Adición y administración de cuentas de administrador

Se aplica a: Círculo verde con un símbolo de marca de verificación blanca que indica que el siguiente contenido se aplica a los inquilinos externos. Inquilinos externos (más información)

Las cuentas de administrador son usuarios de su inquilino externo Microsoft Entra que se les han asignado roles de administrador. Puede agregar una cuenta de administrador al inquilino creando o invitando a un usuario a través de la Microsoft Entra admin center o Microsoft Graph y asignarles un rol de administrador. Si no asigna un rol de administrador, el usuario tiene permisos de usuario predeterminados.

Este artículo se centra en la administración de cuentas de administrador mediante el Microsoft Entra admin center. Debe tener al menos permisos de administrador de usuarios para agregar o eliminar usuarios.

Consulte también Administración de cuentas de usuario para consumidores y clientes empresariales para obtener información sobre los usuarios finales de la aplicación. Normalmente, estos usuarios no tienen roles de administrador asignados, por lo que conservan los permisos de usuario predeterminados.

Requisitos previos

  • Si aún no ha creado su propio inquilino externo Microsoft Entra, crear uno ahora.
  • Comprender las cuentas de usuario en Microsoft Entra External ID.
  • Conocer el uso de roles para controlar el acceso a los recursos.

Adición de una cuenta de administrador

Siga estos pasos para crear una nueva cuenta de usuario y conceder permisos de administrador a la cuenta agregando un rol de Microsoft Entra. (Aquí solo se describen los pasos necesarios. Para obtener una descripción completa de todas las propiedades, consulte el artículo Microsoft Entra ID Cómo crear usuarios).

  1. Inicie sesión en el Microsoft Entra admin center como mínimo un Administrador de roles con privilegios.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Vaya a Entra ID>Usuarios.

  4. Seleccione Nuevo usuario>Crear nuevo usuario.

  5. En la pestaña Aspectos básicos, en Identidad, escriba información para este administrador:

    • Nombre principal de usuario: escriba un nombre de usuario único y seleccione un dominio en el menú después del símbolo @ .
    • Nombre para mostrar: escriba el nombre del usuario, como Chris Green o Chris A. Green.
    • contraseña: copie la contraseña generada automáticamente o desactive la opción Generar contraseña automáticamente y escriba otra contraseña. Debe proporcionar esta contraseña al administrador para iniciar sesión por primera vez.

  6. Seleccione la pestaña Asignaciones y siga estos pasos para asignar un rol al usuario. (Agregar un grupo es opcional).

    • Seleccione + Agregar rol.
    • En el menú que aparece, elija hasta 20 roles de la lista. Puede asignar el usuario a uno o varios de los roles de administrator en Microsoft Entra ID.
    • Selecciona el botón Seleccionar.

  7. Seleccione el botón Revisar y crear.

El administrador se crea y se agrega al inquilino externo.

Invitación a un administrador (cuenta de invitado)

También puede invitar a un nuevo usuario invitado para administrar el inquilino. Para invitar a un nuevo usuario invitado con permisos de administrador, siga estos pasos:

  1. Inicie sesión en el Microsoft Entra admin center como mínimo un Administrador de roles con privilegios.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Vaya a Entra ID>Usuarios.

  4. Seleccione Nuevo usuario>Invitar a un usuario externo (versión preliminar).

  5. En la pestaña Aspectos básicos, introduzca la información del usuario:

    • Correo electrónico. Requerido. Dirección de correo electrónico del usuario al que quiera invitar.
    • Nombre para mostrar. Nombre y apellidos del nuevo usuario. Por ejemplo, Mary Parker.
    • En Mensaje de invitación:
      • Active la casilla Enviar mensaje de invitación si desea enviar el correo electrónico de invitación al usuario. En caso contrario, desactive la casilla.
      • En el Mensaje de, agregue un mensaje personalizado para incluir en el correo electrónico de invitación.
      • Para enviar una copia del correo electrónico de invitación a alguien, agregue su dirección de correo electrónico en el campo de texto destinatario Cc.
      • La URL de redireccionamiento de la invitación se establece predeterminadamente en MyApplications, que es donde se redirige al usuario cuando canjea la invitación. Puede cambiarla a una dirección URL diferente.

