Roles y permisos de Azure AD: Asignar y gestionar roles para usuarios y grupos. ¿Eres un administrador de IT que desea aprender sobre los roles de Azure AD y su importancia en la asignación y gestión de permisos para usuarios y grupos?
Es crucial entender cada concepto para comprender la relación entre los roles de Azure AD, los usuarios, los grupos y los permisos.
A continuación, explicamos los roles de Azure AD, que representan el siguiente nivel en la relación “rol usuario grupo permiso”.
Para reunir todos los conceptos, el artículo analiza cómo los usuarios y grupos heredan permisos cuando se les asignan roles.
Por último, proporciona instrucciones detalladas sobre cómo asignar roles de Azure AD a usuarios o grupos utilizando diferentes métodos.
Usuarios, grupos y membresías de grupos de Azure AD
El nivel básico de permiso en Azure AD se llama “Identidad”, que incluye todo lo que está autenticado. Ejemplos de identidades son: usuarios con nombres de usuario y contraseñas, y aplicaciones o servidores que requieren autenticación.
Este artículo se centra en la Identidad como usuario autenticado.
Una vez que un usuario se autentica, recibe acceso a recursos a través de la autorización. Por lo tanto, los usuarios necesitan permisos para ser autorizados a acceder a los recursos.
Cuando se crea un usuario, Azure AD automáticamente les otorga permisos predeterminados.
Sin embargo, un administrador asigna permisos adicionales al usuario utilizando un rol de Azure AD. Alternativamente, los permisos se asignan a los usuarios agregándolos a un grupo.
Se considera una buena práctica asignar permisos a los usuarios a través de un grupo en lugar de hacerlo directamente al usuario.
Aquí es donde entran en juego los grupos en Azure Active Directory. En Azure AD, los grupos gestionan usuarios que requieren acceso a los mismos recursos.
Una vez que creas un grupo, todos los usuarios agregados a él heredan los permisos asignados a través de los roles de Azure AD.
Es esencial tener en cuenta que hay 2 tipos de grupos para gestionar permisos en Azure AD: grupos de seguridad y grupos de Microsoft 365.
Utilizas un grupo de seguridad para asignar permisos y roles a sus miembros. Sin embargo, durante el proceso de creación del grupo, necesitas establecer el grupo de seguridad como asignable a roles para asignar roles a él.
Una vez que creas un grupo, no puedes modificar esta configuración.
En contraste, los grupos de Microsoft 365 están diseñados para fines de colaboración. Los miembros de un grupo de 365 de Microsoft acceden a buzones de correo compartidos, equipos, archivos y otros recursos habilitados para la colaboración.
Roles y Permisos en Azure Active Directory
Control de Acceso Basado en Roles (RBAC) constituye la base de la seguridad de Azure AD. Aprox. 60 roles integrados se utilizan para asignar y administrar permisos.
Para encontrar una lista completa de estos roles y sus respectivos permisos, consulte la sección “Todos los roles” en la página de roles integrados de Azure AD.
Además, cada rol tiene un conjunto predefinido de permisos. Para asignar permisos asociados con un rol de Azure AD a un objeto, como un usuario o un grupo, debe asignar el rol al objeto.
Realice esta asignación ya sea en la página “Roles y administradores” dentro del portal de Azure Active Directory o a través del nodo “Roles asignados” de un objeto de Azure AD.
Los roles pueden asignarse directamente a usuarios o grupos. Sin embargo, los grupos dinámicos permiten asignar automáticamente roles basados en condiciones definidas.
Relaciones entre roles de Azure AD y permisos de grupo
Los grupos gestionan múltiples usuarios que requieren acceso a los mismos recursos de Azure AD. Sin embargo, los grupos tienen funcionalidades que van más allá de eso.
Por ejemplo, los grupos se utilizan para asignar licencias y para desplegar aplicaciones a sus miembros. Además, estos grupos delegan roles de administrador, excepto para el Administrador Global de Azure AD.
