manual.pdf

Contents
Documentación y recursos de Microsoft 365 Educación
Fase 1: Implementación de nube
Paso 1: Crear la cuenta del espacio empresarial de Office 365
Paso 2: Proteger y configurar la red
Paso 3: Sincronizar con Active Directory
Paso 4: Sincronizar el sistema de información de alumnos con School Data Sync
Paso 5: Usuarios con licencia
Fase 2: Administración de dispositivos
Paso 1: implementar Windows 10 para el ámbito educativo
Introducción a Windows 10 para el ámbito educativo
Elegir cómo configurar dispositivos con Windows 10 Education
Paso 2: Implementar Intune for Education
Introducción a Intune for Education
Usar Intune para la educación para administrar grupos, aplicaciones y
configuración
Inscribir dispositivos Windows en Intune con Windows Autopilot
Fase 3: Administración de aplicaciones
Paso 1: Configurar las opciones de administración
Paso 2: Configurar Microsoft Teams para educación
Habilitar Microsoft Teams para su escuela
Configurar Teams para el ámbito educativo
Habilitar Microsoft Teams para el ámbito educativo para usuarios de Google que
no tengan un buzón de Exchange
Permitir que los profesores eliminen conversaciones en Microsoft Teams
Configurar tareas para Teams
Paso 3: Configurar Office 365
Implementar Office 365
Aula inclusiva para administradores de TI
Registro de autoservicio para Office 365

Paso 4: Instalar aplicaciones de Microsoft Store para Educación
Paso 5: Instalar Minecraft: Education Edition
Paso 6: instalar Microsoft Edge
Fase 4: Completar la implementación
Implementación de Exchange Online
Implementación híbrida de Exchange Server
Implementación de SharePoint Online y OneDrive
Implementar el entorno híbrido de SharePoint Server
Guía arquitectónica para grandes organizaciones educativas
Introducción a Azure Active Directory
Diseñar una arquitectura multiempresa
Diseñar la configuración del espacio empresarial
Diseñar estrategias de autenticación y credenciales
Diseñar una estrategia de cuentas
Diseñar Identity Governance
Guía actualizada para la implementación de M365 EDU durante COVID-19
Seguridad y cumplimiento
Guía de implementación de Azure Active Directory
Guía de aceleración para la implementación de Azure Information Protection
Microsoft Cloud App Security
Protección pérdida de datos (DLP) en Office 365
Cumplimiento avanzado de Office 365
Implementación del Cuadro de bloqueo
Análisis e información
Abrir Education Analytics
Power BI para administradores de TI
Dynamics 365
Buscar ayuda de implementación

Paso 1: Crear su cuenta Office 365 inquilino.
10/05/2022 • 2 minutes to read
TIP
NOTE
Algunas de las direcciones URL de este artículo le llevarán a otro conjunto de documentos. Si desea mantener su posición
en la tabla de contenido de este conjunto de documentos, haga clic con el botón derecho en las direcciones URL para
abrirlas en una nueva ventana.
Si tiene necesidades de delegación de administración que requieren la creación de varios inquilinos, póngase en contacto
con nosotros en EduMulti@microsoft.com.
Siga estos pasos para configurar un inquilino Office 365 para Educación comprobado si aún no tiene uno
configurado.
1. Navegar a la página de planes de Office 365 Educación.
2. Haga clic en el botón verde Get Started for Free (Comenzar gratis).
3. Haga clic en Create a New Account (Crear cuenta).
4. Escriba toda la información solicitada en el asistente.
a. País o región
b. Nombre
c. Dirección de correo electrónico de la escuela
d. Número de teléfono de la escuela
e. Nombre de la escuela
f. Tamaño de la escuela

5. Haga clic en Siguiente.
6. Crea tu cuenta de administrador global. Escriba toda la información solicitada.
a. Nombre de usuario
b. Nombre de dominio
c. Password
7. Registre el nombre de usuario y contraseña de la cuenta de administrador y haga clic en Crear mi
cuenta.
8. Escriba nuestro número de teléfono para obtener un código de acceso y confirme que no es un robot.
9. Haga clic en Ya está listo.

Agregar dominios
10. Haga clic en Lo comprobaré más tarde.
11. Haga clic en Sí cuando aparezca la solicitud de confirmación.
12. Su Office 365 cuenta de inquilino edu ahora se ha creado!
Una vez que haya creado el espacio empresarial, agregue cada uno de los dominios de su organización. Para
ello, siga estas instrucciones para cada dominio que desee agregar. No es necesario crear una cuenta de
inquilino para cada dominio. Puede tener una sola cuenta de inquilino con varios dominios.
Recomendación: agregue un número reducido de dominios, si es posible. Para el ámbito educativo, la
habilitación de un dominio único para profesores y un solo dominio para alumnos funciona bien. Cada dominio
agregado está diseñado para asociarse a userPrincipalName y dirección de correo electrónico de los usuarios
del directorio. Si tiene dominios de un Active Directory local que no se están utilizando, no es necesario
agregarlos a su Office 365 local.
Paso siguiente: Una vez que haya creado su cuenta de Office 365 inquilino y haya agregado dominios, vaya al
paso 2 para Proteger y configurar la red.

Paso 2: Proteger y configurar la red
TIP
Revisar la planeación de red, la optimización y los procedimientos
recomendados
Configurar la conectividad con direcciones URL y direcciones IP de
Microsoft
Temas relacionados
Algunos de los problemas de rendimiento Office 365 más comunes están relacionados con la configuración de
red. Evaluar la configuración de red y aplicar entidades de seguridad de red y procedimientos recomendados es
un paso clave para garantizar la mejor experiencia Office 365 usuario.
El tema Office 365 introducción a la conectividad de red es un buen lugar para empezar a comprender los
principios básicos de las redes Office 365 red. A continuación, lea Office 365 principios de conectividad de red
para comprender cómo optimizar el rendimiento de la red.
También puede revisar las guías de planeación de red, procedimientos recomendados y optimización
disponibles en este vínculo.
Para pasar a Microsoft 365 Educación, debe habilitar la conectividad de red con la nube y los servicios de
Microsoft. Asegúrese de configurar los firewalls y los dispositivos de red para la conectividad a las direcciones IP
y direcciones URL definidas en el tema Managing Office 365 endpoints.
Paso siguiente: Una vez que haya revisado la configuración de red y haya asegurado que está siguiendo los
principios de conectividad de red de Office 365,vaya al paso 3 para sincronizar Su Active Directory.
Principios de conectividad de red de Office 365
Office 365 de conectividad de red
Administrar puntos de conexión de Office 365

Paso 3: Sincronizar su active directory
TIP
Este artículo está pensado para clientes que tienen la intención de integrar un active directory local con Office
365. Si no necesita integrar un directorio local y tiene la intención de aprovisionar identidades de solo nube,
puede omitir este paso y continuar con Sincronizar el SIS con School Data Sync.
Hay tres formas de mover las identidades a Microsoft 365 Educación.
1. AAD Conectar con la sincronización hash de contraseña: Ruta de acceso recomendada
La ruta de acceso más eficaz para pasar de un active directory local es usar AAD Conectar con la
sincronización hash de contraseña para la autenticación. Esta ruta de acceso es más fácil y más
económica de implementar porque puede usar Azure AD Conectar Express Configuración. Express
Configuración es la opción predeterminada y se usa para los escenarios más implementados. Solo
tendrá que administrar un servidor y esta ruta de acceso le dará un inicio de sesión único sin problemas
y autenticación multifactor en la nube.
2. AAD Conectar con autenticación de paso a través
Si necesita administrar las solicitudes de autenticación de contraseña desde su propio active directory
local, seguirá utilizando AAD Conectar, pero tendrá que usar la opción de autenticación de paso a través
en lugar de la sincronización hash de contraseña. Azure Active Directory (Azure AD) Autenticación de
paso a través permite a los usuarios iniciar sesión en aplicaciones locales y basadas en la nube con las
mismas contraseñas. Cuando los usuarios inician sesión Azure AD, esta característica valida las
contraseñas de los usuarios directamente en su Active Directory local. Esta ruta es para las
organizaciones que desean aplicar sus Active Directory local de seguridad y contraseña.
3. Servicios federados de Active Directory (ADFS)
Si necesita tener la autenticación multifactor administrada local (MFA), deberá usar los Servicios
federados de Active Directory (ADFS). Al elegir este método de autenticación, Azure AD el proceso de
autenticación al Active Directory local Federation Services (AD FS) para validar la contraseña del usuario.
No se recomienda esta opción a menos que necesite el inicio de sesión único federado y la
administración local de contraseñas. Esta ruta es más difícil y costosa, requiere la administración de
varios servidores y solo es relevante para distritos con una configuración de seguridad compleja y
requisitos.

Vea este documento para obtener contexto adicional sobre cómo configurar la sincronización de directorios
para Office 365.
Si aún no está seguro de qué ruta de acceso elegir, use esta guía para comparar los distintos métodos de inicio
de sesión de Azure AD y cómo elegir el método de inicio de sesión adecuado para su organización.
Paso siguiente: después de completar la sincronización de active directory, vaya al paso 4 para sincronizar el SIS
con School Data Sync.

