Uso compartido de cuentas con el identificador de Microsoft Entra ID

Información general

A veces en Microsoft Entra ID, las organizaciones necesitan usar un único nombre de usuario y contraseña para varias personas. Esto suele ocurrir en los siguientes casos:

• Al obtener acceso a aplicaciones que requieren un inicio de sesión único y una contraseña para cada usuario, ya sean aplicaciones locales o servicios en la nube de consumidor (por ejemplo, cuentas de medios sociales corporativos).
• Al crear entornos multiusuario. En este caso puede tener una sola cuenta local que tenga privilegios elevados y que se use para realizar actividades básicas de configuración, administración y recuperación. Por ejemplo, puede tener la cuenta local de Administrador global de Microsoft 365 o la cuenta raíz de Salesforce.

Tradicionalmente, estas cuentas se comparten al distribuir las credenciales (nombre de usuario y contraseña) a las personas adecuadas o almacenándolas en una ubicación compartida donde varios agentes de confianza pueden tener acceso a ellas.

El modelo tradicional de uso compartido tiene varias desventajas:

• Habilitar el acceso a las nuevas aplicaciones requiere distribuir las credenciales a todos los usuarios que necesiten acceso.
• Cada aplicación compartida puede requerir su propio conjunto de credenciales compartidas, por lo que los usuarios tienen que recordar varios conjuntos de credenciales. Cuando los usuarios tienen que recordar muchas credenciales, aumenta el riesgo de que recurran a prácticas peligrosas. (por ejemplo, anotar las contraseñas).
• No se puede determinar quién tiene acceso a una aplicación.
• No se puede determinar quién accedió a una aplicación.
• Si tiene que quitar el acceso a una aplicación, debe actualizar las credenciales y volver a distribuirlas a todos los usuarios que necesiten acceder a esa aplicación.

Cuenta de Microsoft Entra

Microsoft Entra ID proporciona un enfoque nuevo para el uso de cuentas compartidas que elimina estos inconvenientes.

El administrador de Microsoft Entra configura las aplicaciones a las que un usuario puede tener acceso mediante el panel de acceso y la selección del tipo de inicio de sesión único que mejor se adapta a esa aplicación. Uno de estos tipos, el inicio de sesión único con contraseña, permite a Microsoft Entra ID actuar como una especie de "intermediario" durante el proceso de inicio de sesión de esa aplicación.

Los usuarios inician sesión una sola vez con sus cuentas profesionales. Estas cuentas suelen ser las que se usan habitualmente para obtener acceso al correo electrónico o al escritorio. Pueden detectar y acceder solo a aquellas aplicaciones que tienen asignadas. Con cuentas compartidas, esta lista de aplicaciones puede incluir cualquier número de credenciales compartidas. El usuario final no necesita recordar ni anotar las distintas cuentas que puede que use.

Las cuentas compartidas no solo aumentan la supervisión y mejoran la facilidad de uso, también optimizan la seguridad. Los usuarios con permisos para usar las credenciales no ven la contraseña compartida, sino que obtienen permiso para usar la contraseña como parte de un flujo de autenticación orquestado. Además, algunas aplicaciones de SSO con contraseña le ofrecen la opción de usar Microsoft Entra ID para sustituir (actualizar) periódicamente las contraseñas. El sistema usa contraseñas largas y complejas, lo que aumenta la seguridad de la cuenta. Gracias a ello, el administrador puede conceder o revocar fácilmente el acceso a una aplicación y saber quién tiene acceso a la cuenta y quién ha accedido a ella previamente.

Microsoft Entra ID. admite cuentas compartidas para cualquier plan de licencia enterprise Mobility Suite (EMS) o Microsoft Entra ID P1 o P2, en todos los tipos de aplicaciones de inicio de sesión único con contraseña. Puede compartir las cuentas de las miles de aplicaciones previamente integradas en la galería de aplicaciones y puede agregar su propia aplicación de autenticación mediante contraseña con aplicaciones de inicio de sesión único personalizadas.

Entre las características de Microsoft Entra que permiten el uso compartido de las cuentas se incluyen las siguientes:

• Inicio de sesión único con contraseña
• Agente de inicio de sesión único con contraseña
• Asignación de grupos
• Aplicaciones de contraseñas personalizadas
• Panel/informes de uso de aplicaciones
• Portales de acceso para usuarios finales
• Proxy de aplicaciones
• Azure Marketplace

Uso compartido de una cuenta

Para usar Microsoft Entra ID. para compartir una cuenta, debe:

• Agregar una aplicación de la galería de aplicaciones o una aplicación personalizada
• Configurar la aplicación para el inicio de sesión único (SSO) con contraseña
• Usar la asignación basada en grupos y seleccionar la opción para escribir una credencial compartida.

También puede hacer que su cuenta compartida sea más segura con Multi-Factor Authentication (MFA) (más información acerca de la protección de aplicaciones con Microsoft Entra ID) y puede delegar la capacidad para administrar quién tiene acceso a la aplicación mediante la administración de grupos de autoservicio de Microsoft Entra.

Pasos siguientes

• Administración de aplicaciones en Microsoft Entra ID
• Protección de aplicaciones con acceso condicional
• Administración de grupos de autoservicio/SSAA