Controlar el acceso a las características de Viva
Puede usar directivas de acceso en Viva para administrar qué usuarios pueden acceder a características específicas en Viva aplicaciones. La administración del acceso a características le permite habilitar o deshabilitar características específicas en Viva para grupos o usuarios específicos del inquilino y, por tanto, adaptar las implementaciones para satisfacer los requisitos normativos y empresariales locales.
Importante
Puede tener varias directivas de acceso para una característica activa en su organización. Esto significa que un usuario o grupo podría verse afectado por varias directivas. En ese caso, la directiva más restrictiva asignada directamente a un usuario o grupo tiene prioridad. Para obtener más información, vea Cómo funcionan las directivas de acceso en Viva.
Un administrador autorizado del inquilino puede crear, asignar y administrar directivas de acceso desde PowerShell. Cuando un usuario inicia sesión en Viva, se aplica la configuración de directiva y solo ve las características que no se han deshabilitado.
Nota:
Solo puede deshabilitar un subconjunto de características en Viva aplicaciones mediante la administración del acceso a características. Restringir el uso de una característica podría afectar a la funcionalidad de otras características de la aplicación. Asegúrese de consultar la documentación de la aplicación sobre la característica específica para comprender las implicaciones de deshabilitar o habilitar el acceso a una característica.
Características disponibles para la administración del acceso a características
Puede usar la administración de acceso a características para administrar el acceso a las siguientes características:
Nota:
- Es posible que algunas características no admitan directivas de usuario o grupo. Además, las directivas de una aplicación pueden afectar a todo el inquilino o a los usuarios del inquilino. Para obtener más información, consulte la documentación de características mediante el vínculo de la tabla.
- Solo algunas características tienen los controles disponibles para que los administradores proporcionen a los usuarios la opción de no participar.
| Aplicación | Característica | ¿Controlar la exclusión del usuario? | Quién puede administrar el acceso | ModuleID |
|---|---|---|---|---|
| Interactuar | Copiloto en Engage | No | administrador de Engage | VivaEngage |
| Resumen de IA | Yes | administrador de Engage | VivaEngage | |
| Objetivos | Copiloto en Viva Goals | No | administrador de Goals | VivaGoals |
| Insights | Panel de Copilot | No | Administrador global | VivaInsights |
| Habilitación automática del panel de Copilot | No | Administrador global | VivaInsights | |
| Delegación del panel de Copilot | No | Administrador global | VivaInsights | |
| Valor asistido de Copilot | No | Administrador global | VivaInsights | |
| Digest Welcome Email | No | Administrador global | VivaInsights | |
| Costo y calidad de la reunión | No | Administrador de Insights | VivaInsights | |
| Reflection | No | Administrador de Insights | VivaInsights | |
| Pulso | Personalización | No | Viva administrador de Pulse | VivaPulse |
| Conversaciones de equipo en informes de Pulse | No | Viva administrador de Pulse | VivaPulse | |
| Aptitudes | Sugerencias de aptitudes* | Yes | Administrador de la información | VivaSkills |
* Es posible que el control de características o características aún no esté disponible para todos los inquilinos. La compatibilidad se agregará pronto.
Nota:
- Solo puede controlar el acceso a las características que admiten directivas de acceso y que están disponibles en el inquilino. Por ejemplo, si tiene un inquilino basado en EDU, no puede usar directivas para obtener acceso a características que no están disponibles para los inquilinos EDU. Lo mismo se aplica a las características que no están disponibles en zonas geográficas específicas. Consulte la documentación de la característica específica que desea usar para obtener más información sobre su disponibilidad.
- Los cambios en la característica Copilot en Viva Engage pueden tardar hasta 48 horas en surtir efecto. Por lo general, los cambios de otras características surten efecto en un plazo de 24 horas.
Requisitos
Para poder crear una directiva de acceso en Viva, necesita:
- Una versión compatible de Microsoft 365 o una licencia de Viva Suite
- Acceso a Exchange Online versión 3.2.0 o posterior de PowerShell. Si necesita usar grupos no habilitados para correo, debe tener acceso a Exchange PowerShell versión 3.5.1 o posterior.
- Cuentas de usuario creadas o sincronizadas con Microsoft Entra ID.
