Administrar grupos de Microsoft Entra y la pertenencia a grupos

Los grupos de Microsoft Entra se usan para administrar usuarios que necesitan todos el mismo acceso y permisos a recursos, como aplicaciones y servicios potencialmente restringidos. En lugar de agregar permisos especiales a usuarios individuales, puedes crear un grupo que aplique los permisos especiales a cada miembro de ese grupo.

En este artículo se tratan los escenarios de grupos básicos en los que se agrega un único grupo a un único recurso y los usuarios se agregan como miembros de ese grupo. Para escenarios más complejos, como los grupos de pertenencia dinámica y la creación de reglas, consulta la Documentación sobre administración de usuarios de Microsoft Entra.

Antes de agregar grupos y miembros, obtén información sobre los grupos y los tipos de pertenencia para ayudarte a decidir qué opciones usar cuando crees un grupo.

Requisitos previos

None

Creación de un grupo básico y adición de miembros

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comience.

Puedes crear un grupo básico y agregar los miembros al mismo tiempo mediante el Centro de administración Microsoft Entra. Debes tener al menos el rol de Administrador de grupos o Administrador de usuarios asignado para crear grupos. Revisión de los roles apropiados de Microsoft Entra para la administración de grupos

Para crear un grupo básico y agregar miembros:

  1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

  2. Ve a Identidad>Grupos>Todos los grupos.

  3. Selecciona Nuevo grupo.

    Captura de pantalla de la página

  4. Selecciona un Tipo de grupo. Para obtener más información sobre los tipos de grupo, consulta el artículo Información sobre los grupos y los tipos de pertenencia.

    • Si seleccionas el tipo de grupo de Microsoft 365, se habilitará la opción Dirección de correo electrónico del grupo.
  5. Escribe un Nombre de grupo. Elige un nombre que sea fácil de recordar y que tenga sentido para el grupo. Se realizará una comprobación para determinar si el nombre ya está en uso. Si el nombre del grupo ya está en uso, se te pedirá que lo modifiques.

    • El nombre del grupo no puede comenzar con un espacio. Al iniciar el nombre con un espacio, se impide que el grupo aparezca como una opción para pasos como agregar asignaciones de roles a los miembros del grupo.
  6. Dirección de correo electrónico del grupo: solo está disponible para los tipos de grupo de Microsoft 365. Escribe manualmente una dirección de correo electrónico o usa la que se creó a partir del nombre de grupo que proporcionaste.

  7. Descripción de grupo. Agrega una descripción opcional al grupo.

  8. Cambia la opción Roles de Azure AD se puede asignar al grupo a Sí para usar este grupo para asignar roles de Microsoft Entra a los miembros.

    • Esta opción solo está disponible con licencias Premium P1 o P2.
    • Debes tener al menos el rol de administrador de roles con privilegios.
    • Al habilitar esta opción, se selecciona automáticamente Asignado como tipo de pertenencia.
    • La capacidad de agregar roles mientras se crea el grupo se agrega al proceso.
    • Obtén más información sobre los grupos a los que se pueden asignar roles.
  9. Selecciona un tipo de pertenencia. Para obtener más información sobre los tipos de grupos, consulta el artículo Información sobre los grupos y los tipos de pertenencia.

  10. De manera opcional, agrega Propietarios o Miembros. Los miembros y propietarios se pueden agregar después de crear el grupo.

    1. Selecciona el vínculo en Propietarios o Miembros para rellenar una lista de todos los usuarios del directorio.
    2. Elige usuarios de la lista y, a continuación, en la parte inferior de la ventana, selecciona el botón Seleccionar.

    Captura de pantalla de la selección de miembros para el grupo durante el proceso de creación de dicho grupo.

