Identidad y acceso de Office 365: Administrar usuarios y permisos

Tutoriales

Office 365 Identidad y Acceso: Administrar Usuarios y Permisos. Este artículo demuestra cómo administrar cuentas de usuario y permisos en Office 365 utilizando herramientas de Identidad y Administración de Acceso.

Comenzamos explorando una visión general de las soluciones de Identidad y Acceso de Office 365. En esta sección, discutimos cómo crear diferentes tipos de usuarios y otorgarles acceso a recursos en la Identidad y Administración de Acceso de Office 365.

En particular, esta sección se enfoca en crear usuarios internos y externos con Microsoft 365, el Portal de Azure AD, o Azure AD PowerShell. Además, demostramos cómo utilizar estas tres herramientas para otorgar a los usuarios acceso a los recursos necesarios.

Además, administrar cuentas de usuario y permisos implica restablecer contraseñas de usuario. Por lo tanto, este artículo trata sobre cómo restablecer contraseñas para usuarios de Office 365 utilizando los tres métodos.

También lee Protección contra ataques de phishing en Office 365

Visión general de la identidad y gestión de acceso en Office 365

La herramienta de Identidad y Gestión de Acceso (IAM) de Office 365 permite a los administradores gestionar cuentas de usuario y permisos. Microsoft 365 ofrece 2 tipos de usuarios: internos y externos. 

Los usuarios internos son parte de la organización, mientras que los usuarios externos pertenecen a otra organización añadida al inquilino de Office 365 con fines de colaboración.

Una vez que creas un usuario interno o externo, les otorgas acceso a recursos a través de roles o grupos. Para otorgar acceso mediante roles, añade al usuario al rol.

Al otorgar a los usuarios acceso a recursos a través de la membresía de grupo, se recomienda agregar a los usuarios al grupo. Luego, agregas el grupo al rol apropiado de Azure AD.

Este enfoque garantiza que los usuarios hereden los permisos asignados al grupo.

Ten en cuenta que primero debes habilitar la asignación de roles al crear el grupo para agregar grupos a roles. Sin embargo, una vez que habilitas esta configuración, es permanente para el grupo.

Alternativamente, otorgas a un grupo asignable un rol acceso a un rol integrado, y luego agregas usuarios al grupo.

También lee Cómo Implementar el Control de Acceso Basado en Roles en Office 365

Método 1:

Usa el Portal de M365 para Administrar Cuentas de Usuario y Permisos con la Gestión de Identidad y Acceso de Office 365

Además, brindamos orientación paso a paso sobre cómo crear un grupo de Microsoft 365, agregar usuarios al grupo y asignar un usuario o grupo a un rol.

Paso 1 Opción 2: Crea Usuarios Internos de Office 365 en el Portal de Microsoft 365

1. Para comenzar a gestionar usuarios y permisos en Microsoft 365, accede a admin.microsoft.com con una cuenta que tenga los permisos apropiados.

2. A continuación, accede a la página de Usuarios activos. Haz clic en el icono del menú de navegación (si aún no está expandido) y selecciona “Usuarios activos” desde el nodo de Usuarios.

3. En la página de “Usuarios activos”, haz clic en “Agregar usuarios” para iniciar el flujo de trabajo de creación de nuevos usuarios. Esto te guiará a través del proceso de agregar los detalles de usuario necesarios y, si es necesario, asignar licencias y roles.

También lee Cómo Supervisar los Registros de Actividad de Office 365 para Mejorar la Seguridad

Step 1 Opción 2: Crear Usuarios Externos de Office 365 en el Portal de Microsoft 365

Para asegurarte de que otros usuarios puedan agregar el calendario del usuario externo a su propio calendario, se recomienda que primero agregues al usuario como un contacto de correo para el usuario en Exchange Online antes de crear un usuario externo en Microsoft 365.

En mi experiencia, si omites este paso, es posible que otros usuarios encuentren problemas al agregar el calendario del usuario externo al suyo propio.

Sin embargo, si los usuarios internos no necesitan agregar al usuario externo a sus calendarios, puedes omitir este paso y pasar al paso 2 a continuación:Paso 1: agregar un contacto de correo para el usuario en Exchange Online (opcional).

Paso 1: Agregar un contacto de correo para el usuario en Exchange Online (opcional).

Para abrir la página de Contactos de Exchange Online, inicie sesión en admin.exchange.microsoft.com utilizando sus credenciales de administrador. Una vez iniciada sesión, navegue a la página Destinatarios -> Contactos.