Paso 4: Sincronizar el SIS con School Data Sync
(SDS)
TIP
Implementación de School Data Sync
School Data Sync (SDS) es un servicio gratuito de Office 365 para el ámbito educativo que lee los datos
educativos y de lista del sistema de información de estudiantes (SIS) de una escuela. Crea grupos de Office 365
para Exchange Online y SharePoint Online, equipos de clase para blocs de notas de clase de Microsoft Teams y
OneNote, grupos educativos para Intune para Educación e integración de listas e SSO para muchas otras
aplicaciones de terceros. Los escenarios clave de integración de aplicaciones que SDS habilita incluyen:
Teams para Educación: SDS habilita la creación automática del equipo de clase basada en grupos de O365
creados por SDS y el rostering.
OneNote blocs de notas de clase: SDS habilita el aprovisionamiento automatizado OneNote bloc de
notas de clase dentro de Teams para Educación. Cuando se habilita, cada bloc de notas de clase tendrá
secciones creadas y permisos establecidos en función de los datos de lista de clases SDS importados durante
la sincronización.
Exchange Online y SharePoint Online –SDS crea Office 365 para mensajería en línea, uso compartido de
archivos y colaboración.
Intune for Education: SDS crea grupos de seguridad basados en centros educativos para la directiva de
dispositivos pormenorizados y también puede proporcionar licencias masivas automatizadas de Intune para
Educación para todos los alumnos y profesores sincronizados.
3rd Party Apps: SDS se integra con numerosas aplicaciones dentro del Microsoft Store y habilita la
integración de las aplicaciones rostering y single Sign-On (SSO).
Una vez que tenga la integración de identidades con AD local o esté listo para crear identity solo en la nube, el
siguiente paso es habilitar School Data Sync (SDS). SDS se puede usar para crear nuevas identidades solo en la
nube o para evolucionar las identidades existentes para todos los usuarios. Los usuarios se evolucionarán a
"estudiantes" y "profesores", y se asociarán a "grado", "escuela" y otras asociaciones y atributos específicos de
EDU.
SDS también sincronizará y creará todas las clases en Office 365, para su uso como grupos de Office 365 y
microsoft class Teams. SDS agregará profesores como propietarios de clases y alumnos como miembros de la
clase, en función de los datos de lista almacenados en el SIS. Haga clic aquí para obtener las ventajas de usar
SDS para administradores de TI, profesores, estudiantes, proveedores de SIS, proveedores de aplicaciones e ITS.
SDS ofrece dos métodos para la sincronización y creación de directorios.
1. Sincronización desde SIS mediante una API: integración perfecta de la API con varios SIS principales,
incluidos PowerSchool, Infinite Campus, Classlink, Capita SIMS y varios otros.
2. Sincronizar desde archivos CSV: cualquier SIS que pueda exportar datos a uno de los tres formatos CSV

School Data Sync requisitos
compatibles (formato SDS CSV, OneRoster e Clever) se puede sincronizar a través de SDS.
1. Una Office 365 Educación de inquilino (del paso 1)
2. Permisos de administrador global (del paso 1)
Antes de implementar SDS, vaya a la página de Configuración SDS para configurar las opciones de
implementación global.
Los siguientes vínculos le llevan a la implementación de artículos de procedimientos para cada método
disponible.
Cómo implementar School Data Sync mediante la API de SIS de PowerSchool
Cómo implementar School Data Sync mediante la API de OneRoster
Cómo implementar School Data Sync mediante archivos CSV con formato SDS
Cómo implementar School Data Sync mediante archivos CSV con formato Clever
Cómo implementar School Data Sync mediante archivos CSV de formato OneRoster
Paso siguiente: Una vez sincronizado el SIS con SDS, continúe con el paso 5 para licenciar usuarios.

Paso 5: Usuarios de licencia
TIP
Las licencias de cuentas de Office 365 son importantes, ya que los usuarios no pueden usar ningún servicio
Office 365 hasta que sus cuentas tengan licencia. Hay tres formas de licenciar a los usuarios:
1. Licencias basadas en grupos: Ruta recomendada
Hasta ahora, las licencias solo podían asignarse en el nivel de usuario individual, lo que puede dificultar la
administración a gran escala. Con las licencias basadas en grupos, los administradores ya no tienen que
escribir un script de PowerShell complejo que realiza llamadas individuales al servicio en la nube cuando
un usuario se une o deja una escuela. En su lugar, puede asignar una o más licencias de producto a un
grupo. Azure AD se asegura de que se asignan las licencias a todos los miembros del grupo. Si se unen
nuevos miembros al grupo se les asignarán las licencias adecuadas. Cuando abandonen el grupo, se
quitarán esas licencias. Esta administración de licencias elimina la necesidad de automatizar la
administración de licencias a través de PowerShell para reflejar los cambios en la estructura organizativa
y departamental por usuario. Para usar licencias basadas en grupos, debe tener una de las siguientes
licencias:
Suscripción de pago o de prueba para Azure AD Basic
Edición de pago o de prueba de Office 365 Enterprise E3 o Office 365 A3 y superior
Haga clic aquí para obtener más información e instrucciones de implementación sobre las licencias basadas en
grupos.
2. Office 365 Powershell
Si tiene más de 50 usuarios y no tiene una de las licencias enumeradas en la opción 1 anterior, tendrá que
usar Office 365 PowerShell para asignar licencias de forma eficaz a cuentas sin licencia, especialmente
varias cuentas. Estas son instrucciones sobre cómo licenciar usuarios con Powershell.
3. Portales de administración
Si tiene menos de 50 usuarios, puede usar el portal de administración Office 365 o Azure para
administrar sus necesidades de licencias.
Paso siguiente: Una vez que tenga usuarios con licencia, estará listo para administrar y configurar los
dispositivos de la escuela.

Configurar dispositivos con Windows 10 Educación
TIP
Recursos relacionados
Se recomienda usar la compilación más reciente de Windows 10, versión 1903 en los dispositivos educativos.
Para configurar nuevos dispositivos Windows 10 e inscribirlos en el inquilino de educación, elija una de estas
opciones y siga el vínculo para ver el vídeo o siga la guía paso a paso:
Opción 1: Usar la aplicación Configurar equipos académicos: puedes usar la aplicación para crear un
archivo de configuración que puedas usar para configurar rápidamente uno o más dispositivos Windows 10
configuración.
Opción 2: ir Windows OOBE y unir el dispositivo a Azure AD: puede pasar por una experiencia típica de
configuración de dispositivo Windows 10 o de primera ejecución para configurar el dispositivo.
Opción 3: Inscripción masiva para Windows dispositivos
Opción 4: Inscribir Windows dispositivos en Intune mediante Windows Autopilot
Implementar Windows 10 para educación

Introducción a Intune for Education
TIP
Los beneficios de Intune for Education incluyen:
La mejora de Intune for Education es un servicio basado en la nube que facilita la instalación y el control de las
aplicaciones y los dispositivos de Windows 10 en el aula. Intune for Education se encuentra en el centro de una
plataforma moderna para crear las condiciones de aprendizaje en el aula. Las tecnologías de la nube de
Microsoft se pueden implementar conjuntamente o integrarse fácilmente con su infraestructura existente. Con
Intune for Education, las escuelas pueden configurar una clase de PCs con aplicaciones y opciones de
configuración en menos de una hora y ahorrar hasta un 70% en costos frente a consolas de administración
alternativas.
Fácil implementación: con Windows 10, configurar una nueva PC es más fácil que nunca, incluida la
configuración Light-Touch de dispositivos con una clave USB.
Proceso sencillo de inscripción: Administre los dispositivos simplemente uniéndose al AAD, ya sea
mediante la aplicación Setup School PCs y la memoria USB, Out Of Box Experience, o con Autopilot
Administración Zero Touch: Microsoft para Educación y aplicaciones aprobadas de terceros, con las
opciones de configuración adecuadas aplicadas de forma predeterminada en cada dispositivo inscrito.
Más visibilidad e información de TI para informar sobre la implementación de dispositivos y la solución
de problemas con Intune para Educación.
Búsqueda: el administrador puede buscar un usuario o dispositivo específico y ver la página de
detalles del usuario o dispositivo.
Páginas de detalles de usuarios y de dispositivos: una vez que haya encontrado el usuario o el
dispositivo, puede ver qué aplicaciones y opciones de configuración hay que aplicar y el estado de
implementación del usuario o el dispositivo.
Registro de auditoría de los cambios de aplicaciones y configuraciones realizados en un
grupo: el administrador puede ver qué cambios se han hecho, quién los ha hecho y cuándo se han
hecho.
Informes de estado de Windows Defender: los administradores de TI pueden ver ahora estados
más detallados sobre los dispositivos administrados con Intune para Educación, incluida la
información sobre las vulnerabilidades detectadas y el estado del análisis.
Dispositivos compartidos: es posible compartir los dispositivos administrados. Cada usuario puede
contar con distintas configuraciones o aplicaciones si es necesario.
Diseñado para el ámbito educativo: opciones predeterminadas inteligentes para escuelas y
capacidad para usar políticas pormenorizadas por grupos de usuarios o dispositivos después de
sincronizar los datos del SIS mediante School Data Sync.
Se adapta al nivel de su entorno con administración delegada desde un distrito a la escuela. Incluye

Recursos adicionales:
derechos para la consola completa a nivel de acceso empresarial de Intune para la administración
multiplataforma.
Getting Started with Intune EDU (Introducción a Intune EDU)
Colección de recursos de Intune para Educación
Sitio web y prueba gratuita
Consola de Intune para Educación
Infografía de Intune para Educación y EMS EDU
Infografía técnica de Intune para Educación y EMS EDU
Vídeos de aprendizaje sobre la implementación de Intune para Educación

Usar Intune para la educación para administrar
grupos, aplicaciones y configuración
TIP
Configurar Intune para Educación, comprar aplicaciones en la Tienda
e instalar las aplicaciones
Intune for Education es una solución de administración de dispositivos optimizada para las instituciones
educativas que se puede usar para configurar y administrar rápidamente los dispositivos Windows 10 y iOS
para su escuela. Ofrece una nueva interfaz de usuario simplificada con la preparación empresarial y la
resistencia del servicio Intune. Puede obtener más información acerca de Intune para la educación leyendo la
documentación de Intune para educación.
En este tutorial, vamos a ir a través de un escenario de ejemplo y le guíamos a través de los pasos para:
Usar la configuración rápida para configurar rápidamente Intune for Education
Usar Intune for Education para comprar aplicaciones de Microsoft Store para Educación
Usar Intune para Educación para instalar las aplicaciones para todos los usuarios del inquilino
Ten en cuenta que para inquilinos de educación comprobados, Microsoft aprovisiona automáticamente el
catálogo de aplicaciones con estas aplicaciones para que las veas en el catálogo de Intune para Educación
incluso antes de comprar aplicaciones:
NOTE
Excel
Nuevo Paint
Minecraft: Education Edition
OneNote
PowerPoint
Sway
Word
Las aplicaciones que posees en el Microsoft Store para Educación están disponibles automáticamente en Intune
para Educación. Cualquier cambio que realice en sus compras se reflejará en Intune for Education.
Puedes ver el vídeo para ver cómo se hace esto o seguir la guía paso a paso.