Encuentra una lista de roles de administrador que delegas usando grupos.
Además, use grupos para asignar permisos a sitios de SharePoint o a aplicaciones externas SaaS.
Recuerde que asignar roles a grupos require una licencia de Azure AD Premium P1. Además, realizar la tarea también requiere el rol de “Administrador de Roles Privilegiados”.
También, Azure proporciona grupos dinámicos que se utilizan para asignaciones de rol.
Los grupos dinámicos asignan automáticamente membresías de grupo a los usuarios que cumplen con los criterios de consulta dinámica definidos para el grupo. Este proceso automatizado ahorra tiempo administrativo significativo para organizaciones grandes en comparación con las asignaciones manuales de grupo.
Cómo asignar roles de Azure AD a usuarios y grupos
Siga uno de los métodos a continuación para asignar roles de Azure AD a usuarios o grupos.
En primer lugar, inicie sesión en el portal de Azure a través de portal.azure.com. Busque y abra “Azure Active Directory.”
Método 1 de 3: Asignar roles a usuarios o grupos desde la interfaz “Roles y administradores”
La forma más conveniente de asignar roles de Azure AD es a través de la interfaz “Roles y administradores” en el portal de Azure Active Directory.
Siga estos pasos:
1. En el menú de Azure Active Directory, haz clic en “Roles y administradores”.
2. A continuación, una vez que se abra la página “Roles y administradores”, haz clic en el rol de Azure AD al que deseas asignar y otorgar permisos para el Directorio Activo y los grupos. Para encontrar un rol más rápidamente, búscalo.
3. Haz clic en “Agregar asignaciones” en la página de asignaciones del rol. Esta página también lista a todos los usuarios y grupos actualmente asignados a este rol.
4. Una vez que se abra la página “Agregar asignaciones”, haz clic en el enlace “No se ha seleccionado ningún miembro”. Por último, en “Seleccionar un miembro”, elige a todos los usuarios y grupos a los que deseas asignar el rol y haz clic en Seleccionar.
Ten en cuenta que el panel lateral solo muestra los grupos que son elegibles para la asignación de roles.
Utiliza la funcionalidad de búsqueda para encontrar usuarios y grupos y evita tener que desplazarte.
Método 2 de 3: Asignar roles de Azure AD desde la interfaz de usuarios
Otro método para asignar roles de Azure AD a los usuarios es abriendo la página del portal de Azure Active Directory del usuario. Aquí están los pasos:
1. Haz clic en el menú “Usuarios” en el portal de Azure Active Directory. Luego, selecciona a un usuario haciendo clic en él.
2. Una vez que se abra el usuario, haz clic en “Roles asignados”. Luego, haz clic en “+ Agregar asignación”.
3. A continuación, selecciona el rol de Azure AD del que deseas que el usuario herede sus permisos en el menú desplegable “Seleccionar rol”. Después de seleccionar el rol, haz clic en Siguiente.
4. Finalmente, si tienes la licencia de Gestión de Identidad Privilegiada (PIM), la página final mostrará la opción “Tipo de asignación”. La opción “Duración máxima permitida elegible” también está disponible para PIM.
Selecciona tus ajustes y haz clic en Asignar.
Método 2 de 3: Asignar Roles de Azure AD desde la Interfaz de Grupo
Para asignar roles de Azure AD a grupos asignables, sigue los siguientes pasos:
1. Haz clic en “Grupos” en el portal de Azure Active Directory.
2. Azure AD muestra todos los grupos. Sin embargo, solo puedes asignar roles a grupos a los que se haya habilitado esta función.
Por lo tanto, para ver los grupos habilitados para la asignación de roles, haz clic en “Administrar vista” y selecciona “Editar columnas”.
3. Marque la casilla de verificación “Permitir asignaciones de roles” en el menú “Columnas” y haga clic en Guardar. También puede desmarcar “Object Id”, “Tipo de membresía”, “Correo electrónico” y “Origen” para reducir el número de columnas.