Finalmente, haga clic en “Agregar un contacto de correo” y complete los pasos. Agregué mi cuenta de Gmail para usar un demo.

Paso 2: agregar el contacto de correo como usuario invitado.

Inicie sesión en admin.microsoft.com y navegue a la sección “Usuarios invitados” dentro de la pestaña Usuarios. A continuación, haga clic en “Agregar usuario invitado” para iniciar la adición de un nuevo usuario invitado.

La acción abre la página de Azure AD “Nuevo usuario” en una nueva pestaña del navegador. En la página de Azure AD, seleccione la opción Invitar usuario, agregue la información requerida y haga clic en el botón Invitar

Para activar su cuenta, el usuario externo debe revisar su correo electrónico de Microsoft y seguir el enlace proporcionado en el mensaje.

También lea Uso de directivas de Acceso Condicional para mejorar la seguridad de Office 365

Paso 2 Opción 1: Conceder permisos a las cuentas de usuario a través de roles en el Portal de Office 365.

Para asignar roles a usuarios en Office 365, navegue hasta el portal de Microsoft 365 y siga las instrucciones a continuación.

Asignar usuarios internos y externos a roles de Microsoft 365. 

1. En el menú, expanda Roles y haga clic en Asignaciones de roles

2. A continuación, haga clic en el Azure AD rol para asignar a un usuario, por ejemplo, “Administrador de Helpdesk”.

3. En el desplegable del rol, haga clic en la pestaña Asignado. Luego, haga clic en “Agregar usuarios”. Finalmente, seleccione los usuarios a los que desea asignar el rol y haga clic en Agregar

Una vez agregados, revise la pestaña “Asignado” para confirmar que se han agregado correctamente.

También lea Echa un vistazo a los informes de usuarios de Office 365

Paso 2 Opción 2: Otorgar permisos a cuentas de usuario a través de Grupos en el Portal de Microsoft 365

Para asignar acceso a usuarios a través de grupos, siga un proceso de 2 pasos.

Primero, agregar a los usuarios al grupo. A continuación, asigne el grupo a un rol mediante la interfaz de administración de roles.

Como se mencionó anteriormente, seleccionar la opción para asignar roles a grupos debe hacerse al crear el grupo. Por lo tanto, para usar grupos para asignar roles de usuario, cree un grupo y habilite la función de asignación de roles durante el proceso de creación.

1. Para hacer esto, en el portal de Microsoft 365, expanda “Equipos y grupos”, luego seleccione “Equipos y grupos activos”.

2. A continuación, para abrir el flujo de trabajo “Agregar un grupo”, haga clic en Agregar un grupo.

Al crear un nuevo grupo, puede agregar usuarios al grupo en la sección “Miembros” del flujo de trabajo. Además, puede marcar la casilla “permitir que el rol de administrador se asigne a este grupo” en la sección “Configuración”.

Consulte la segunda captura de pantalla a continuación para la configuración.

3. Para asignar roles a un grupo, navegue por el menú, expanda Roles, y haga clic en Asignaciones de roles.

4. Después de hacer clic en Asignaciones de roles, seleccione el Azure AD rol que desea asignar al grupo, como “Administrador de soporte técnico”.

5. Luego, en el desplegable del rol, haga clic en la pestaña Asignado. Luego, haga clic en “Agregar grupos”.

6. Finalmente, seleccione los grupos que desea asignar al rol y haga clic en Agregar.

Una vez que agregue grupos al rol, verifique la pestaña “Asignado” para confirmar que se hayan agregado correctamente.

También lea Top 10 Mejores Herramientas de IAM – Gestión de Acceso a la Identidad (Pros y Contras)

Restablecer la contraseña de Office 365 en el Portal de Microsoft 365

1. Para restablecer una contraseña de usuario en el portal de Microsoft 365, expanda el menú “Usuarios” en el panel de navegación. A continuación, seleccione “Usuarios activos” y pase el cursor sobre la cuenta de usuario que necesita el restablecimiento de contraseña.

2. Haga clic en el símbolo de la llave que aparece al pasar el cursor sobre la cuenta. Esto inicia el proceso de restablecimiento de contraseña.

3. Por último, seleccione las opciones deseadas en el desplegable “Restablecer contraseña” y haga clic en “Restablecer contraseña”. El portal de Microsoft 365 muestra un mensaje de confirmación con la nueva contraseña.