Configurar Intune para Educación
Puedes ver la versión de audio descriptiva aquí: Microsoft Education: Usar Intune para Educación para
administrar grupos, aplicaciones y configuración (DA)
Intune for Education proporciona una opción de configuración de Express para que puedas empezar de
inmediato. Usaremos esta opción aquí.
1. Inicie sesión en la consola de Intune for Education. Verá el panel de Intune para Educación una vez que
haya iniciado sesión.
Figura 1: Panel de Intune para Educación
2. En el panel, haga clic en Iniciar configuración express o seleccione la opción Configuración express
en el menú de la izquierda.
3. En la pantalla Bienvenido a Intune para Educación, haga clic en Introducción.
Figura 2: Haga clic en Introducción para configurar Intune para Educación
4. En la pantalla Obtener información educativa (opcional), debe indicar que SDS ya está
configurado. Haga clic en Siguiente.
Figura 3: SDS está configurado

TIP
5. En la pantalla Elegir grupo, seleccione Todos los usuarios. Todas las aplicaciones y la configuración
que seleccionemos durante la configuración rápida se aplicarán a este grupo.
Puede elegir otro grupo durante este paso, pero tenga en cuenta que su experiencia puede variar de lo
que mostramos en el tutorial.
6. El botón Siguiente aparecerá en la parte inferior de la pantalla después de seleccionar Todos los
usuarios. Haga clic en Siguiente.
En la parte superior de la pantalla, ¿notó que el botón Elegir grupo cambia a una marca de verificación verde? Esto
significa que hemos terminado con ese paso. Si cambia de opinión o necesita realizar cambios, simplemente haga
clic en el botón para volver a ese paso. ¿Se atreve?
Figura 4: Haga clic en los botones para volver a ese paso
7. En la pantalla Elegir aplicaciones, verás una selección de aplicaciones web, aplicaciones Microsoft
Store y aplicaciones de escritorio (Win32). También verás una lista de aplicaciones populares de cada
categoría.
Agrega o quita aplicaciones haciendo clic en ellas. Una marca de verificación azul significa que la
aplicación se ha agregado y se instalará para todos los miembros del grupo seleccionados en el
paso Elegir grupo.
En este tutorial, es tu elección seleccionar las aplicaciones que elijas instalar. Solo recuerda cuáles
son para que más adelante en el tutorial puedas comprobar que las aplicaciones se instalaron
correctamente en el dispositivo.

TIP
Las aplicaciones web se insertan como vínculos en el Windows menú Inicio en Todas las aplicaciones. Si
quieres que las aplicaciones aparezcan en Microsoft Edge pestañas del explorador, usa la configuración De
inicios para Microsoft Edge a través de la configuración express o Administrar usuarios y
dispositivos.
Figura 5: Elegir las aplicaciones que quieres instalar para el grupo
8. Cuando termines de elegir aplicaciones, haz clic en Siguiente en la parte inferior de la pantalla.
Si seleccionas Microsoft Store aplicaciones, verás una notificación de que Intune for Education está
obteniendo estas aplicaciones.
9. En la pantalla Elegir configuración, estableceremos la configuración que se aplicará al grupo. Haga
clic en el cursor inverso (flecha hacia abajo) para expandir el grupo de configuración y obtener más
información sobre cada configuración de ese grupo de configuración.
Figura 6: Expandir el grupo de configuración para obtener más detalles

10. Para este tutorial, establezca la siguiente configuración:
En el grupo Microsoft Edge configuración, cambie el valor de encabezados Do-Not-Track a
Requerir.
En el grupo Configuración de la aplicación, cambie la configuración Microsoft Store para Empresas
aplicaciones a Bloquear y, a continuación, establezca requerir que las aplicaciones Microsoft
Store para Empresas se instalen desde la tienda privada en Requerir.
Figura 7: Establecer algunas configuraciones adicionales
11. Haga clic en Siguiente. En la pantalla Revisar, verás un resumen de las aplicaciones y la configuración
que has seleccionado para aplicar.
Figura 7: Revisar el grupo, las aplicaciones y la configuración que configuró

Agregar aplicaciones compradas desde Microsoft Store para
Educación
12. Haga clic en Guardar para finalizar la configuración express.
13. Verá el You're done. pantalla que te permite elegir una de las dos opciones.
Figura 8: Todo listo con la configuración de Intune for Education express
14. Haga clic en Todo listo o haga clic en la X de la esquina superior derecha de la pantalla para descartar
esta pantalla y volver al panel.
Ejemplo 1: Minecraft: Education Edition
Si desea comprar Minecraft: Education Edition o desea aprender a obtener, distribuir y administrar
permisos para Minecraft: Education Edition, consulte For IT administrators - get Minecraft: Education
Edition.
Ejemplo 2: Aplicaciones educativas o de referencia gratuitas
1. En la consola de Intune for Education,haga clic en Aplicaciones en el menú de la izquierda.

Figura 9: Haga clic en Aplicaciones para ver la lista de aplicaciones para su inquilino
2. En la sección Aplicaciones de la Tienda, haz clic en + Nueva aplicación. Esto te llevará al portal
de Microsoft Store para Educación y ya habrás iniciado sesión.
Figura 10: Seleccione la opción para agregar una nueva aplicación de la Tienda
3. En la Microsoft Store, comprueba algunas de las categorías de aplicaciones sugeridas o busca en la
Tienda una aplicación educativa o de referencia gratuita. Busca las que aún no has instalado
durante la configuración rápida de Intune for Education.
Por ejemplo, estas aplicaciones son gratuitas:
Duolingo: aprender idiomas de forma gratuita
Tarjetas flash Pro
Khan Academy
Mi vida de estudio
4. Busca o selecciona la aplicación que quieres instalar y haz clic en Obtener la aplicación.
5. En la página Tienda de la aplicación, haga clic en el botón ... y seleccione Agregar a la tienda
privada.
6. Repita los pasos del 3 al 5 para instalar otra aplicación o pasar al paso siguiente.
7. En el portal de Microsoft Store para Educación, selecciona Administrar > aplicaciones & software
> Administrar aplicaciones para comprobar que las aplicaciones que compraste aparecen en el
inventario.

Instalar aplicaciones para todos los usuarios
NOTE
Por ejemplo, si compraste Duolingo y Khan Academy, aparecerán en el inventario junto con las
aplicaciones que Microsoft aprovisionó automáticamente para tu inquilino educativo.
Figura 11: Inventario de aplicaciones en Microsoft Store para Educación
En la columna Tienda privada de la página Aplicaciones & software, el estado de algunas
aplicaciones indicará que está "En la tienda privada", mientras que otras dirán "No en la tienda
privada". No vamos a pasar por esto en el tutorial, pero puedes obtener más información sobre
esto en Distribuir aplicaciones con tu tienda privada.
Verás en la captura de pantalla anterior que algunas aplicaciones dicen que Add está en curso. La
sincronización se produce automáticamente, pero puede tardar hasta 24 horas en la tienda privada de la
organización y 12 horas para que Intune for Education sincronice todas las aplicaciones compradas.
Ahora que has comprado las aplicaciones, usa Intune para Educación para especificar el grupo para el que
instalar las aplicaciones. Aquí te mostraremos cómo instalar las aplicaciones que compraste para todos los
dispositivos usados por todos los usuarios de tu inquilino.
1. En la consola de Intune for Education,haga clic en la opción Grupos del menú de la izquierda.
Figura 12: página Grupos en Intune para Educación

2. En la página Grupos, seleccione Todos los usuarios de la lista de grupos de la izquierda y, a
continuación, haga clic en Usuarios en la barra de tareas en la parte superior de la página Todos los
usuarios.
Figura 13: Lista de todos los usuarios del espacio empresarial
3. En la barra de tareas de la parte superior, selecciona Aplicaciones y, a continuación, haz clic en Editar
aplicaciones para ver una lista de aplicaciones disponibles.
Figura 14: Editar aplicaciones para asignarlas a los usuarios

4. Selecciona las aplicaciones que quieres implementar en el grupo. Aparecerá una marca de verificación
azul junto a las aplicaciones que selecciones.
Figura 15: Seleccionar las aplicaciones que se implementarán en el grupo
5. Una vez que haya terminado, haga clic en Guardar en la parte inferior de la página para implementar las
aplicaciones seleccionadas en el grupo.
6. Se te notificará que las asignaciones de aplicaciones se están actualizando. La página Todos los grupos
de usuarios actualizada ahora incluye las aplicaciones que seleccionó.
Figura 16: Lista actualizada de aplicaciones asignadas

Tema relacionado
Ya has terminado de asignar aplicaciones a todos los usuarios de tu inquilino. Es hora de configurar los
dispositivos Windows 10 y comprobar que la infraestructura de la nube está configurada correctamente y que
las aplicaciones se insertan en los dispositivos desde la nube.
Configurar la administración de dispositivos iOS en Intune

Configurar las opciones de administración
TIP
1. Vaya a portal.office.com e inicie sesión con las credenciales de administrador.
2. Haga clic en el iniciador de aplicaciones en la parte superior izquierda de la pantalla.
3. En el menú, haga clic en Administrador. Después haga clic en Mostrar todo. Ahora, todos los centros
de administración se muestran en la parte inferior izquierda.

