Acceso condicional: usuarios, grupos e identidades de carga de trabajo

Una directiva de acceso condicional debe incluir una asignación de identidad de usuario, grupo o carga de trabajo como una de las señales del proceso de toma de decisiones. Estas identidades se pueden incluir o excluir de las directivas de acceso condicional. Microsoft Entra ID evalúa todas las directivas y se asegura de que se cumplan todos los requisitos antes de conceder acceso.

Incluir usuarios

Esta lista de usuarios incluye normalmente a todos los usuarios a los que se dirige una organización en una directiva de acceso condicional.

Las siguientes opciones están disponibles para su inclusión al crear una directiva de acceso condicional.

  • Ninguno
    • Ningún usuario seleccionado
  • Todos los usuarios
    • Todos los usuarios que existen en el directorio, incluidos los invitados B2B.
  • Seleccionar Usuarios y grupos
    • Usuarios invitados o externos
      • Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
        • Usuarios invitados de colaboración B2B
        • Usuarios miembros de colaboración B2B
        • Usuarios de conexión directa B2B
        • Usuarios invitados locales, por ejemplo, cualquier usuario que pertenezca al inquilino principal con el atributo de tipo de usuario establecido en invitado
        • Usuarios del proveedor de servicios, por ejemplo, un proveedor de soluciones en la nube (CSP)
        • Otros usuarios externos o usuarios no representados por las demás selecciones de tipo de usuario
      • Se pueden especificar uno o varios inquilinos para los tipos de usuario seleccionados, o bien se pueden especificar todos los inquilinos.
    • Roles de directorio
      • Permite a los administradores seleccionar roles de directorio integrados específicos que se usan para determinar la asignación de directivas. Por ejemplo, las organizaciones podrían crear una directiva más restrictiva para los usuarios que tengan asignado activamente un rol con privilegios. No se admiten otros tipos de roles, incluidos los roles con ámbito de unidad administrativa y los roles personalizados.
        • El acceso condicional permite a los administradores seleccionar algunos roles que aparecen como en desuso. Estos roles siguen apareciendo en la API subyacente y se permite a los administradores aplicar la directiva a ellos.
    • Usuarios y grupos
      • Permite dirigirse a conjuntos específicos de usuarios. Por ejemplo, las organizaciones pueden seleccionar un grupo que contenga todos los miembros del departamento de recursos humanos cuando tenga una aplicación de Recursos Humanos seleccionada como aplicación en la nube. Un grupo puede ser cualquier tipo de grupo de usuarios en Microsoft Entra ID, como grupos de distribución y de seguridad dinámicos o asignados. La directiva se aplica a usuarios y grupos anidados.

Importante

Al seleccionar qué usuarios y grupos se incluyen en una directiva de acceso condicional, existe un límite en cuanto al número de usuarios individuales que se pueden agregar directamente a dicha directiva. Si se debe agregar directamente una gran cantidad de usuarios individuales a una directiva de acceso condicional, se recomienda colocar los usuarios en un grupo y asignar el grupo a la directiva en su lugar.

Si los usuarios o grupos son miembros de más de 2048 grupos, es posible que se bloquee su acceso. Este límite se aplica a la pertenencia a grupos directa y anidada.

Advertencia

Las directivas de acceso condicional no admiten usuarios asignados a un rol de directorio con el ámbito de una unidad administrativa o roles de directorio con un ámbito directo de un objeto, como mediante roles personalizados.

Nota

Al dirigir las directivas a usuarios externos de conexión directa B2B, estas directivas también se aplicarán a los usuarios de colaboración B2B que accedan a Teams o SharePoint Online y que también puedan optar a la conexión directa B2B. Lo mismo se aplica a las directivas dirigidas a usuarios externos de colaboración B2B, lo que significa que a los usuarios que accedan a canales compartidos de Teams se les aplicarán directivas de colaboración B2B si también tienen una presencia de usuario invitado en el inquilino.

Excluir usuarios

Cuando las organizaciones incluyen y excluyen a un usuario o grupo, el usuario o grupo se excluye de la directiva. La acción excluir invalida la acción de inclusión en la directiva. Las exclusiones se usan normalmente para cuentas de acceso de emergencia. En los siguientes artículos encontrará más información sobre las cuentas de acceso de emergencia y por qué son importantes:

Las siguientes opciones están disponibles para su exclusión al crear una directiva de acceso condicional.

  • Usuarios invitados o externos
    • Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
      • Usuarios invitados de colaboración B2B
      • Usuarios miembros de colaboración B2B
      • Usuarios de conexión directa B2B
      • Usuarios invitados locales, por ejemplo, cualquier usuario que pertenezca al inquilino principal con el atributo de tipo de usuario establecido en invitado
      • Usuarios del proveedor de servicios, por ejemplo, un proveedor de soluciones en la nube (CSP)
      • Otros usuarios externos o usuarios no representados por las demás selecciones de tipo de usuario
    • Se pueden especificar uno o varios inquilinos para los tipos de usuario seleccionados, o bien se pueden especificar todos los inquilinos.
  • Roles de directorio
  • Usuarios y grupos
    • Permite dirigirse a conjuntos específicos de usuarios. Por ejemplo, las organizaciones pueden seleccionar un grupo que contenga todos los miembros del departamento de recursos humanos cuando tenga una aplicación de Recursos Humanos seleccionada como aplicación en la nube. Un grupo puede ser cualquier tipo de grupo en Microsoft Entra ID, como grupos de distribución y de seguridad dinámicos o asignados. La directiva se aplica a usuarios y grupos anidados.

Impedir el bloqueo de administrador

Para evitar el bloqueo del administrador, al crear una directiva aplicada a Todos los usuarios y Todas las aplicaciones, aparece la siguiente advertencia.

No se bloquee. Se recomienda aplicar primero una directiva a un pequeño conjunto de usuarios para comprobar que se comporta según lo esperado. También se recomienda excluir al menos un administrador de esta directiva. Esto garantiza que sigue teniendo acceso y puede actualizar una directiva si es necesario un cambio. Revise los usuarios y las aplicaciones afectados.

De forma predeterminada, la directiva proporciona una opción para excluir al usuario actual de la directiva, pero un administrador puede anularla como se muestra en la siguiente imagen.

Advertencia, no se bloquee.

Si se queda fuera, consulte ¿Qué hacer si se quedas fuera?

Acceso de asociados externos

Las directivas de acceso condicional dirigidas a usuarios externos pueden interferir con el acceso del proveedor de servicios, por ejemplo, con los privilegios granulares de administrador delegado. Para más información, consulte Introducción a los privilegios granulares de administrador delegado (GDAP). Para las directivas destinadas a los inquilinos del proveedor de servicios de destino, use el tipo de usuario externo de Service provider user (Usuario del proveedor de servicios) disponible en las opciones de selección de Guest or external users (Usuarios invitados o externos).

Identidades de cargas de trabajo

Una identidad de carga de trabajo es una identidad que permite a una aplicación o entidad de servicio acceder a los recursos, a veces en el contexto de un usuario. Las directivas de acceso condicional se pueden aplicar a entidades de servicio de un solo inquilino que se hayan registrado en el inquilino. Las aplicaciones SaaS y multiinquilino de terceros se encuentran fuera del ámbito. La directiva no abarca las identidades administradas.

Las organizaciones pueden tener como destino identidades de carga de trabajo específicas que se incluyan en la directiva o se excluyan de esta.

Para más información, consulte el artículo Acceso condicional para las identidades de carga de trabajo.

Pasos siguientes