Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Como institución educativa, puede registrarse para obtener una prueba gratuita de Microsoft 365 Educación y completar un asistente para la comprobación de elegibilidad para comprar suscripciones a precios académicos.
Creación de un inquilino de Microsoft Entra
Al registrarse para obtener una suscripción de pago o de prueba de Microsoft 365 Educación, se crea un inquilino de Microsoft Entra como parte de los servicios subyacentes de Office 365. Del mismo modo, se crea un inquilino de Microsoft Entra al registrarse en Azure.
Los clientes deben tener un plan de licencia de Microsoft de pago para crear un inquilino adicional de Microsoft Entra.
Importante
Al crear un inquilino de Microsoft Entra, debe especificar una región lógica que determine la ubicación del centro de datos. Debe elegirse con mucho cuidado porque no se puede cambiar después de la creación.
Para obtener más información, consulte la guía de implementación de Microsoft 365 Educación.
¿Qué es un inquilino de Microsoft Entra?
Un inquilino de Microsoft Entra proporciona funcionalidades de administración de identidad y acceso (IAM) a las aplicaciones y los recursos que usa su organización. Una identidad es un objeto de directorio que se puede autenticar y autorizar para el acceso a un recurso. Los objetos de identidad existen para identidades humanas, como estudiantes y profesores, y para identidades no humanas, como dispositivos de aulas y estudiantes, aplicaciones y principios de servicio.
El inquilino de Microsoft Entra es un límite de seguridad de identidad que está bajo el control del departamento de TI de su organización. Dentro de este límite de seguridad, los administradores de TI controlan la administración de objetos (como los objetos de usuario) y la configuración de los ajustes de todo el inquilino.
Recursos de un inquilino
Microsoft Entra ID se utiliza para conceder a los objetos que representan identidades acceso a recursos como aplicaciones y sus recursos subyacentes de Azure, que pueden incluir bases de datos y sistemas de administración del aprendizaje (LMS).
Acceso a aplicaciones que usan Microsoft Entra ID
Las identidades pueden tener acceso a muchos tipos de aplicaciones, entre las que se incluyen, entre otras:
Servicios de productividad de Microsoft como Exchange Online, Microsoft Teams y SharePoint Online
Servicios de TI de Microsoft como Azure Sentinel, Microsoft Intune y ATP de Microsoft Defender
Herramientas de desarrollador de Microsoft, como Azure DevOps
Aplicaciones de terceros, como sistemas de administración del aprendizaje (LMS)
Aplicaciones locales integradas con funcionalidades de acceso híbrido, como el proxy de aplicación de Microsoft Entra
Aplicaciones personalizadas desarrolladas internamente
Las aplicaciones que usan Microsoft Entra ID requieren que los objetos de directorio se configuren y administren en el inquilino de confianza de Microsoft Entra. Algunos ejemplos de objetos de directorio son los registros de aplicaciones, las entidades de servicio, los grupos y las extensiones de atributo de esquema.
Aunque algunas aplicaciones pueden tener varias instancias por inquilino, por ejemplo, una instancia de prueba y una instancia de producción, algunos servicios de Microsoft, como Exchange Online, solo pueden tener una instancia por inquilino.
Acceso a objetos del directorio
Las identidades, los recursos y sus relaciones se representan en un inquilino de Microsoft Entra como objetos de directorio. Entre los ejemplos de objetos de directorio se incluyen usuarios, grupos, entidades de servicio y registros de aplicaciones.
Cuando los objetos están en un inquilino de Microsoft Entra, ocurre lo siguiente:
Visibilidad. Las identidades pueden detectar o enumerar recursos, usuarios, grupos y acceder a informes de uso y registros de auditoría si tienen los permisos adecuados. Por ejemplo, un miembro del directorio puede detectar usuarios en el directorio con un permiso de usuario predeterminado.
Las aplicaciones pueden afectar a los objetos. Las aplicaciones pueden manipular objetos de directorio a través de Microsoft Graph como parte de su lógica de negocios. Entre los ejemplos típicos se incluyen la lectura o configuración de atributos de usuario, la actualización del calendario del usuario y el envío de correos electrónicos en nombre del usuario. El consentimiento es necesario para permitir que las aplicaciones afecten al inquilino. Los administradores pueden dar su consentimiento para todos los usuarios. Para más información, consultad Permisos y consentimiento en la Plataforma de identidad de Microsoft.