  6. Seleccione la pestaña Asignaciones y siga estos pasos para asignar un rol al usuario. (Agregar un grupo es opcional).

    • Seleccione + Agregar rol.
    • En el menú que aparece, elija hasta 20 roles de la lista. Puede asignar el usuario a uno o varios de los roles de administrator en Microsoft Entra ID.
    • Selecciona el botón Seleccionar.

  7. Seleccione el botón Revisar e invitar.

Se envía un correo electrónico de invitación al usuario. El usuario debe aceptar la invitación para poder iniciar sesión.

Nota:

Solo puede invitar a usuarios externos con fines administrativos. No puede usar esta característica para invitar a los clientes a iniciar sesión en las aplicaciones. Invitar a un usuario externo (versión preliminar) no es compatible con los flujos de usuario de administración de identidades y acceso del cliente (CIAM).

Cambiar o agregar una asignación de roles

Puede asignar un rol al crear un usuario o al invitar a un usuario externo. Puede agregar un rol, cambiarlo o quitarlo para un usuario:

  1. Inicie sesión en el Microsoft Entra admin center como por lo menos un Administrador de roles con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya a Entra ID>Usuarios.
  4. Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
  5. Seleccione Agregar asignaciones, seleccione el rol que se va a asignar (por ejemplo, administrador de aplicaciones) y elija Agregar.

Eliminación de una asignación de rol

Si necesita quitar una asignación de roles de un usuario, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo un Administrador de funciones con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya a Entra ID>Usuarios.
  4. Seleccione el usuario cuyo rol desea modificar. Después, seleccione Roles asignados.
  5. Seleccione el rol que desea quitar, por ejemplo, administrador de aplicaciones y, a continuación, seleccione Quitar asignación.

Revisión de las asignaciones de roles de la cuenta de administrador

Como parte de un proceso de auditoría, normalmente se revisa qué usuarios tienen asignados roles específicos en el directorio del cliente. Siga estos pasos para auditar qué usuarios tienen asignados roles con privilegios actualmente.

  1. Inicie sesión en el Microsoft Entra admin center como mínimo un Administrador de roles con privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya a Entra ID>Roles y administradores.
  4. Seleccione un rol, como administrador de usuarios. En la página Asignaciones, se muestran los usuarios que tienen dicho rol.

Eliminación de una cuenta de administrador

Para eliminar un usuario existente, debe tener al menos la administrador de usuarios asignación de roles. Los administradores de autenticación con privilegios pueden eliminar cualquier usuario, incluidos otros administradores. Los administradores de usuarios pueden eliminar cualquier usuario que no sea administrador.

  1. Inicie sesión en el Microsoft Entra admin center como mínimo como Administrador de Autenticación con Privilegios.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya a Entra ID>Usuarios.
  4. Seleccione el usuario que quiere eliminar.
  5. Seleccione Eliminar y, después, para confirmar la eliminación.

El usuario se elimina y ya no aparece en la página Todos los usuarios. El usuario se puede ver en la página Usuarios eliminados durante los próximos 30 días y puede restaurarse durante ese tiempo. Para obtener más información sobre cómo restaurar un usuario, consulte Restore o quite un usuario eliminado recientemente mediante Microsoft Entra ID.

Protección de cuentas administrativas

Se recomienda proteger todas las cuentas de administrador con autenticación multifactor (MFA). MFA es un proceso de comprobación de identidad durante el inicio de sesión que solicita al usuario un código de acceso de un solo uso.

Microsoft recomienda que las organizaciones tengan permanentemente dos cuentas de acceso de emergencia exclusivas para la nube asignadas al rol de Administrador Global. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "cristal roto" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de las cuentas de acceso de emergencia.

  • Last updated on