Estas columnas están marcadas por defecto. Sin embargo, la columna “Permitir asignaciones de roles” no está marcada por defecto.
4. Después de habilitar la página para mostrar si un grupo es asignable a roles, seleccione el grupo correcto.
Recuerde que si abre un grupo que esta característica no estaba habilitada durante su creación, no mostrará los roles de Azure AD.
5. Una vez que se abre el grupo, haga clic en “Roles asignados” en el menú, a continuación, haga clic en “Agregar asignaciones”.
6. Elija un rol从“Seleccionar rol” desplegable y haga clic en Siguiente. Finalmente, seleccione las opciones de asignación de roles y haga clic enAsignar.
Asignar roles de Azure AD mediante grupos dinámicos
Además, Azure AD permite el uso de grupos dinámicos para asignar automáticamente roles de Azure AD a usuarios.
Aquí están los pasos para crear un grupo dinámico de Azure AD que asigna roles automáticamente a sus miembros.
1. En la página de Grupos del portal Azure Active Directory, haga clic en “Nuevo grupo”.
2. Cuando se abra la página “Nuevo Grupo”, defina el nombre del grupo y seleccione el tipo de asignación dinámica de la lista desplegable “Tipo de pertenencia”. La selección de “Usuario Dinámico” o “Dispositivo Dinámico” muestra el enlace “Agregar consulta dinámica”.
Asegúrese de activar el interruptor “Las roles de Azure AD pueden asignarse”.
3. Haga clic en el enlace “Agregar consulta dinámica” para crear una consulta dinámica que agregue automáticamente a los usuarios al grupo.
4. Una vez que se abra la página “Reglas de pertenencia dinámica”, haga clic en “editar” y luego construya su consulta. Aprenda a construir consultas dinámicas para las pertenencias de grupos.
5. En la ventana emergente “Editar sintaxis de regla”, ingrese su regla y haga clic en Aceptar. Luego, en la página de consulta de pertenencia dinámica, haga clic en Guardar.
I built a simple rule that adds users to my group by user’s department.
6. Finalmente, revise las configuraciones en la página “Nuevo Grupo” y haga clic en Crear.
Para verificar que su regla dinámica funciona, abra el grupo y haga clic en el menú ‘Miembros’. Si su regla es correcta y algunos usuarios cumplen con los criterios, deberían agregarse dinámicamente como miembros del grupo.
Después de crear el grupo dinámico, asigna roles de Azure AD al grupo. Después de estos pasos, todos los usuarios añadidos dinámicamente al grupo heredarán automáticamente los permisos de los roles asignados al grupo.
Roles y permisos de Azure AD: Asignar y gestionar roles para usuarios y grupos Conclusión
En conclusión, este artículo exploró los aspectos esenciales de los roles y permisos de Azure AD. Específicamente, se centra en cómo asignar de manera efectiva y gestionar roles para usuarios y grupos.
Explicamos los conceptos de usuarios, grupos y membresías de grupos de Azure AD, destacando su importancia en las asignaciones de roles. También examinamos el marco de roles y permisos en Azure Active Directory.
El artículo hace hincapié en las relaciones entre los roles de Azure AD y los permisos de grupo.
Además, se presentaron 3 métodos para asignar roles de Azure AD a usuarios y grupos. El Método 1 implicaba utilizar la interfaz “Roles y administradores”, mientras que el Método 2 cubría la asignación de roles desde las interfaces de usuarios y grupos.
También consideramos utilizar la membresía de grupo dinámico como el tercer método para asignar roles de Azure AD a los usuarios.
Al comprender estos métodos y aprovechar el poder de Azure AD, los administradores asignan y gestionan eficientemente roles para garantizar un acceso y permisos adecuados para usuarios y grupos dentro de sus organizaciones.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/