Nota:
Tenga cuidado al usar los permisos de la aplicación. Por ejemplo, con Exchange Online, debe limitar los permisos de aplicación a buzones y permisos específicos.
Limitación y límites de servicio. El comportamiento de runtime de un recurso puede desencadenar una limitación para evitar el uso excesivo o la degradación del servicio. La limitación puede producirse a nivel de aplicación, de inquilino o de todo el servicio. Lo más habitual es que se produzca cuando una aplicación tiene un gran número de solicitudes dentro de un mismo inquilino o entre distintos inquilinos.
Cada inquilino tiene un límite total de objetos. De forma predeterminada, un inquilino está limitado a 50 000 objetos en total. Después de agregar un dominio personalizado, el límite aumenta a 300 000. Puede aumentar aún más este límite de objetos si se pone en contacto con el equipo de éxito del cliente de EDU. Se recomienda que un solo inquilino de Microsoft Entra no supere el millón de usuarios, lo que normalmente equivale a aproximadamente 3 millones de objetos en total. Para obtener más información sobre los límites de servicio en Microsoft Entra ID, consulte Restricciones y límites de servicio de Microsoft Entra.
Configuración en un inquilino
Las directivas y configuraciones de Microsoft Entra ID afectan a los recursos del inquilino de Microsoft Entra a través de configuraciones específicas o para todo el inquilino.
Algunos ejemplos de directivas y configuraciones para todos los inquilinos son:
Identidades externas. Los administradores globales del inquilino identifican y controlan las identidades externas que se pueden aprovisionar en el inquilino.
Si se permiten identidades externas en el inquilino
Desde qué dominios se pueden agregar identidades externas
Si los usuarios pueden invitar a usuarios de otros inquilinos
Ubicaciones con nombre. Los administradores globales pueden crear ubicaciones con nombre, que luego se pueden usar para:
Bloquear el inicio de sesión desde ubicaciones específicas.
Desencadenar directivas de acceso condicional, como la MFA.
Métodos de autenticación permitidos. Los administradores globales establecen los métodos de autenticación permitidos para el inquilino.
Opciones de autoservicio. Los administradores globales establecen opciones de autoservicio como el autoservicio de restablecimiento de contraseña y crean grupos de Office 365 en el nivel de inquilino.
La implementación de algunas configuraciones de todo el inquilino se puede limitar siempre que no se invaliden mediante directivas de administración globales. Por ejemplo:
Si el inquilino está configurado para permitir identidades externas, un administrador de recursos todavía puede excluir esas identidades del acceso a un recurso.
Si el inquilino está configurado para permitir el registro de dispositivos personales, un administrador de recursos puede excluir esos dispositivos del acceso a recursos específicos.
Si se configuran ubicaciones con nombre, un administrador de recursos puede configurar directivas que permitan o excluyan el acceso desde esas ubicaciones.
Administración en un inquilino
La administración incluye la administración de objetos de identidad y la implementación con ámbito de configuraciones en todo el inquilino. Los objetos incluyen usuarios, grupos y dispositivos, así como principios de servicio. Puede definir el ámbito de los efectos de las configuraciones a nivel de inquilino para la autenticación, autorización, opciones de autoservicio, etc.
Los administradores de todo el inquilino, o administradores globales, pueden:
Conceder acceso a cualquier recurso a cualquier usuario
Asignar roles de recursos a cualquier usuario
Asignar roles de administrador de ámbito inferior a cualquier usuario
Administración de objetos de directorio
Los administradores administran cómo los objetos de identidad pueden acceder a los recursos y en qué circunstancias. También pueden deshabilitar, eliminar o modificar objetos de directorio en función de sus privilegios. Entre estos objetos de identidad se incluyen:
Las identidades organizativas, como las siguientes, se representan mediante objetos de usuario:
Administradores
Usuarios de la organización
Desarrolladores de la organización
Comprobar usuarios **
Las identidades externas representan usuarios de fuera de la organización, como:
Partners u otras instituciones educativas que se aprovisionan con cuentas locales en el entorno de la organización
Partners u otras instituciones educativas que se aprovisionan a través de la colaboración B2B de Azure
Los grupos se representan mediante objetos como:
Grupos de seguridad
Grupos de Office 365
Los dispositivos se representan mediante objetos como:
Dispositivos unidos híbridos de Microsoft Entra (equipos locales sincronizados desde Active Directory local)
Dispositivos unidos a Microsoft Entra
Microsoft Entra registró dispositivos móviles usados por los empleados para acceder a sus aplicaciones de trabajo.
