Administrar grupos de Microsoft Entra y pertenencia a grupos

Los grupos de Microsoft Entra se usan para administrar usuarios que necesitan todos el mismo acceso y permisos a recursos, como aplicaciones y servicios potencialmente restringidos. En lugar de agregar permisos especiales a usuarios individuales, puedes crear un grupo que aplique los permisos especiales a cada miembro de ese grupo.

En este artículo se tratan los escenarios de grupos básicos en los que se agrega un único grupo a un único recurso y los usuarios se agregan como miembros de ese grupo. Para escenarios más complejos, como grupos de pertenencia dinámica y creación de reglas, consulte la documentación de administración de usuarios de Microsoft Entra.

Antes de agregar grupos y miembros, obtenga información sobre los grupos y los tipos de pertenencia para ayudarle a decidir qué opciones usar al crear un grupo.

Prerequisites

Los siguientes requisitos previos son necesarios para administrar grupos en Microsoft Entra:

Crear un grupo básico y agregar miembros

Puedes crear un grupo básico y agregar los miembros al mismo tiempo mediante el Centro de administración Microsoft Entra. Debe tener al menos el rol Administrador de grupos o Administrador de usuarios asignado para crear grupos. Revise los roles adecuados de Microsoft Entra para administrar grupos.

Note

La administración delegada entre inquilinos usa privilegios de administrador delegados pormenorizados (GDAP). No se admite la creación de grupos por parte de los administradores de GDAP si el inquilino de destino usa un prefijo o sufijo de directiva de nomenclatura de grupo que hace referencia a atributos del usuario que realiza la llamada, como el nombre de departamento o la compañía. Use una cuenta de administrador en el inquilino de destino para crear el grupo.

Para crear un grupo básico y agregar miembros:

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. Seleccione Nuevo grupo.

    Captura de pantalla de la página

  4. Seleccione un tipo de grupo. Para obtener más información sobre los tipos de grupo, consulte el artículo Sobre grupos y tipos de pertenencia .

    • Al seleccionar el tipo de grupo de Microsoft 365, se habilita la opción Dirección de correo electrónico del grupo .

  5. Escriba un nombre de grupo. Elija un nombre que recuerde y que tenga sentido para el grupo. Se realizará una comprobación para determinar si el nombre ya está en uso. Si el nombre del grupo ya está en uso, se te pedirá que lo modifiques.

    • El nombre del grupo no puede comenzar con un espacio. Al iniciar el nombre con un espacio, se impide que el grupo aparezca como una opción para pasos como agregar asignaciones de roles a los miembros del grupo.

  6. Dirección de correo electrónico del grupo: solo está disponible para los tipos de grupo de Microsoft 365. Escribe manualmente una dirección de correo electrónico o usa la que se creó a partir del nombre de grupo que proporcionaste.

  7. Descripción de grupo. Agrega una descripción opcional al grupo.

  8. Establezca la opción Se pueden asignar roles de Microsoft Entra al grupo en Sí para usar este grupo para asignar roles de Microsoft Entra a los miembros.

    • Esta opción solo está disponible con licencias Premium P1 o P2.
    • Debe contar como mínimo con el rol Administrador de roles con privilegios.
    • Al habilitar esta opción, se selecciona automáticamente Asignado como tipo de pertenencia.
    • La capacidad de agregar roles mientras se crea el grupo se agrega al proceso.
    • Obtenga más información sobre los grupos asignables de roles.

  9. Seleccione un tipo de pertenencia. Para obtener más información sobre los tipos de pertenencia, consulte el artículo Sobre grupos y tipos de pertenencia .

  10. Opcionalmente, agregue propietarios o miembros. Los miembros y propietarios se pueden agregar después de crear el grupo.

    1. Seleccione el vínculo en Propietarios o Miembros para rellenar una lista de todos los usuarios del directorio.
    2. Elija usuarios de la lista y, a continuación, seleccione el botón Seleccionar situado en la parte inferior de la ventana.

    Captura de pantalla de la selección de miembros para el grupo durante el proceso de creación del grupo.

  11. Selecciona Crear. Se ha creado el grupo y está listo para que administres otras configuraciones.

    Desactivación del correo electrónico de bienvenida al grupo

    Cuando los usuarios se agregan a un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida a todos, independientemente del tipo de pertenencia. Cuando cambia un atributo de un usuario o dispositivo, se procesan todas las reglas de grupos de pertenencia dinámica de la organización para comprobar si hay posibles cambios de pertenencia. Los usuarios que se agregan también reciben la notificación de bienvenida. Puede desactivar este comportamiento en Exchange PowerShell.

Agregar miembros o propietarios de un grupo

Los miembros y propietarios se pueden agregar de los grupos existentes. El proceso es el mismo para los miembros y propietarios. Necesitará el rol Administrador de grupos o Administrador de usuarios para agregar miembros y propietarios.

Nota:

¿Necesita agregar varios miembros a la vez? Obtenga información sobre la opción Agregar miembros en masa .

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. Selccione el grupo que necesita administrar.

  4. Seleccione Miembros o Propietarios.

    Captura de pantalla de la página Información general del grupo con las opciones de menú Miembros y Propietarios resaltadas.

  5. Seleccione + Agregar (miembros o propietarios).

  6. Desplácese por la lista o bien introduzca un nombre en el cuadro de búsqueda. Puede elegir varios nombres a la vez. Cuando esté listo, seleccione el botón Seleccionar .

    La página Información general del grupo se actualiza para mostrar el número de miembros que ahora se agregan al grupo.

Quitar miembros o propietarios de un grupo

Los miembros y propietarios se pueden eliminar de grupos existentes. El proceso es el mismo para los miembros y propietarios. Necesitará el rol de Administrador de grupos o Administrador de usuarios para eliminar miembros y propietarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. Selccione el grupo que necesita administrar.

  4. Seleccione Miembros o Propietarios.

  5. Active la casilla situada junto a un nombre de la lista y seleccione el botón Quitar .

    Captura de pantalla de los miembros del grupo con un nombre seleccionado y el botón Quitar resaltado.

Editar la configuración del grupo

Puede editar el nombre del grupo, la descripción o el tipo de pertenencia. Necesitará el rol Administrador de grupos o Administrador de usuarios para editar la configuración de un grupo.

Para editar la configuración de un grupo:

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. Desplácese por la lista o introduzca un nombre de grupo en el cuadro de búsqueda. Selccione el grupo que necesita administrar.

  4. Seleccione Propiedades en el menú lateral.

  5. Actualice la información de configuración general según sea necesario, entre las que se incluyen:

    • Nombre de grupo. Edite el nombre de grupo existente.

    • Descripción de grupo. Edite la descripción de grupo existente.

    • Tipo de grupo. No se puede cambiar el tipo de grupo después de que se ha creado. Para cambiar el tipo de grupo, debe eliminar el grupo y crear uno nuevo.

    • Tipo de pertenencia. Cambie el tipo de membresía. Si ha habilitado la opción los roles de Microsoft Entra se pueden asignar al grupo, no puede cambiar el tipo de pertenencia. Para obtener más información sobre los tipos de pertenencia disponibles, consulte el artículo Sobre grupos y tipos de pertenencia .

    • Id. de objeto. No se puede cambiar el identificador de objeto, pero puede copiarlo para usarlo en los comandos de PowerShell para el grupo. Para obtener más información sobre el uso de cmdlets de PowerShell, consulte Cmdlets de Microsoft Entra para configurar las opciones de grupo.

Agregar un grupo a otro grupo

En el caso del tipo de grupo de seguridad, puede añadir un grupo existente a otro grupo (también denominados grupos anidados). En función de los tipos de pertenencia a grupos, puede agregar un grupo como miembro de otro grupo. Los grupos anidados se pueden usar para los ámbitos de pertenencia y acceso condicional. Los grupos anidados no obtienen acceso a recursos compartidos ni a aplicaciones asignadas al grupo primario.

Actualmente, no se admite:

  • Agregar grupos a un grupo sincronizado con Active Directory local.
  • Adición de grupos de seguridad a grupos de Microsoft 365.
  • Adición de grupos de Microsoft 365 a grupos de seguridad u otros grupos de Microsoft 365.
  • Asignación de pertenencia a recursos compartidos y aplicaciones para grupos de seguridad anidados.
  • Aplicar licencias a grupos de seguridad anidados.
  • Agregar grupos de distribución en escenarios de anidamiento.
  • agregar grupos de seguridad como miembros de otros grupos de seguridad que estén habilitados para recibir correo.
  • Agregar grupos como miembros de un grupo asignable a roles.

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. En la página Todos los grupos , busque y seleccione el grupo que desea convertir en miembro de otro grupo.

    Nota:

    Solo puede agregar su grupo como miembro a otro grupo a la vez. Los caracteres comodín no se admiten en el cuadro de búsqueda Seleccionar grupo.

  4. En la página Información general del grupo, seleccione Pertenencias a grupos en el menú lateral.

  5. Seleccione + Agregar pertenencias.

  6. Busque el grupo del que quiere que sea miembro y elija Seleccionar.

    En este ejercicio, vamos a añadir "Directiva de MDM - Oeste" al grupo "Directiva de MDM - Todas las organizaciones". El grupo "MDM - policy - West" tendrá el mismo acceso que el grupo "MDM policy - All org".

    Captura de pantalla de añadir un grupo como miembro de otro grupo, con la opción

    Ahora puede revisar la página "MDM policy - West - Group memberships" para consultar la relación entre el grupo y el miembro.

    Para obtener una vista detallada de la relación entre el grupo y el miembro, seleccione el nombre del grupo primario (Directiva de MDM - Todas las organizaciones) y observe los detalles de la página "Directiva de MDM - Oeste".

Quitar un grupo de otro grupo

Puede quitar un grupo de seguridad existente de otro grupo de seguridad; sin embargo, al quitar el grupo también se elimina cualquier acceso heredado para sus miembros.

  1. En la página Todos los grupos , busque y seleccione el grupo que necesita quitar como miembro de otro grupo.

  2. En la página Información general del grupo, seleccione Pertenencias a grupos.

  3. Seleccione el grupo primario en la página Pertenencias a grupos .

  4. Seleccione Quitar.

    En este ejercicio, vamos a eliminar "Directiva de MDM - Oeste" del grupo "Directiva de MDM - Toda la organización".

    Captura de pantalla de la página

Eliminar un grupo

Puede eliminar un grupo para infinidad de motivos, pero normalmente será porque:

  • Elija la opción Tipo de grupo incorrecta.
  • Ha creado un grupo duplicado por error.
  • Ya no hace falta el grupo.

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. Busque y seleccione el grupo que quiera eliminar.

  4. Seleccione Eliminar.

Contenido relacionado

  • Last updated on