Centro de seguridad y cumplimiento
Azure Active Directory
Ya puede establecer las opciones de configuración en cada centro de administración.

Teams
Puede hacer clic en Todos los centros de administración para configurar también otros centros de
administración.

NOTE
Microsoft Teams es un concentrador digital que reúne conversaciones, contenido y aplicaciones en un solo lugar.
Debido a que se basa en Office 365, las escuelas se benefician de la integración con sus aplicaciones y servicios
Office familiares. Su institución puede usar Microsoft Teams para crear aulas de colaboración, conectarse en
comunidades de aprendizaje profesionales y comunicarse con el personal de la escuela desde una única
experiencia en Office 365 para Educación.
Para empezar, los administradores de TI deben usar el Centro de Office 365 Admin para habilitar Microsoft
Teams para su escuela.
Si tiene una licencia EDU en el nivel Office 365 inquilino, debe habilitar Teams desde el Centro de administración de
Microsoft 365. Para ello, vaya al Centro de administración de Microsoft 365 Configuración> Configuración > Microsoft
Teams. Si no ve Microsoft Teams en la lista Servicios, desactive Probar el nuevo centro de administración para buscar
servicios y complementos de Configuración> y complementos> Microsoft Teams. Este cambio puede tardar hasta 24
horas en que todos los usuarios tengan acceso a Teams.
1. Inicie sesión en Office 365 con su cuenta laboral o educativa.
2. Haga clic en Administrador para ir al centro Office 365 de administración.
3. Vaya a Configuración > Configuración > Microsoft Teams.
4. Haga clic en "ir a la página anterior del centro de administración Configuración" para ir a nuestra página de
configuración que no es vista previa y seleccione Microsoft Teams desde dentro de la lista Configuración>
Servicios.
Figura 1: seleccionar Microsoft Teams de la lista de servicios
5. En la pantalla Microsoft Teams configuración, seleccione la licencia que desea configurar, Estudiante o
Profesor y personal. Seleccione Profesor y personal.

Figura 2: Seleccionar la licencia que desea configurar
6. Seleccione esta opción para activar Microsoft Teams para cada tipo de licencia de la organización.
Figura 3: Activar Microsoft Teams para su organización
7. Haga clic en Guardar.
Puedes encontrar más información sobre cómo controlar qué usuarios de tu escuela pueden usar Microsoft
Teams, desactivar la creación de grupos, configurar opciones de nivel de inquilino y mucho más leyendo la guía
de introducción a los administradores de TI en la página Conocer Microsoft Teams.

Configurar Teams para la Educación
TIP
Capacidades Teams únicas para usuarios de educación:
Asignaciones y resumen semanal de correo electrónico del tutor
Microsoft Teams es un concentrador digital que reúne conversaciones, reuniones, archivos y aplicaciones en un
solo lugar. Dado que Teams se basa en Office 365, las escuelas se benefician de la integración con sus
aplicaciones y servicios Office familiares. Ofrece seguridad y cumplimiento de nivel empresarial que es
extensible y personalizable para adaptarse a las necesidades de cada escuela.
Con Microsoft Teams, su escuela o institución puede crear aulas de colaboración, conectarse en comunidades de
aprendizaje profesionales, comunicarse con el personal de la escuela, coordinar la investigación en todas las
instituciones o facilitar más fácilmente los esfuerzos de vida de los alumnos, como clubes o actividades
extracurriculares, todo ello desde una única experiencia en Office 365 for Education.
Microsoft Teams para Educación viene con todas las herramientas de comunicación y colaboración eficaces que
están disponibles para otros Teams usuarios. Haga clic aquí para configurar Teams para su escuela.
1. Una vista Teams que proporciona una forma más sencilla de navegar y reduce las distracciones visuales.
2. OneNote blocs de notas de clase están integrados en todos los equipos de clase, lo que permite a los
profesores organizar lecciones interactivas y ofrecer aprendizaje personalizado desde Teams.
3. La administración integral de las tareas de Teams permite a los profesores pasen rápidamente y sin
esfuerzo de la creación y la distribución a las calificaciones y los comentarios.
Una de las nuevas características relacionadas con las asignaciones es el resumen semanal de correo electrónico
del tutor, que son correos electrónicos semanales enviados a los padres o tutores de los alumnos. Los correos
electrónicos contendrán información sobre las asignaciones de la semana anterior y de la próxima semana, y se
enviarán durante el fin de semana. Los correos electrónicos deben ser configurados y actualizados por los
administradores mediante la característica School Data Sync . SDS rellena automáticamente las clases para
Teams listas de alumnos del sistema de información de alumnos (SIS) de la escuela. Los pasos para habilitar esta
característica son:
1. Importar información de contacto principal a través de Parent y Guardian Sync en SDS. Haga clic
aquí para obtener instrucciones sobre cómo habilitar la sincronización de padres y tutores.
2. Activa la configuración del guardián en el Centro Microsoft Teams administración Teams centro de
administración, ya que la configuración está desactivada de forma predeterminada. Esto permitirá a los
profesores enviar un resumen semanal. https://docs.microsoft.com/MicrosoftTeams/expand-teams-
across-your-org/assignments-in-teams. Tenga en cuenta que los profesores pueden optar por no
participar en el resumen anulando la selección de la configuración dentro de su propio equipo de clase
personal (Configuración > correo electrónico de los padres/tutores).

Recursos relacionados:
Paso siguiente:
Haga clic aquí para obtener más información sobre las asignaciones y las características relacionadas que puede
activar en el Centro de administración.
Haga clic aquí para obtener más información Teams para Educación.
Haga clic aquí para obtener más información School Data Sync (SDS).
Una vez que haya configurado Teams para Educación y assigments, ya está listo para implementar Office 365.

Habilitar Microsoft Teams para el ámbito educativo
para usuarios de Google que no tengan un buzón
de Exchange
TIP
NOTE
Configuración de Microsoft Teams usuarios de Google
Paso 1: Crear una cuenta de usuario de correo a través del Centro Exchange administración.
Paso 2: Asignar Office 365 y licencias de producto para el usuario.
Muchos de nuestros clientes operan en entornos mixtos donde se usan soluciones de O365 y Google. Los
clientes en esta situación aún pueden beneficiarse de las eficaces herramientas de colaboración y comunicación
disponibles en Microsoft Teams.
En la siguiente guía se proporcionan detalles sobre cómo los administradores pueden configurar Microsoft
Teams usuarios de Google sin un buzón Exchange dentro de su entorno. Las limitaciones de experiencia
relacionadas con esta configuración también se documentan a continuación.
En este documento se supone Teams ya se ha habilitado en el nivel de inquilino. Haga clic aquí si necesita más información
sobre Introducción con Teams..
Los usuarios no necesitan tener habilitada la licencia Exchange producto para poder usar Teams. En su lugar, los
administradores deben asegurarse de que los usuarios se crean como usuarios de correo dentro Exchange
entorno. La dirección de correo electrónico externa de estos usuarios debe establecerse en su dirección de
correo electrónico de Google. Esto garantizará que las invitaciones de correo electrónico y calendario enviadas
Teams lleguen a su bandeja de entrada de Gmail.
Puede hacerlo a través del centro Exchange administración. Obtenga más información sobre cómo administrar
usuarios de correo en Exchange.
Los usuarios que aprovechen los servicios de Google para correo y otras funcionalidades tendrán que
aprovisionarse con una licencia Office 365 para poder aplicar Teams funcionalidades. Obtenga más información
sobre cómo asignar Office 365 licencias a los usuarios.
Después de crear una licencia de usuario, asegúrese de que las siguientes licencias de productos están
habilitadas para garantizar que las funciones principales Teams son funcionales:
Microsoft Teams
SharePoint
Office 365 Pro Plus

Paso 3: Hacer visible la información de disponibilidad del calendario entre Exchange y los usuarios de Google.
Paso 4: Reducir el número de nombres de cuenta que los usuarios deben recordar.
Capacidades y limitaciones previstas
ÁREA CARACTERÍSTICA HABILITADO DETALLES
Notificaciones y vistas
de usuario
Noticias de actividad Sí N/D
Notificaciones Sí Debe ser usuario habilitado
para correo
Correo electrónico de
notificación
No Google puede bloquear los
correos electrónicos Teams
notificaciones de SharePoint
correo electrónico debido a
la directiva DMARC. En
estos casos, los usuarios no
recibirán notificaciones en
su bandeja de entrada de
Gmail. Obtenga más
información sobre cómo
Exchange y Teams
interactúan.
Presencia Sí
Chat y llamadas Chat privado 1.1, llamada y
videollamada
Sí
Chat de grupo privado,
llamada y videollamada
Sí
Uso compartido de archivos
en chats y llamadas
privadas
Sí SharePoint licencia necesaria
Obtenga más información sobre cómo administrar el acceso de usuarios a Teams, incluida la administración de
licencias de complementos para audioconferencias y Sistema telefónico funcionalidades.
Si los usuarios desean usar servicios adicionales como Stream, Planner y Forms, las licencias de productos para
estos servicios también deben habilitarse por separado.
Si quieres que la información de disponibilidad del calendario sea visible entre Exchange y los usuarios de
Google en tu entorno, puedes aprovechar la interoperabilidad de Google Calendar para hacerlo.
Si la interoperabilidad de Google Calendar no está habilitada, los usuarios no podrán ver la disponibilidad de los
usuarios del calendario de Google desde dentro de Teams.
Después de seguir los pasos anteriores, los usuarios tendrán cuentas independientes de Google Office 365
usuario. El uso de credenciales de Google directamente Teams no se admite. Si quieres sincronizar las cuentas
de Office 365 y Google de tus usuarios para reducir el número de nombres de cuenta que un usuario necesita
recordar, puedes hacerlo a través de Azure AD Conectar o integrando GSuite con Azure Active Directory.
Una vez que se han realizado los pasos de configuración anteriores, Teams capacidades y limitaciones deben ser
las siguientes:

Agregar pestañas en chats
privados
Sí
Agregar contacto a un chat
privado y llamadas
Sí
Equipo Crear un equipo Sí
Agregar un miembro al
equipo
Sí
Agregar un canal Sí
Conversación en canal Sí
Teams notificaciones Sí
Conversación enhebrada Sí
Co-autoría de documentos
dentro de un equipo
Ocultar un equipo Sí
Dejar un equipo Sí
Unirse al equipo desde un
código
Sí
Reuniones Ver pestaña "Reuniones" No
Crear una nueva reunión No
Recibir una invitación a una
reunión de un Exchange
usuario
Sí El asunto invite y Teams
vínculo de unión a la
reunión pueden aparecer en
formato inesperado.
Responder a una invitación
de un Exchange usuario
(por ejemplo. accept,
decline, tentative)
Sí
Respuesta del usuario de
Google visible para el
organizador de la reunión
Sí
Consulta Disponibilidad de
usuarios de Google en un
Teams de reunión
Sí Se requiere
interoperabilidad de Google
Calendar

Consulta Exchange
disponibilidad del usuario
en el calendario de Google
Sí Se requiere
interoperabilidad de Google
Calendar
Iniciar una reunión dentro
de un canal con "Reunirse
ahora"
Sí
Programar una reunión
dentro de un canal
No
Asignaciones Recibir asignaciones dentro
de un equipo
Sí
Turn in and manage
assignments within a team
Sí
Ver información de
calificación dentro de un
equipo
Sí
Gobierno Chat de eDiscovery 1.1 Sí
Equipos de exhibición de
documentos electrónicos y
conversaciones de canal
Sí
Prevención de pérdida de
datos (DLP) en chat 1.1
Sí
datos (DLP) en
conversaciones de canales y
equipos
Sí
datos (DLP) en Archivos

Permitir que los profesores eliminen conversaciones
en Microsoft Teams
TIP
Más información
Los profesores tienen permisos de propietario para las clases a las que han creado o se han agregado como
profesores. Solo los administradores de TI pueden editar los permisos de mensajería para Microsoft Teams y
conceder a los profesores la capacidad de eliminar mensajes en canales de grupo. Para realizar estos cambios
como administrador de TI, primero debe iniciar sesión en el centro Microsoft Teams administración.
1. Inicie sesión en el centro Microsoft Teams administración con su cuenta educativa.
2. Vaya a Directivas de mensajería.
3. Seleccione la directiva que desea editar.
4. Los propietarios de actualizaciones pueden eliminar los mensajes enviados a "On".
5. Vaya a Usuarios.
6. Seleccione el usuario deseado y vaya a Directivas.
7. Seleccione Editar.
8. Seleccione la directiva de mensajería que se actualizó en los pasos 2-4.
9. Seleccione Aplicar.
Microsoft Teams Guía de introducción para administradores de TI
Microsoft Teams Guía de introducción para líderes educativos
Microsoft Teams Guía de introducción para educadores

Configurar tareas para Teams
Escenario compartido común para exportar y eliminar los datos de
usuario:
Exportación de datos de usuario:
Eliminación de datos de usuario:
Además del contenido que se almacena en SharePoint, hay metadatos y detalles sobre las Tareas y las Entregas
almacenadas para las Tareas. Los datos de usuario para exportar son compatibles tanto para los usuarios
Alumnos como para los Profesores. Sin embargo, eliminar datos solo es compatible con los Alumnos gracias a
la conformidad con la retención de datos y la combinación. Los profesores pueden eliminar los datos de la
aplicación si eliminan las tareas y las clases. Para obtener más información, consulte la Documentación del
administrador de Tareas.
Hay tres scripts que puede usar en función del contexto:
Use el script Get-UserClasses.ps1 para crear una lista de clases de las que forma parte el usuario. Si el usuario
ha abandonado la clase, se puede entregar un archivo de texto que contenga los ID. de clase para incluir datos
de estas clases. En caso contrario, los datos no se exportarán ni eliminarán de las clases. Al ejecutar este script,
se creará un archivo CSV que contiene la lista de clases, el rol de cada usuario en la clase y si se ha procesado la
importación o eliminación del usuario (Falso de forma predeterminada).
Use el script Export-EDUAssignments.ps1 para exportar los datos del usuario. El archivo CSV generado en el
paso anterior es una entrada para este script. Al ejecutar este script se recibirán las tareas y las entregas de cada
tarea y se generarán dos archivos. El archivo de la tarea (assignment.json) contiene tareas y entregas, y el
archivo de informe (GetAssignmentsReport.csv), el estado de ejecutar el script. Tras la ejecución del script, se
actualiza la columna GetSubmissionsProcessed en el archivo de entrada CSV como Verdadero para esa clase
específica, de modo que si hay un error, se puede volver a ejecutar el script.
Use el script Delete-EDUAssignments.ps1 para eliminar los datos del usuario. El script lee los detalles de la clase
de usuario del archivo CSV de entrada generado en el paso compartido anterior. Después elimina las entregas y
genera un archivo de informe (DeleteAssignmentsReport.csv) para el estado de ejecución del script. Cuando se
elimina la entrega, se actualiza la columna DeleteSubmissionsProcessed como Verdadero para esa clase
específica, de modo que si hay un error, se puede volver a ejecutar el script. El script también eliminará
estudiantes de la clase, a menos que el administrador del espacio empresarial especifique lo contrario de forma
opcional, si todas las tareas aplicables al estudiante no se le redistribuyen.

Implementar Office 365
TIP
Clases abiertas
Office 365 ProPlus es una versión de suscripción de Office que está disponible mediante Office 365. Incluye las
aplicaciones con las que ya está familiarizado, incluyendo Access, Excel, OneNote, Outlook, PowerPoint,
Publisher y Word, y estas aplicaciones se instalan directamente en los dispositivos. Puede usar estas
aplicaciones para conectarse con servicios de Office 365 como SharePoint Online y Exchange Online. Office 365
ProPlus se actualiza con nuevas características de forma regular y tiene una licencia basada en un modelo que le
permite al usuario instalar Office en un máximo de 5 dispositivos. Hay varias formas de implementar Office 365
ProPlus:
1. Implementar Office 365 ProPlus con Microsoft Endpoint Configuration Manager (rama actual):
administre la implementación con el administrador de configuración de Microsoft Endpoint y descargue
e implemente Office desde los puntos de distribución de la red.
2. Implementar Office 365 ProPlus con la ODT desde la nube: Administre la implementación con la ODT e
instale Office en los dispositivos del cliente directamente desde la CDN de Office.
3. Office 365 ProPlus auto instalado con la ODT desde un origen local: Administre la implementación con la
ODT y descargue e implemente Office desde un origen local en su red.
4. Office 365 ProPlus auto instalado desde el portal de Office: Administre la implementación desde el portal
de Office y haga que los usuarios instalen Office en los dispositivos de los clientes directamente desde el
portal.
Si su escuela usa el Gestor de configuración, le recomendamos que actualice a la rama actual y que actualice a la
versión actual. Para obtener más información, vea ¿Qué rama de Configuration Manager debería usar?
En la siguiente guía se mostrarán las características de las clases abiertas de Microsoft disponibles en las
aplicaciones y en las versiones de Microsoft Office y Windows. Esta lista ayudará a los formadores o
administradores de TI a determinar las características inclusivas de lectura, escritura, matemáticas y
comunicaciones disponibles para la implementación. Haga clic aquí para ver las características de accesibilidad
disponibles en las aplicaciones que usa.

Guía de administrador de TI de Classroom inclusiva
TIP
Características de Aula inclusiva
CARACTERÍST
ICAS DE
LECTURA
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
La siguiente guía le mostrará qué características de Aula inclusiva están disponibles en qué aplicaciones y qué
versiones de Microsoft Office. También aprenderás a implementar aplicaciones con Microsoft Intune, activar o
desactivar la configuración de facilidad de acceso para los usuarios y a cambiar la forma en que pagas tu Office
365 suscripción.
1. Características de Aula inclusiva
2. Implementación de aplicaciones con Microsoft Intune
3. Cómo mostrar u ocultar la configuración de facilidad de acceso para el texto en Windows 10
4. Cómo cambiar su cuenta Office 365 mensual, semesual o anual

Leer en voz
alta con
resaltado
simultáneo
CARACTERÍST
ICAS DE
LECTURA
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
OneN
ote
2016
(compl
ement
o),
OneN
ote en
un
explor
ador,
OneN
ote
para
Windo
ws 10,
OneN
ote
para
iPad,
OneN
ote
Mac
Word
2016,
Word
en un
explor
ador,
Word
Mac,
Word
para
iOS
Outlo
ok
2016,
Outlo
ok
Web
Access
Office
Lente
en
iOS,
Androi
d
X
(N/A para
Word
para iOS,
Word en
un
explorado
r, Outlook
Web
Access o
Office
Lens)
X
(N/A para
Word
para iOS,
Word en
un
explorado
r, Outlook
Web
Access o
Office
Lens)
X X
(N/A para
Outlook
PC)
X
(N/A para
cualquier
OneNote
aplicacion
es o
Outlook
PC)

Espaciado de
texto
ajustable y
tamaño de
fuente
CARACTERÍST
ICAS DE
LECTURA
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
OneN
ote
2016
(compl
ement
o),
OneN
ote en
un
explor
ador,
OneN
ote
para
Windo
ws 10,
OneN
ote
para
iPad,
OneN
ote
Mac
Word
2016,
Word
en un
explor
ador,
Word
Mac,
Word
para
iPad
Outlo
ok
Web
Access
Office
Lente
en
iOS,
Androi
d
X
(N/A para
Word
para iOS,
Word en
un
explorado
r, Outlook
Web
Access o
Office
Lens)
X
(N/A para
Word
para iOS,
Word en
un
explorado
r, Outlook
Web
Access o
Office
Lens)
X X X
(N/A para
cualquier
OneNote
aplicacion
es)