Nota:
En un entorno híbrido, las identidades normalmente se sincronizan desde el entorno de Active Directory local mediante Microsoft Entra Connect.
Administración de servicios de identidad
Los administradores con los permisos adecuados pueden administrar cómo se implementan las directivas de todo el inquilino en el nivel de grupos de recursos, grupos de seguridad o aplicaciones. Al considerar la administración de recursos, tenga en cuenta lo siguiente. Cada uno de ellos puede ser una razón para mantener los recursos juntos o para aislarlos.
Una identidad asignada a un rol de administrador de autenticación puede requerir que los usuarios que no sean administradores vuelvan a registrarse para la autenticación MFA o FIDO.
Un administrador de acceso condicional (CA) puede crear directivas de CA que exijan a los usuarios que inicien sesión en aplicaciones específicas que lo hagan únicamente desde dispositivos propiedad de la organización. También pueden definir el ámbito de las configuraciones. Por ejemplo, aunque se permitan identidades externas en el inquilino, se puede impedir que esas identidades accedan a un recurso.
Un Administrador de aplicaciones en la nube puede dar su consentimiento a los permisos de la aplicación en nombre de todos los usuarios.
Un administrador global puede tomar el control de una suscripción.
Licencias
Los servicios en la nube de pago de Microsoft, como Office 365, requieren licencias. Estas licencias se asignan a todos los usuarios que necesitan acceso a los servicios. Microsoft Entra ID es la infraestructura subyacente que admite la administración de identidades para todos los servicios en la nube de Microsoft y almacena información sobre los estados de asignación de licencias para los usuarios. Tradicionalmente, los administradores usaban uno de los portales de administración (Office o Azure) y cmdlets de PowerShell para gestionar licencias. Microsoft Entra ID admite licencias basadas en grupos que le permiten asignar una o varias licencias de producto a un grupo de usuarios.
Microsoft Entra ID en escenarios de Microsoft 365 Educación
Microsoft Entra ID ayuda a los alumnos y profesores a iniciar sesión y acceder a los recursos y servicios, incluidos:
Inicio de sesión y autorización para acceder a los recursos
Los dominios para el inicio de sesión y el correo electrónico están configurados para la autenticación en la nube en Microsoft Entra ID.
La mayoría de las funcionalidades de colaboración externa usan la colaboración B2B de Microsoft Entra.
Capacidades de Microsoft Office 365
A las identidades de Microsoft Entra se les asignan licencias de Office 365, lo que desencadena el aprovisionamiento.
Los objetos de Office 365, como listas de distribución, grupos modernos, contactos y Microsoft Teams, se representan mediante objetos de directorio de Microsoft Entra y se administran en Microsoft Entra ID.
Los servicios de Office 365 proporcionan autorización mediante grupos de Microsoft Entra.
El acceso a Office 365 se controla mediante Microsoft Entra ID.
Gobernanza y seguridad
Las características de administración y seguridad, como Intune for Education, se basan en usuarios, grupos, dispositivos y directivas de Microsoft Entra.
Privileged Identity Management para permitir el acceso Just-In-Time (JIT) y Just Enough Administration (JEA) a operaciones privilegiadas.
Registros de inicio de sesión e informes de actividad de auditoría.
Funcionalidades de gobernanza, como revisiones de acceso.
-
Microsoft Entra ID proporciona las funcionalidades híbridas para sincronizar desde Active Directory local a través de Microsoft Entra Connect.
Microsoft Entra Connect le permite configurar el método de autenticación adecuado para su organización, incluida la sincronización de hash de contraseña, la autenticación de paso a través o la integración de federación con AD FS o un proveedor de identidades SAML que no sea de Microsoft.
API para aprovisionar objetos de directorio desde SIS mediante School Data Sync