También lea Verifique los registros de auditoría de Azure AD para las firmas de usuario (éxitos fallas)

Método 2:

Utilice el portal de Azure AD para administrar cuentas de usuario y permisos con Office 365 IAM

 Este portal proporciona una gama de características y herramientas que permiten a los administradores administrar cuentas de usuario, incluidas configurar permisos y más. Esta sección explora los pasos críticos para administrar cuentas de usuario en el portal de Azure AD.

Paso 1 Opción 1: Crear usuarios internos de Office 365 en el portal de Azure AD

1. Primero, inicie sesión en portal.azure.com y navegue al opción Usuarios en el menú. 

2. Luego, haga clic en “+Agregar” y seleccione Usuario. Finalmente, elija la plantilla Crear usuario, proporcione los detalles requeridos y haga clic en Crear.

También lea New-MgGroupMemberByRef – Agregar usuarios a un grupo de Azure AD usando Powershell

Paso 1 Opción 2: Crear usuarios externos de Office 365 en el portal de Azure AD

Anteriormente, recomendé agregar un Contacto de correo para el usuario antes de crear un usuario externo. Esto se recomienda si sus usuarios internos necesitan agregar el calendario del usuario externo a su propio calendario.

Para crear un contacto de correo, inicie sesión en la página de Contactos de Exchange Online en admin.exchange.microsoft.com. Después de iniciar sesión, navegue a la página Destinatarios -> Contactos. Luego, haga clic en “Agregar un contacto de correo” y complete los pasos requeridos.

Para enviar una invitación a un usuario externo en Azure AD después de completar el paso opcional anterior, siga estos pasos:

1. Primero, siga la “Paso 1 de 2” hasta llegar al Paso 2.

2. Luego, seleccione la plantilla Invitar usuario. Finalmente, proporcione la información requerida y haga clic en Invitar.

Una vez que haya completado los pasos anteriores, el usuario recibirá un correo electrónico de Microsoft.

Contiene un enlace para finalizar su registro en Azure AD. El usuario debe hacer clic en el enlace para completar el proceso.

También lea Get-MgUser – Encuentre Usuarios de Azure AD y Filtre usando Script de PowerShell

Paso 2 Opción 1: Conceder Permisos a Cuenta de Usuario a Través de Roles en el Portal de Azure AD

1. Una vez que haya creado un usuario, utilice el portal de Azure AD para asignar roles al usuario. Haga clic en “Roles y Administradores” en el menú de Azure Active Directory para realizar esta tarea. 

2. Luego, elija el rol que desea asignar al usuario. Utilice la función de búsqueda si es necesario. 

3. A continuación, haga clic en “+ Agregar asignaciones” para finalizar el proceso.

También lea Cómo Habilitar Escritura de Contraseñas en Azure AD Connect

Paso 2 Opción 2: Conceder Permisos a Cuenta de Usuario a Través de Grupos en el Portal de Azure AD

En el paso 3 de 1 arriba, demostramos cómo asignar permisos a los usuarios a través de Azure AD roles. Sin embargo, un método potencialmente mejor es asignar roles de usuario basados en la membresía del grupo.

Siga estos pasos para completar las tareas en Azure AD:

Primero, cree un grupo y habilítelo para que se asignen roles de AD. En segundo lugar, agregue a los usuarios como miembros al nuevo grupo.

Finalmente, asigne los roles que desea asignar a los usuarios asignando los roles al grupo de Azure AD.

Aquí están los pasos prácticos:

1. Haga clic en “Grupos” en el menú y luego en “Nuevo grupo”.

2. Active “Los roles de Azure AD se asignan al grupo”, seleccione las opciones en la captura de pantalla a continuación y haga clic en “Crear” para completar la creación del grupo. 

A continuación, siga los pasos a continuación para agregar usuarios al grupo y asignarlo a un rol:

3. Haga clic en el grupo en el nodo Grupos, luego haga clic en “Miembros” en la página del grupo. Luego, haga clic en “+ Agregar miembros” para agregar usuarios al grupo de Azure AD.

4. Para asignar el grupo a roles de Azure Active Directorioy, haga clic en “Roles y Administradores” en el menú de Azure Active Directory. Luego, seleccione el rol que desea asignar al grupo. Finalmente, haga clic en “+ Agregar asignaciones”.