Syllabification
CARACTERÍST
ICAS DE
LECTURA
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
OneN
ote
2016
(compl
ement
o),
OneN
ote en
un
explor
ador,
OneN
ote
para
Windo
ws 10,
OneN
ote
para
iPad,
OneN
ote
Mac
Word
en un
explor
ador
Outlo
ok
Web
Access
X
(N/A para
Word
para iOS,
Word en
un
explorado
r, Outlook
Web
Access)
X
(N/A para
Word
iOS)
X
(N/A para
Word
iOS)
X
(N/A para
cualquier
OneNote
o Word
iOS)

Partes de
identificación
de voz
CARACTERÍST
ICAS DE
LECTURA
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
OneN
ote
2016
(compl
ement
o),
OneN
ote en
un
explor
ador,
OneN
ote
para
Windo
ws 10,
OneN
ote
para
iPad,
OneN
ote
Mac
Word
2016,
Word
en un
explor
ador,
Word
Mac,
Word
para
iOS
Outlo
ok
2016,
Outlo
ok
Web
Access
Office
Lente
en
iOS,
Androi
d
X
(N/A para
Word en
un
explorado
r, Outlook
Web
Access)
X
(N/A para
Word en
un
explorado
r, Outlook
Web
Access)
X
(N/A para
cualquier
OneNote
aplicacion
es)
X
(N/A para
cualquier
OneNote
aplicacion
es)
X
(N/A para
cualquier
OneNote
aplicacion
es)

Modo de foco
de línea
Diccionario de
imágenes
CARACTERÍST
ICAS DE
LECTURA
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
Word
2016,
Word
en un
explor
ador,
Word
Mac,
Word
para
iOS
Outlo
ok
2016,
Outlo
ok
Web
Access
Office
Lente
en
iOS,
Androi
d
X
(N/A para
Word en
un
explorado
r, Outlook
Web
Access)
X
(N/A para
cualquier
OneNote
aplicacion
es)
X
(N/A para
cualquier
OneNote
aplicacion
es)
X
(N/A para
cualquier
OneNote
aplicacion
es)
Word
2016,
Word
en un
explor
ador,
Word
Mac,
Word
para
iOS
Outlo
ok
2016,
Outlo
ok
Web
Access
Office
Lente
en
iOS,
Androi
d
X
(N/A para
Word en
un
explorado
r, Outlook
Web
Access)
X
(N/A para
cualquier
OneNote
aplicacion
es)
X
(N/A para
cualquier
OneNote
aplicacion
es)
X
(N/A para
cualquier
OneNote
aplicacion
es)

CARACTERÍST
ICAS DE
ESCRITURA Y
CORRECCIÓN
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
Dictado
Sugerencias
ortográficas
para errores
ortográficos
Sinónimos
junto con
sugerencias
ortográficas
que se
pueden leer
en voz alta
Comprobacio
nes
gramaticales
OneN
ote
2016,
OneN
ote
para
Windo
ws 10
Word
2016
Outlo
ok
2016
Power
Point
2016
X X
Word
2016,
Word
en un
explor
ador,
Word
para
Mac
Outlo
ok
2016
X X X
Word
2016
Outlo
ok
2016
X X X
Word
2016,
Word
en un
explor
ador,
Word
para
Mac
Outlo
ok
2016
X X

Críticas de
escritura
personalizable
s
Díme lo que
quiere hacer
Editor
CARACTERÍST
ICAS DE
ESCRITURA Y
CORRECCIÓN
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
CREACIÓN DE
CARACTERÍST
ICAS DE
CONTENIDO
ACCESIBLE
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
Comprobador
de
accesibilidad
Word
2016,
Word
para
Mac
Outlo
ok
2016
X X X
Office
2016
Office
en un
explor
ador
Office
en
iOS,
Androi
d,
Windo
ws 10
X X X X
Word
2016
X X
Todas
Office
365
de
creaci
ón en
PC,
Mac,
Web
X X

Plantillas
accesibles
Capacidad de
agregar texto
alternativo
para
imágenes
CREACIÓN DE
CARACTERÍST
ICAS DE
CONTENIDO
ACCESIBLE
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
Word
para
PC,
Mac
Excel
para
EQUIP
OS,
Mac
Power
Point
para
PC,
Mac
Sway
en
iOS,
Web,
Windo
ws 10
X X
Word
para
equip
os
(incluy
e
sugere
ncias
autom
áticas
para
descri
pcione
s de
imáge
nes)
Share
Point
En
línea
(incluy
e
sugere
ncias
autom
áticas
para
descri
pcione
s de
imáge
nes)
Power
Point
para
X X X

CREACIÓN DE
CARACTERÍST
ICAS DE
CONTENIDO
ACCESIBLE
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
equip
os
(incluy
e
sugere
ncias
autom
áticas
para
descri
pcione
s de
imáge
nes)
OneN
ote
(incluy
e
extrac
ción
autom
ática
de
texto
en
imáge
nes)
Todas
Office
365
de
creaci
ón
(incluy
e la
capaci
dad
de
agreg
ar
texto
altern
ativo
manu
almen
te)

Capacidad
para agregar
títulos a
vídeos
Exportar
como PDF
etiquetado
Capacidad
para solicitar
contenido
accesible
CREACIÓN DE
CARACTERÍST
ICAS DE
CONTENIDO
ACCESIBLE
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
Power
Point
para
equip
os
Sway
en
iOS,
Web,
Windo
ws 10
Micros
oft
Strea
m
(incluy
e la
capaci
dad
de
tener
títulos
gener
ados
autom
áticam
ente
para
vídeos
en
inglés
y
españ
ol)
X
Word
para
PC,
Mac
Sway
en
iOS,
Web,
Windo
ws 10
X X
Outlo
ok
Web
Access

CARACTERÍST
ICAS DE
COMUNICACI
ÓN
DISPONIBLE
EN QUÉ
APLICACIONE
S
OFFICE 2016
(MSI) OFFICE 2019
OFFICE 365
PROPLUS
MENSUALME
NTE (C2R)
OFFICE 365
PROPLUS
SEMIANUAL
(C2R)
OFFICE 365
PROPLUS
ANUAL (C2R)
Microsoft
Translator
Implementación de aplicaciones con Microsoft Intune
Cómo mostrar u ocultar la configuración de acceso fácil para el texto
en Windows 10
Word
2016
Excel
2016
Compl
ement
o
"Tradu
ctor
para
Outlo
ok"
Power
Point
2016
(y
Power
Point
Garag
e
Add-
in)
X X X X X
Microsoft Intune puede usarse para implementar aplicaciones como Lector inmersivo y Traductor de Microsoft
en todos los dispositivos conectados en los mismos grupos.
1. Vaya al portal de Intune for Education e inicie sesión con su cuenta.
2. Selecciona la página Aplicaciones.
3. Busca la aplicación que estás buscando en la lista incluida (si no está ahí, puedes seleccionar Agregar
aplicación y descargarla desde el Microsoft Store).
4. Si seleccionas la aplicación, te mostrará si se ha implementado en cualquiera de los grupos configurados. En
la página Grupos, puedes seleccionar Cambiar asignación de grupo y elegir en qué grupos quieres
implementar las aplicaciones.
La configuración de facilidad de acceso en Windows 10 son herramientas de accesibilidad muy útiles, pero tener
esas opciones podría ser un poco mucho para que todos los miembros de un grupo tengan en su dispositivo.
Con las siguientes instrucciones puede elegir ocultar o mostrar la configuración de facilidad de acceso en los
dispositivos de los usuarios.
1. Vaya al portal de Intune for Education e inicie sesión con su cuenta.
2. Seleccione la página Grupos y, a continuación, seleccione el grupo deseado.
3. Selecciona Configuración y, en la sección Acceso de usuario y configuración del dispositivo, encontrarás el
botón de alternancia para establecer La facilidad de acceso en Bloqueado o No bloqueado.
4. Selecciona Guardar después de realizar la selección.

Cómo cambiar su cuenta Office 365 mensual, semesual o anual
Dependiendo de cómo planee realizar la facturación, puede tener cuentas Office 365 que estén configuradas
para renovarse mensual, semesual o anual.
1. Inicie sesión en sus servicios y suscripciones con su cuenta microsoft.
2. Busque la suscripción en la lista y, a continuación, seleccione Cambiar la forma de pago.
3. Elija una nueva forma de pagar de la lista o seleccione Agregar una nueva forma de pagar y siga las
instrucciones.
Nota: Si no ve Cambiar cómo paga, podría deberse a que la renovación automática no está activada.
No podrás cambiar el modo de pago si la renovación automática está desactivada porque la
suscripción ya se ha pagado y finalizará cuando expire su duración.

