacionados con la configuración de administración de grupo de servicios, programado inicialmente para junio de 2024, se están revisando actualmente y no se realizarán según lo previsto originalmente. En el futuro se anunciará una fecha de desuso.

  4. Establezca Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso en .

  5. Establezca Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso en No.

  6. Establezca Los usuarios pueden crear grupos de seguridad en los portales de Azure, la API o PowerShell en o No.

    Para obtener más información sobre esta configuración, consulte Configuración de grupo.

  7. Establezca Los usuarios pueden crear grupos de Microsoft 365 en los portales de Azure, la API o PowerShell en o No.

    Para obtener más información sobre esta configuración, consulte Configuración de grupo.

También puede usar Owners who can assign members as group owners in the Azure portal (Los propietarios pueden asignar miembros como propietarios de grupos en Azure Portal) para conseguir un control más pormenorizado sobre la administración de grupos de autoservicio para los usuarios.

Cuando los usuarios pueden crear grupos, todos los usuarios de su organización tienen la capacidad de crear nuevos grupos. Como propietarios predeterminados, pueden agregar miembros a estos grupos. No puede especificar a personas que puedan crear sus propios grupos. Solo puede especificar a personas para convertir a otro miembro del grupo en propietario del grupo.

Nota:

Se requiere una licencia de Microsoft Entra ID Premium1 o 2 para que los usuarios puedan solicitar unirse a un grupo de seguridad o a un grupo de Microsoft 365 y para que los propietarios puedan aprobar o denegar las solicitudes de pertenencia. Sin una licencia P1 o P2 de Microsoft Entra ID, los usuarios pueden administrar sus grupos en el Panel de acceso a grupos de Aplicaciones. Sin embargo, no pueden crear un grupo que requiera aprobación del propietario ni solicitar unirse a un grupo.

Configuración de grupo

La configuración de grupo permite controlar quién puede crear grupos de seguridad y de Microsoft 365.

Captura de pantalla que muestra el cambio de configuración de los grupos de seguridad de Microsoft Entra.

La tabla siguiente le ayudará a decidir qué valores elegir.

Configuración Value Efecto en el inquilino
Se pueden crear grupos de seguridad en Azure Portal, la API o PowerShell. Todos los usuarios de la organización de Microsoft Entra ID pueden crear nuevos grupos de seguridad y agregar miembros a estos grupos en Azure Portal, la API o PowerShell. Estos grupos nuevos también se muestran en el Panel de acceso para el resto de usuarios. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos.
No Los usuarios no pueden crear grupos de seguridad. Todavía pueden administrar la pertenencia a grupos de los que son propietarios y aprobar las solicitudes de otros usuarios para unirse a sus grupos.
Los usuarios pueden crear grupos de Microsoft 365 en Azure Portal, la API o PowerShell. Todos los usuarios de la organización de Microsoft Entra ID pueden crear nuevos grupos de Microsoft 365 y agregar miembros a estos grupos en Azure Portal, la API o PowerShell. Estos grupos nuevos también se muestran en el Panel de acceso para el resto de usuarios. Si la configuración de la directiva en el grupo lo permite, otros usuarios pueden crear solicitudes para unirse a dichos grupos.
No Los usuarios no pueden crear grupos de M365. Todavía pueden administrar la pertenencia a grupos de los que son propietarios y aprobar las solicitudes de otros usuarios para unirse a sus grupos.

Estos son algunos detalles adicionales sobre la configuración de grupos.

  • Esta configuración puede tardar hasta 15 minutos en aplicarse.
  • Si desea habilitar algunos de los usuarios, pero no todos, para crear grupos, puede asignar a esos usuarios un rol que pueda crear grupos, como Administrador de grupos.
  • Esta configuración es para los usuarios y no afecta a las entidades de servicio. Por ejemplo, si tenía una entidad de servicio con permisos para crear grupos, seguirá siendo capaz de crear grupos aunque establezca esta configuración en No.

Configuración de grupos mediante Microsoft Graph

Para configurar los Usuarios puede crear grupos de Microsoft 365 en Azure Portals, API o PowerShell mediante Microsoft Graph, configure el objeto EnableGroupCreation en el objeto groupSettings. Para más información, consulte Información general sobre los valores de grupo.

Para establecer la configuración de Los usuarios pueden crear grupos de seguridad en Azure Portal, API o PowerShell mediante Microsoft Graph, actualice la propiedad allowedToCreateSecurityGroups de defaultUserRolePermissions en el objeto authorizationPolicy.

Pasos siguientes

Para obtener más información sobre Microsoft Entra ID, consulte: