Hola a tod@s.
En este post vamos a ver los Usuarios, Grupos y Roles administrativos de Azure Active Directory.
- Para el acceder a los Usuarios, Grupos y Roles administrativos accedemos a Azure Active Directory y sobre la columna Administrar podemos encontrarlos para empezar su gestión y administración:
- Vamos a empezar por los Usuarios, que como ya hemos visto podemos tener usuarios locales, que son los que creamos directamente sobre el portal de Azure, y también podemos tener usuarios vinculados de un dominio Active Directory desplegado y configurado sobre un Windows Server, sobre esta parte vamos a poder gestionar y administrar nuestros usuarios de Azure AD, es decir, vamos a poder crear nuevos usuarios, eliminarlos, restablecer las contraseñas, etc…:
- Podemos ver los usuarios que hemos eliminado recientemente, y que van a permanecer durante 30 días, pasado este periodo van a ser eliminados definitivamente, podemos hacer una restauración masiva, que nos va a restaurar todos los usuarios que se encuentren como eliminados, y podemos seleccionar cualquier usuario y restaurarlo, todo ello, antes de los 30 días de su eliminación:
- Vamos a poder Restablecer la contraseña de nuestros usuarios, para ello, necesitamos un servicio de Azure Active Directory Premium, por lo que debemos de pasar por caja y se la irán cobrando de nuestra suscripción:
- Sobre Configuración de usuario vamos a tener distintas opciones generales sobre los usuarios de Azure AD, como son el registro de aplicaciones, y si los usuarios van a poder acceder al portal de Azure, aunque el acceso no esté restringido para el acceso al portal, para que un usuario pueda administrar el portal de Azure, deberá de tener los roles específicos para poder hacerlo:
- Ahora vamos a ver los Grupos que básicamente, es la misma filosofía que hemos seguido siempre con los grupos de un Active Directory en un Windows Server, es decir, nos creamos los grupos y dentro de ellos agregamos los usuarios que nos vayan interesando, luego iremos asignando permisos a estos grupos según nos interese, así tendremos una administración de nuestro sistema mucho más organizada y escalable a lo largo del tiempo:
- Si nos creamos un Nuevo grupo podemos ver que pueden ser del tipo Seguridad y Microsoft 365.
- Seguridad, se usa para administrar el acceso de miembros y del equipo a los recursos compartidos de un grupo de usuarios. Por ejemplo, puede crear un grupo de seguridad para una directiva de seguridad específica. De esta forma, puede conceder una serie de permisos a todos los miembros a la vez, en lugar de tener que agregar permisos a cada miembro individualmente. Un grupo de seguridad puede tener usuarios, dispositivos, grupos y entidades de servicio como miembros y usuarios y entidades de servicio como propietarios.
- Microsoft 365, ofrece oportunidades de colaboración al conceder acceso a los miembros a un correo compartido, calendarios, archivos, el sitio de SharePoint y mucho más. Esta opción también permite ofrecer a personas de fuera de su organización acceso al grupo. Un grupo de Microsoft 365 solo puede tener usuarios como miembros. Tanto los usuarios como las entidades de servicio pueden ser propietarios de registros de Microsoft 365.
Fuente: Microsoft Docs
- Aquí podemos ver un Grupo creado y todas sus opciones, dónde podemos ver sus propiedades, los miembros del grupo, propietarios, la asignación de roles, etc…:
- Para terminar, vamos a ver los Roles y administradores, en Azure Active Directory, si otro administrador o no administrador necesita administrar los recursos de Azure AD, se les asigna un rol de Azure AD que les proporcione los permisos que necesitan. Por ejemplo, podemos asignar roles para permitir la adición o modificación de usuarios, el restablecimiento de contraseñas de usuario, la administración de licencias de usuario o la administración de nombres de dominio, como podemos ver tenemos una granularidad impresionante con todos los roles integrados que vienen en Azure Active Directory, estos roles podemos asignarlos a usuarios para darles los permisos y los accesos necesarios que necesiten sobre la infraestructura de Azure, para crear roles personalizados necesitamos contratar un servicio Premium de Azure AD, el costo de este servicio irá asociado a nuestra suscripción:
- Veamos un ejemplo, vamos a ver el rol de Administrador global, este rol podemos decir que es el equivalente al rol de Administradores del dominio en Windows Server, tenemos las asignaciones, dónde vamos a ir agregando los usuarios que queremos que tengan este rol, desde aquí también podemos quitar estas asignaciones:
- Si nos vamos a Descripción podemos ver un resumen de lo que significa este rol y los permisos que tiene:
- Con estos roles predeterminados de Azure AD podemos realizar prácticamente toda la administración de permisos y controles de acceso de nuestra infraestructura de Azure, iremos añadiendo usuarios a estos roles según nos vaya interesando y según queramos ir añadiendo funcionalidades a nuestros usuarios, como podemos ver tenemos una gran cantidad de roles para ello:
Saludos y espero que os sea de ayuda 😉
Un comentario