Autorregistro en Office 365 Educación: Preguntas
técnicas más frecuentes
TIP
¿Cómo se facilitará el inicio de sesión en Office 365 para los alumnos,
profesores y miembros del personal?
¿Cuáles son los requisitos para que los alumnos, profesores y
miembros del personal puedan disponer de Office 365 A1 Plus?
Office 365 Educación proporciona el autoservicio de registro para que los alumnos, profesores y miembros del
personal puedan registrarse con sus direcciones de correo electrónico del centro educativo. Después de
registrarse, los alumnos y profesores podrán empezar a usar Office 365 de inmediato. Consulte a continuación
las preguntas más frecuentes para obtener más información sobre las ventajas de Office 365 Educación para los
alumnos, profesores y miembros del personal.
Los alumnos, profesores y miembros del personal que tengan una dirección de correo electrónico educativa
válida podrán registrarse y usar los servicios de Office 365, incluidos, en algunos casos, Office 365 ProPlus y
OneDrive para la Empresa. Microsoft habilitará la opción de que los alumnos, los profesores y el personal inicien
sesión en Office 365 usando tan solo sus direcciones de correo electrónico educativas.
Office 365 A1 incluye un terabyte (TB) de almacenamiento de OneDrive para la Empresa por usuario para los
archivos escolares, Office para la Web, SharePoint Online y Yammer.
Algunas escuelas son aptas para Office 365 A1 Plus, que incluye Office 365 ProPlus, y permite a los alumnos,
profesores y miembros del personal instalar la última versión de Office en un máximo de cinco equipos Mac o
PC y en otros dispositivos móviles, incluidas las tabletas iPad y Windows.
*Access y Publisher solo están disponibles en PC. OneNote para Mac está disponible como descarga
independiente en Mac App Store.
Los centros educativos son aptos para Office 365 A1 Plus cuando adquieren licencias de Office para los
profesores y el personal de toda la institución mediante inscripciones en soluciones educativas, soluciones
educativas Open Value Subscription, proveedores de servicios en la nube (SCP) o contratos para centros
educativos. Cuando el centro educativo cumple con los requisitos, todos los alumnos, profesores y miembros
del personal a tiempo completo o parcial son aptos y pueden adquirir el plan directamente desde Microsoft en
Office 365 Educación si cumplen estos tres requisitos:
Tienen una dirección de correo electrónico específica del centro educativo (por ejemplo, sara@contoso.edu)
que puede recibir correo electrónico externo.
Tienen la edad legal para registrarse individualmente en una oferta en línea (13 años).
Tienen acceso a Internet.

¿Qué significa eso para mi institución?
¿Cómo afecta esto a la seguridad y el cumplimiento?
¿Qué pasos debemos seguir para hacer que esté disponible para los
alumnos, profesores y miembros del personal?
Supuesto 1: el centro educativo ya tiene un entorno de Office 365 con cuentas de alumnos.
En ese caso, si un alumno, profesor o miembro del personal ya tiene una cuenta profesional o educativa en el
espacio empresarial (por ejemplo, contoso.edu), pero aún no tiene Office 365 A1 Plus, Microsoft activará el plan
para esa cuenta y se enviará una notificación automáticamente al alumno, profesor o miembro del personal
sobre los servicios adicionales, así como sobre la posibilidad de descargar Office 365 ProPlus. Si el alumno,
profesor o miembro del personal ya tiene una cuenta de Office 365 A1 Plus o cualquier otra licencia de Office
365 ProPlus asignada a través de su centro educativo, se le redirigirá para que inicie sesión con sus credenciales
y recibirá una notificación con el mensaje Instalar ahora.
Supuesto 2: el centro educativo tiene un entorno de Office 365 sin cuentas de alumnos.
En ese caso, el estudiante, profesor o miembro del personal aún no tiene acceso a ningún servicio de Office 365.
El alumno, profesor o miembro del personal puede registrarse en Office 365 Educación y se le asignará
automáticamente una cuenta. De esa manera, el alumno, profesor o miembro del personal obtendrá acceso a
los servicios que se incluyen en Office 365 A1. Por ejemplo, si una alumna llamada Sara se registra con su
dirección de correo electrónico del centro educativo (por ejemplo, Sara@contoso.edu), Microsoft agregará
automáticamente a Sara como usuario en el entorno de contoso.onmicrosoft.com de Office 365 y activará Office
365 A1 para esa cuenta. Si Sara es alumna de un centro educativo que cumple los requisitos para disponer de
ventajas de uso para los alumnos, se le proporcionará una licencia de Office 365 a1 Plus, con la que podrá
instalar Office 365 ProPlus.
Con OneDrive para la Empresa, al igual que con todos los servicios de Office 365, los administradores de TI
mantienen el control. El Centro de administración de Microsoft 365 proporciona una ubicación única desde la
que los administradores pueden gestionar todos los aspectos de OneDrive para la Empresa, como la
administración de la colección de sitios y de los perfiles de usuario, la configuración de búsqueda y detección, la
administración de permisos y la creación de informes, entre otras opciones. Además del control centralizado, los
administradores pueden administrar numerosos aspectos relacionados con los usuarios y el contenido, como la
administración de acceso, la asignación de almacenamiento y las limitaciones de uso compartido de contenido.
Las opciones de administración de cumplimiento incluyen controles selectivos, e-Discovery y resúmenes del uso
actual que se pueden usar para administrar el cumplimiento e investigar las áreas que requieren atención. Para
obtener más información sobre cómo administrar la seguridad y el cumplimiento con OneDrive para la
Empresa, consulte OneDrive para la Empresa.
En la mayoría de los países, las instituciones no tienen que hacer ninguna gestión administrativa para
inscribirse. (En algunos países, será necesario inscribirse siguiendo los pasos que se encuentran a continuación
en Pasos para inscribirse necesarios en algunos países). Puede comunicar la disponibilidad de Office 365 A1 u
Office 365 A1 Plus a los alumnos, profesores y miembros del personal mediante el contenido del kit de
herramientas de Office 365 Campus Marketing. El kit de herramientas incluye plantillas de correos electrónicos,
pósteres y banners web, entre otros, que podrá usar para informar a los alumnos, profesores y miembros del
personal. Póngase en contacto con su representante de Microsoft si tiene preguntas específicas sobre los pasos
que debería tomar su escuela.

IMPORTANT
NOTE
¿Qué significa esto para el profesorado y el personal que ya está
usando Office 365?
IMPORTANT
¿Cómo afectará esto a la forma en que administro las identidades de
Si su institución tiene varios dominios de correo electrónico, es aconsejable que todas las extensiones de direcciones de
correo electrónico estén en el mismo inquilino. Para ello, antes de que los alumnos, profesores y miembros del personal se
registren en Office 365 A1, cree el espacio empresarial principal de Office 365 y agregue todos los dominios de
direcciones de correo electrónico a ese espacio empresarial. Es importante que haga esto en primer lugar, ya que no existe
una forma automatizada de mover usuarios entre inquilinos una vez que ya se han creado.
Pasos para inscribirse necesarios en algunos países
Los clientes de ciertos países deben inscribirse para permitir que los usuarios nuevos se unan a inquilinos de
Office 365 existentes. En caso de encontrarse en dichos países, siga los pasos que encontrará a continuación
para hacer que Office 365 A1 u Office 365 A1 Plus esté disponible para sus alumnos y profesores.
Necesitará usar Windows PowerShell para completar los pasos. Para empezar con Windows PowerShell, consulte
Introducción a Windows PowerShell.
1. Instale Microsoft Online Services - Ayudante para el inicio de sesión para profesionales de TI (beta).
Descárguelo aquí.
2. Si todavía no lo ha hecho, instale la última versión de 64 bits del Módulo Azure Active Directory para
Windows PowerShell.
Después de hacer clic en el vínculo, seleccione Ejecutar para ejecutar el paquete de instalación.
3. Abra Windows PowerShell y escriba los comandos siguientes:
Import-Module MsOnline
Connect-MsolService
4. En el cuadro de diálogo, escriba su nombre de usuario y contraseña de Office 365.
5. Escriba el comando de Windows PowerShell siguiente para permitir que los usuarios nuevos se unan de
forma automática a su inquilino de Office 365:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
No habrá ningún cambio para las personas que ya estén usando los planes de Office 365 para profesores. Sin
embargo, dado que pueden suscribirse nuevos usuarios al servicio en cualquier momento, deberá asegurarse
de revisar la configuración de permisos del sitio de SharePoint (si procede).
Si los alumnos, profesores y miembros del personal usan por primera vez el entorno de Office 365, los profesores y
miembros del personal deben asegurarse de que sus sitios tienen permisos de grupo adecuados con acceso de lectura o
escritura. Para obtener información sobre la configuración de permisos, consulte Compartir documentos o carpetas en
Office 365 y Permisos en Office 365.

los usuarios de mi institución actualmente?
¿Cuál es el proceso para administrar un inquilino creado por Microsoft
para los alumnos?
Si tengo varios dominios, ¿puedo controlar el espacio empresarial de
Office 365 al que se agregan los alumnos, profesores y miembros del
personal?
IMPORTANT
Si su centro educativo ya tiene un entorno de Office 365 con cuentas de alumnos, la administración de
identidades no cambiará.
Si su escuela ya tiene un entorno de Office 365 existente sin cuentas de estudiante, crearemos un usuario en el
inquilino y asignaremos licencias en función de la dirección de correo electrónico del estudiante. Esto significa
que el número de usuarios que administra en un momento determinado aumentará a medida que los
estudiantes, profesores y personal se registren en el servicio.
Si administra su directorio de forma local y usa Servicios de federación de Active Directory (AD FS), Microsoft
no agregará usuarios al espacio empresarial, y los alumnos, profesores y miembros del personal que intenten
unirse al espacio empresarial recibirán un mensaje indicándoles que se pongan en contacto con el
administrador de su institución.
Si su centro educativo no tiene un entorno de Office 365 conectado a su dominio de correo electrónico, no
habrá ningún cambio en la forma de administrar la identidad. Los estudiantes, los profesores y el personal se
agregarán a un nuevo directorio de usuarios solo en la nube, y usted tendrá la opción de elegir tomar el control
como administrador de inquilinos y administrarlos.
Si un inquilino ha sido creado por Microsoft, puede reclamar y administrar dicho inquilino siguiendo estos
pasos:
1. Únase al inquilino mediante un dominio de dirección de correo electrónico que coincida con el dominio
del inquilino que desea administrar. Por ejemplo, si Microsoft ha creado el inquilino contoso.edu, deberá
unirse al inquilino con una dirección de correo electrónico que termine en @contoso.edu.
2. Solicite el control de administración verificando la propiedad del dominio: una vez que esté en el
inquilino, puede ascender al puesto de administrador verificando la propiedad del dominio. Para ello, en
Office 365, seleccione Configuración , seleccione Configuración de Office 365 y, después, seleccione
Convertirse en administrador.
Si no hace nada, se creará un espacio empresarial para cada dominio y subdominio de correo electrónico de los
alumnos.
Si desea que todos los alumnos, profesores y miembros del personal estén en el mismo espacio empresarial
independientemente de sus extensiones de dirección de correo electrónico:
Cree un inquilino de destino con antelación o utilice un inquilino existente y agregue todos los dominios y
subdominios existentes que quiera que se consoliden en ese inquilino. A continuación, todos los estudiantes,
los profesores y el personal con direcciones de correo electrónico que terminen en estos dominios y
subdominios se unirán de forma automática al inquilino de destino al registrarse.
No hay ningún mecanismo automatizado compatible para mover usuarios de un inquilino a otro una vez que se han
creado. Para obtener más información sobre este proceso, vea Agregar usuarios y un dominio a Office 365.