También lea Cómo conectarse a Office 365 usando Powershell

Restablecer la contraseña de Office 365 en el portal de Azure AD

Los administradores deben poder restablecer contraseñas para administrar las cuentas de usuario y permisos utilizando las soluciones de Gestión de Identidad y Acceso de Office 365. Por lo tanto, es bueno saber que las contraseñas de usuario se pueden restablecer en el portal de Azure AD.

1. Haga clic en el nodo Usuarios para restablecer la cuenta de un usuario en el portal de Azure Active Directory.

2. Utilice la funcionalidad de búsqueda para seleccionar al usuario. Luego, complete el proceso haciendo clic en el “Restablecer contraseña” ubicado sobre los detalles del usuario.

También lea Cómo verificar si MFA está habilitado en Office 365 para usuarios

Método 3:

Utilice PowerShell para Administrar Cuentas de Usuario y Permisos con la Gestión de Identidad y Acceso de Office 365

Ahora, pasemos al tercer y último método, que implica utilizar PowerShell para realizar la misma tarea.

Primero, necesitamos instalar los módulos de PowerShell requeridos para las tareas en cuestión.

Paso 1: Instalar los Módulos Requeridos: AzureAD, ExchangePowerShell, Az.Accounts y Az.Resources

1. Abra PowerShell como administrador. Busque PowerShell, luego haga clic en “Ejecutar como administrador”.

2. Para abrir una nueva instancia que ejecute comandos desde módulos descargados, ejecute el siguiente comando después de abrir PowerShell como administrador.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. A continuación, para instalar los módulos de PowerShell necesarios, ejecute los siguientes comandos. El primer comando instala los módulos, mientras que el segundo los importa en su sesión de PowerShell actual.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

También lea Get Members of Active Directory Group and Export to CSV using PowerShell

Paso 2 Opción 1: Crear Usuarios Internos de Office 365 en PowerShell

1. Conéctese a su directorio de Azure AD inquilino ejecutando este comando. Esto hace que PowerShell solicite sus detalles de inicio de sesión

Connect-AzureAD

2. Una vez conectado, ejecute los siguientes comandos para crear un nuevo usuario de Office 365.  

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

También lea Get-AzureADAuditSignInLogs – Find Sign In Logs Last 30 Days PowerShell

Paso 2 Opción 2: Crear Usuarios Externos de Office 365 en PowerShell

Como se mencionó en los dos métodos anteriores, un usuario externo se puede agregar primero creando uno como un contacto de correo mail, que es un paso opcional.

Si sus usuarios internos necesitan agregar el calendario del usuario externo a su propio calendario, siga los pasos 1 a 2 para agregar un contacto de correo utilizando PowerShell. De lo contrario, omita hasta el paso 3.

1. Para conectarse a Exchange Online en la consola de PowerShell que se abrió en el Paso 2 Opción 1, ejecute el siguiente comando y proporcione susdetalles de inicio de sesión cuando lo solicite PowerShell.  

Connect-ExchangeOnline

2. Agregue un Contacto de correo para el usuario externo al que desea invitar utilizando este comando. Modifique partes del comando según sus necesidades. 

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. A continuación, envíe la invitación ejecutando el comando proporcionado: modifique los parámetros antes de ejecutar el comando. 

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

También lea What 0xc000006a – User Logon Misspelled or Bad Password

Paso 3 Opción 1: Otorgar permisos a las cuentas de usuario a través de roles en PowerShell

Ejecutar los siguientes comandos para asignar un usuario a un rol. Modifique los comandos para cumplir con sus requisitos.

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#paso 1: obtener el ID del usuario que desea agregar a un rol:

#paso 2: Obtener el ID del rol que desea asignar al usuario

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#paso 3: asignar el rol al usuario

Paso 3 Opción 2: Otorgar permisos a cuentas de usuario a través de grupos en PowerShell

Para asignar un rol a un usuario a través de su pertenencia a un grupo, ejecute los comandos en el siguiente script.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#paso 1: Crear un grupo asignable a roles en Azure Active Directory omite este paso si ya tienes un grupo asignable a roles existente

#paso 2: obtener el ID del usuario que deseas agregar a un rol:

#paso 3: agregar el usuario al grupo AAD

#paso 4: agregar el grupo de AD de Azure a un rol de AD de Azure

También lea SSPR: Habilitar el restablecimiento de contraseña de Azure Active Directory de forma autónoma

Restablecer la contraseña de Office 365 en PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/