- Grupos de Microsoft 365, Microsoft Entra grupos de seguridad creados o sincronizados con Microsoft Entra ID o grupos de distribución. El tipo de pertenencia puede ser dinámico o asignado.
- El rol necesario para la aplicación y la característica específicas.
Importante
Viva administración del acceso a características no está disponible para los clientes que tienen planes GCC, GCC High o DOD de Microsoft 365.
Creación y administración de directivas de acceso para características de Viva
Obtener el featureID de la característica
Para poder crear una directiva de acceso, debe obtener el featureID de la característica específica a la que desea controlar el acceso.
Use el cmdlet de PowerShell Get-VivaModuleFeature para obtener una lista de todas las características disponibles en una aplicación de Viva específica y sus identificadores asociados.
Instale Exchange Online PowerShell versión 3.2.0 o posterior:
Install-Module -Name ExchangeOnlineManagementConéctese a Exchange Online con credenciales de administrador:
Connect-ExchangeOnlineComplete la autenticación como administrador global o el rol necesario para la característica específica para la que va a crear la directiva.
Ejecute el cmdlet Get-VivaModuleFeature para ver las características que puede administrar mediante una directiva de acceso.
Por ejemplo, para ver qué características se admiten en Viva Insights, ejecute el siguiente cmdlet:
Get-VivaModuleFeature -ModuleId VivaInsightsBusque la característica para la que desea crear una directiva de acceso y anote su featureID.
Crear una directiva de acceso
Ahora que tiene el featureID, use el cmdlet Add-VivaModuleFeaturePolicy de PowerShell para crear una directiva de acceso para la característica.
Puede asignar un máximo de 10 directivas por característica a usuarios y grupos. Cada directiva se puede asignar a un máximo de 20 usuarios o grupos. Puede asignar una directiva adicional por característica a todo el inquilino mediante el parámetro -Everyone , que funcionará como un estado predeterminado global para esa característica en toda la organización.
Ejecute el cmdlet Add-VivaModuleFeaturePolicy para crear una nueva directiva de acceso.
Nota:
Si la característica admite controles de usuario para no participar, asegúrese de establecer el parámetro IsUserControlEnabled al crear la directiva. Si no lo hace, los controles de usuario de la directiva usan el estado predeterminado para la característica.
Por ejemplo, ejecute lo siguiente para crear una directiva de acceso, denominada UsersAndGroups, para restringir el acceso a la característica reflexión en Viva Insights.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
En este ejemplo se agrega una directiva para la característica Reflexión en Viva Insights. La directiva deshabilita la característica para los usuarios y miembros del grupo especificados. Si desea deshabilitar la característica para todos los usuarios, use el parámetro -Everyone en su lugar.
Administración de directivas de acceso
Puede actualizar una directiva de acceso para cambiar si una característica está habilitada o deshabilitada, así como para cambiar a quién se aplica la directiva (todos, un usuario o un grupo).
Por ejemplo, basándose en nuestro último ejemplo, para actualizar a quién se aplica la directiva, ejecute el siguiente cmdlet:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Al igual que cuando se crea la directiva, si la directiva admite controles de usuario, incluya el parámetro IsUserControlEnabled al cambiar la directiva.
Importante
Los valores que especifique para los parámetros -UserIds y -GroupIds o el parámetro -Everyone sobrescriben los usuarios o grupos existentes. Para conservar los usuarios y grupos existentes, debe especificar los usuarios o grupos existentes y los usuarios o grupos adicionales que quiera agregar. Al no incluir usuarios o grupos existentes en el comando, se quitan de la directiva esos usuarios o grupos específicos. No se puede actualizar una directiva para que un usuario o grupo determinado incluya todo el inquilino si ya existe una directiva para todo el inquilino para la característica: solo se admite una directiva para todo el inquilino.
Para comprobar qué características están deshabilitadas para un usuario o grupo específico, ejecute el cmdlet Get-VivaModuleFeatureEnablement . Este cmdlet devuelve lo que se denomina estado de habilitación para el usuario o grupo.
Por ejemplo:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Eliminación de una directiva de acceso
Use el cmdlet Remove-VivaModuleFeaturePolicy para eliminar una directiva de acceso.