  11. Selecciona Crear. Se ha creado el grupo y está listo para que administres otras configuraciones.

    Desactivación del correo electrónico de bienvenida al grupo

    Cuando los usuarios se agregan a un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida a todos, independientemente del tipo de pertenencia. Cuando cambia un atributo de un usuario o dispositivo, se procesan todas las reglas de grupos de pertenencia dinámica de la organización para comprobar si hay posibles cambios de pertenencia. Los usuarios que se agregan también reciben la notificación de bienvenida. Este comportamiento se puede desactivar en Exchange PowerShell.

Agregar miembros o propietarios de un grupo

Los miembros y propietarios se pueden agregar de los grupos existentes. El proceso es el mismo para los miembros y propietarios. Necesitará el rol Administrador de grupos o Administrador de usuarios para agregar miembros y propietarios.

¿Necesita agregar varios miembros a la vez? Obtenga información sobre la opción Agregar miembros en bloque.

  1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

  2. Ve a Identidad>Grupos>Todos los grupos.

  3. Seleccione el grupo que necesita administrar.

  4. Seleccione Miembros o Propietarios.

    Captura de pantalla de la página Información general del grupo con las opciones de menú Miembros y Propietarios resaltadas.

  5. Seleccione + Agregar (miembros o propietarios).

  6. Desplácese por la lista o bien introduzca un nombre en el cuadro de búsqueda. Puede elegir varios nombres a la vez. Cuando esté listo, seleccione el botón Seleccionar.

    La página Información general del grupo se actualiza para mostrar el número de miembros que ahora se agregan al grupo.

Quitar miembros o propietarios de un grupo

Los miembros y propietarios se pueden quitar de los grupos existentes. El proceso es el mismo para los miembros y propietarios. Necesitará el rol Administrador de grupos o Administrador de usuarios para quitar miembros y propietarios.

  1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

  2. Ve a Identidad>Grupos>Todos los grupos.

  3. Seleccione el grupo que necesita administrar.

  4. Seleccione Miembros o Propietarios.

  5. Active la casilla que está junto a un nombre de la lista y seleccione el botón Quitar.

    Captura de pantalla de los miembros del grupo con un nombre seleccionado y el botón Eliminar resaltado.

Edición de la configuración del grupo

Puede editar el nombre del grupo, la descripción o el tipo de pertenencia. Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la configuración de un grupo.

Para editar la configuración de un grupo:

  1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

  2. Ve a Identidad>Grupos>Todos los grupos.

  3. Desplácese por la lista o introduzca un nombre de grupo en el cuadro de búsqueda. Seleccione el grupo que necesita administrar.

  4. Seleccione Propiedades en el menú lateral.

  5. Actualice la información de configuración general según sea necesario, incluidos:

    • Nombre de grupo. Edite el nombre de grupo existente.

    • Descripción de grupo. Edite la descripción de grupo existente.

    • Tipo de grupo. No se puede cambiar el tipo de grupo después de que se ha creado. Para cambiar el tipo de grupo, debe eliminar el grupo y crear uno nuevo.

    • Tipo de pertenencia. Cambie el tipo de pertenencia de un grupo. Si ha habilitado la opción Roles de Microsoft Entra pueden ser asignados al grupo, no podrá cambiar el tipo de membresía. Para obtener más información sobre los tipos de pertenencia disponibles, consulte el artículo Información sobre grupos y tipos de pertenencia.

    • Identificador de objeto. No se puede cambiar el identificador de objeto, pero puede copiarlo para usarlo en los comandos de PowerShell para el grupo. Para obtener más información sobre el uso de los cmdlets de PowerShell, consulte cmdlets de Microsoft Entra para configurar ajustes de grupo.

Incorporación de un grupo a otro grupo

Para el tipo de grupo, puede agregar un grupo de seguridad existente a otro grupo (lo que también se conoce como grupos anidados). En función de los tipos de pertenencia a grupos, puede agregar un grupo como miembro de otro grupo, al igual que un usuario, que aplica valores como permisos de acceso y roles a los grupos anidados. Pero en el caso de los grupos anidados, Entra no aplica la pertenencia asignada a recursos y aplicaciones compartidos.

Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la pertenencia al grupo. Para más información sobre los grupos de seguridad, vea Qué saber antes de crear un grupo.

Actualmente, no se admite:

  • Agregar grupos a un grupo sincronizado con Active Directory local.
  • Adición de grupos de seguridad a grupos de Microsoft 365.
  • Adición de grupos de Microsoft 365 a grupos de seguridad u otros grupos de Microsoft 365.
  • Asignación de pertenencia a recursos compartidos y aplicaciones para grupos de seguridad anidados.
  • Aplicación de licencias a grupos anidados.
  • Agregar grupos de distribución en escenarios de anidamiento.
  • Agregar grupos de seguridad como miembros de otros grupos de seguridad que estén habilitados para recibir correo.
  • Agregar grupos como miembros de un grupo asignable a roles.
  1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

  2. Ve a Identidad>Grupos>Todos los grupos.

  3. En la página Todos los grupos, busque y seleccione el grupo que quiera que se convierta en miembro de otro grupo.

    Nota

    Solo puede agregar su grupo como miembro a otro grupo a la vez. Los caracteres comodín no se admiten en el cuadro de búsqueda Seleccionar grupo.

  4. En la página Información general del grupo, seleccione Pertenencias a grupos en el menú lateral.

  5. Seleccione + Agregar miembros.

  6. Busque el grupo del que quiere que su grupo sea miembro y elija Seleccionar.

    En este ejercicio, vamos a agregar "Directiva de MDM: Oeste" al grupo "Directiva MDM: Todas las organizaciones". El grupo "MDM: directiva: Oeste" tendrá el mismo acceso que el grupo "Directiva MDM: Todas las organizaciones".

    Captura de pantalla de hacer que un grupo sea el miembro de otro grupo con pertenencia a grupos en el menú lateral y la opción

    Ahora puede revisar la página "MDM policy - West - Group memberships" para consultar la relación entre el grupo y el miembro.

    Para obtener una vista detallada de la relación entre el grupo y el miembro, seleccione el nombre del grupo primario (Directiva de MDM - Todas las organizaciones) y observe los detalles de la página "Directiva de MDM - Oeste".

Eliminación de un grupo de otro grupo

Para el tipo de grupo, puede agregar un grupo de seguridad existente a otro grupo (lo que también se conoce como grupos anidados). En función de los tipos de pertenencia a grupos, puede agregar un grupo como miembro de otro grupo, al igual que un usuario, que aplica valores como permisos de acceso y roles a los grupos anidados. Pero en el caso de los grupos anidados, Entra no aplica la pertenencia asignada a recursos y aplicaciones compartidos.

Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la pertenencia al grupo. Para más información sobre los grupos de seguridad, vea Qué saber antes de crear un grupo.

Puede quitar un grupo de seguridad existente de otro grupo de seguridad; pero al quitar el grupo también se quitan los accesos heredados de sus miembros.

  1. En la página Todos los grupos, busque y seleccione el grupo que necesita quitar como miembro de otro grupo.

  2. En la página Información general del grupo, seleccione Pertenencias a grupos.

  3. Seleccione el grupo primario en la página Pertenencias a grupos.

  4. Seleccione Quitar.

    En este ejercicio, ahora vamos a quitar "Directiva de MDM - Oeste" del grupo "Directiva MDM - Todas las organizaciones".

    Captura de pantalla de la página

Eliminar un grupo

Puede eliminar un grupo para infinidad de motivos, pero normalmente será porque:

  • Elección de la opción de Tipo de grupo incorrecta.
  • Ha creado un grupo duplicado por error.
  • Ya no necesita el grupo.
  1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

  2. Ve a Identidad>Grupos>Todos los grupos.

  3. Busque y seleccione el grupo que quiera eliminar.

  4. Seleccione Eliminar.