Por ejemplo, para eliminar la directiva de acceso a características de reflexión, empiece por obtener el UID específico para la directiva de acceso; para ello, ejecute Get-VivaModuleFeaturePolicy. Después, ejecute el siguiente cmdlet:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Solución de problemas
Si tiene problemas para crear o usar directivas de acceso para Viva características de la aplicación, confirme que la característica para la que está intentando establecer una directiva aparece en la tabla de características y está disponible para el inquilino.
Si ve el mensaje de error "El solicitante no está autorizado para completar la solicitud" mientras ejecuta un cmdlet de PowerShell, compruebe si tiene algún conjunto de directivas de acceso condicional que bloquee direcciones IP específicas. Si es así, quite la dirección IP de esa directiva o cree una nueva directiva para permitir la lista de direcciones IP. Obtenga más información sobre Microsoft Entra acceso condicional y solución de problemas de acceso condicional mediante la herramienta What If.
Cómo funcionan las directivas de acceso en Viva
- Cuando un usuario inicia sesión y accede a Viva, se realiza una comprobación inmediatamente para ver si hay una directiva que se aplique al usuario.
- Si el usuario está asignado directamente a una directiva o es miembro de un grupo de Microsoft Entra o de Microsoft 365 con una directiva asignada, se aplica la configuración de directiva.
- Si al usuario no se le asigna una directiva directamente o no es miembro de un grupo de Microsoft Entra o un grupo de Microsoft 365 al que se asigna una directiva, se aplica la directiva predeterminada global. Si no hay ninguna directiva predeterminada global, se aplica el estado de habilitación predeterminado para la característica.
- Si el usuario tiene varias directivas asignadas directamente o como grupo, se aplica la directiva más restrictiva. (Tenga en cuenta que no todas las características incluyen la posibilidad de que un usuario opte por no participar). Este es el orden de precedencia:
- La característica está deshabilitada.
- La característica está habilitada.
- La característica está habilitada y el usuario puede optar por no participar.
- Si los usuarios están en grupos anidados y aplica directivas de acceso al grupo primario, los usuarios de los grupos anidados reciben las directivas. Los grupos anidados y los usuarios de esos grupos anidados deben crearse en o sincronizarse con Microsoft Entra ID.
- Los cambios en las directivas de acceso surten efecto para el usuario en un plazo de 24 horas, a menos que se indique lo contrario para una característica específica. Los cambios de Copilot en Viva Engage pueden tardar hasta 48 horas.
- Al agregar o quitar usuarios de un Microsoft Entra ID o grupo de Microsoft 365, los cambios en el acceso a las características pueden tardar 24 horas en surtir efecto.
- Cuando un administrador quita la opción para que los usuarios opten por no habilitar o deshabilitar completamente la característica, la preferencia de participación o exclusión del usuario no se conserva y se restablecerá al estado predeterminado. Si un administrador vuelve a habilitar la opción que permite que un usuario opte por no participar en una característica, los usuarios deberán optar por no participar de nuevo en la característica.
- Los cambios rápidos en el estado de habilitación de una característica en menos de 24 horas después de realizar el cambio pueden no dar lugar al restablecimiento de las preferencias de participación o exclusión del usuario.
- Para obtener un historial de creación, actualizaciones y eliminaciones de directivas, consulte los registros de cambios Viva Feature Access Management (VFAM) de su organización en Microsoft Purview.
Información adicional y procedimientos recomendados
- Las directivas se evalúan por usuario.
- Solo se puede asignar una directiva por característica a "todos". Esta directiva actúa como el estado predeterminado global de esa característica en su organización.
- A medida que los nuevos controles de características están disponibles en Viva para administrar el acceso de usuarios y grupos, se agregan a Viva administración de acceso a características.
- Cuando se eliminan las identidades de usuario de Microsoft Entra ID, los datos de usuario se eliminan de Viva administración de acceso a características. Si las identidades de usuario se vuelven a habilitar durante el período de eliminación temporal, el administrador debe reasignar las directivas al usuario.
- Cuando se eliminan los grupos de Microsoft Entra ID y Microsoft 365, se eliminan de las directivas almacenadas. Si los grupos se vuelven a habilitar durante el período de eliminación temporal, el administrador debe reasignar las directivas a los grupos.