Si agrego un dominio a Office 365, ¿se verá afectado el flujo de
correo electrónico? ¿Qué pasa si el dominio configura Exchange
Online como autoritativo de forma predeterminada?
Tengo licencias de Office 365 A1 y Office 365 ProPlus que se
solicitaron anteriormente en mi inquilino. Ahora hay también un
grupo grande de licencias de Office 365 A1 Plus. ¿Qué grupo de
licencias debo usar a partir de ahora?
¿Cómo puedo evitar que los alumnos se unan al inquilino actual de
Office 365?
Los subdominios se agregan a Exchange Online como dominios "autoritativos" aceptados si el dominio raíz en
Office 365 está configurado para el correo electrónico en Exchange Online. Asegúrese de configurar también el
dominio como dominio de retransmisión interna no autoritativo. Modifique los conectores de envío según
corresponda. Para obtener más información, consulte Administrar dominios aceptados en Exchange Online.
Cualquier grupo de licencias funcionará. Es posible que desee usar solo un grupo de licencias para los
estudiantes y otro para los profesores y el personal por cuestiones de simplicidad.
Hay pasos que puede tomar como administrador para evitar que los estudiantes, los profesores y el personal se
unan al inquilino de Office 365 existente. Si lo bloquea, los intentos de los usuarios para iniciar sesión
producirán un error y se les indicará que se pongan en contacto con el administrador de la institución.
Estos pasos requieren el uso de Windows PowerShell. Para empezar a trabajar con Windows PowerShell,
consulte la Guía de introducción de PowerShell.
Para llevar a cabo los pasos siguientes, debe instalar la última versión de 64 bits del Módulo Microsoft Azure
Active Directory para Windows PowerShell.
Después de hacer clic en el vínculo, haga clic en Ejecutar para ejecutar el paquete de instalación.
Deshabilitar la distribución automática de licencias: utilice esta secuencia de comandos de Windows
PowerShell para deshabilitar las distribuciones automáticas de licencias para los usuarios existentes. Para
deshabilitar la distribución automática de licencias para los usuarios existentes:
Set-MsolCompanySettings -AllowAdHocSubscriptions $false
Para habilitar la distribución automática de licencias para los usuarios existentes:
Set-MsolCompanySettings -AllowAdHocSubscriptions $true
Deshabilitar la opción de unión automática al inquilino: utilice este comando de Windows PowerShell
para evitar que los nuevos usuarios se unan a un inquilino administrado:
Para deshabilitar la unión automática al inquilino para nuevos usuarios:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $false
Para habilitar la unión automática al inquilino para nuevos usuarios:

NOTE
¿Cómo puedo comprobar si el bloqueo del inquilino está activado?
¿Cómo puedo deshabilitar los elementos emergentes de notificación
de descargas de Office 365 ProPlus para que no les aparezcan a mis
usuarios?
¿Los alumnos de mi institución pueden beneficiarse de esta oferta si
bloqueamos el correo electrónico externo?
¿Puedo combinar varios espacios empresariales de Office 365?
Los alumnos, profesores o miembros del personal de mi institución
están teniendo dificultades para descargar Office mediante este
programa. ¿Qué recursos hay disponibles para ayudarles?
¿Cómo puedo saber cuándo se han unido nuevos usuarios al espacio
empresarial?
Si sigue estos pasos para evitar que los usuarios se unan, el proceso de abastecimiento actual de Student Advantage
permanecerá en su lugar. Para obtener más información, consulte Office 365 Educación.
Utilice la siguiente secuencia de comandos de Windows PowerShell:
Get-MsolCompanyInformation | fl allow*
Si deshabilita la característica de licencias automáticas en el inquilino, sus usuarios dejarán de recibir
notificaciones emergentes. Para desactivar la característica de licencias automáticas, consulte Deshabilitar la
distribución automática de licencias en ¿Cómo puedo evitar que los alumnos, profesores y miembros del
personal se unan al espacio empresarial actual de Office 365?
Se requiere la comprobación del correo electrónico para el inicio de sesión de autoservicio para los estudiantes,
los profesores y el personal que todavía no tienen una cuenta. Aunque esta es la forma más sencilla de
comprobar si un estudiante es apto, si crea un espacio empresarial con cuentas de usuario (por ejemplo, si hizo
esto usando un archivo CSV, PowerShell cmdlet o DirSync), los estudiantes, los profesores y el personal podrán
aprovechar la característica automática de licencias para tener acceso a los servicios que está ofreciendo.
No. A día de hoy, no se pueden combinar espacios empresariales.
Si los alumnos, profesores o miembros del personal están teniendo problemas para instalar Office, pueden
consultar las instrucciones de instalación en Descargar e instalar o volver a instalar Office 365 u Office 2019 en
un equipo PC o Mac.
Se asigna una licencia única a los alumnos, profesores y miembros del personal que se hayan unido al espacio
empresarial como parte de este programa, con la cual puede aplicar un filtro en el panel de usuarios activos del
panel de administración.
Para crear esta nueva vista, vaya a Usuarios > Usuarios activos en el Centro de administración de Microsoft
365 y, después, en el menú Seleccionar una vista, seleccione Nueva vista. Asigne un nombre a la nueva vista
y, en Licencia asignada, seleccione Office 365 A1 Plus para estudiantes u Office 365 A1 Plus para

¿Afecta esto a la forma en que administro la seguridad de OneDrive y
SharePoint?
Soy cliente de SAML/Shibboleth. Aun así, ¿puedo usar el autoservicio
para obtener el cliente de Office 365 ProPlus?
¿Debería estar preparado para alguna otra cuestión?
Información general sobre las licencias de Office 365
profesores. Una vez que cree la nueva vista, podrá ver a todos los alumnos, profesores y miembros del
personal del espacio empresarial que se hayan inscrito en este programa.
Asegurarse de revisar las directivas de usuario y la configuración de permisos del sitio de SharePoint (si
corresponde). Si los alumnos, profesores y miembros del personal usan por primera vez el espacio empresarial
de Office 365, los profesores y miembros del personal deben asegurarse de que sus sitios y OneDrive tienen los
permisos de grupo adecuados para los alumnos. Para obtener información sobre la configuración de permisos,
consulte Compartir documentos o carpetas en Office 365 y Permisos en Office 365.
Actualmente, el cliente de Office 2016 es compatible con SAML/Shibboleth. En febrero de 2016, se convertirá en
el cliente predeterminado disponible. Sin embargo, antes de dicha fecha, como administrador puede activar
Primera versión para su organización si desea usar características de Office 2016.
Puede experimentar un aumento de solicitudes de recuperación de contraseñas. Para más información
sobre este proceso, vea Restablecer la contraseña de un usuario.
Para los alumnos que sean menores de 13 años, debe seguir facilitando licencias para alumnos mediante
el sistema de licencias estándar de Student Advantage.
Puede eliminar un usuario de su inquilino a través del proceso estándar en el Centro de administración
de Microsoft 365. Sin embargo, si el usuario es aún un estudiante, profesor o personal con una dirección
de correo electrónico activa de su organización, podrán unirse de nuevo a menos que usted los bloquee a
todos.
Cuando un alumno, profesor o miembro del personal usa el proceso de registro de autoservicio, se le asigna
automáticamente una licencia de Office 365 A1 u Office 365 A1 Plus. Los administradores de Office 365
también pueden asignar licencias mediante los procesos estándar de asignación. La disponibilidad de estas
licencias no afecta a las preferencias establecidas previamente en la asignación de licencias.
A continuación, le mostramos las respuestas a algunas preguntas adicionales sobre licencias.
¿Por qué ha aparecido una cantidad ilimitada de licencias de Office 365 A1 en mi inquilino de
Office 365?
Hemos proporcionado esas licencias en su espacio empresarial de Office 365 para que le resulte más fácil
ofrecer este beneficio a sus alumnos, profesores y miembros del personal. Si el centro educativo permite que los
estudiantes, profesores y miembros del personal realicen el aprovisionamiento por su cuenta, puede indicarles
la página de inicio de sesión y, después de la verificación, se les asignará automáticamente una de estas
licencias. También puede asignar esas licencias mediante los procesos estándar, a través Centro de
administración de Microsoft 365.
¿Debería seguir viendo las licencias de Office 365 A1 en mi inquilino si he desactivado el
autoservicio de registro?
Sí. La disponibilidad de estas licencias no tendrá efecto en la forma en que administra el proceso de

Office 365 Educación y la Ley de Derechos Educativos y Privacidad
Familiar (FERPA)
aprovisionamiento. Si su institución ha elegido bloquear el aprovisionamiento automático, no se realizará
ninguna asignación automática de licencia.
Dado que Microsoft ha agregado estas licencias, ¿significa que ahora podré ver las nuevas
cuentas de alumnos o profesores y miembros del personal en mi inquilino?
No. Puede controlar si los alumnos, profesores y miembros del personal pueden unirse por su cuenta al espacio
empresarial. Si desea desactivar el autoaprovisionamiento, revise la información que se muestra a continuación.
¿Quién administra la comprobación de la elegibilidad de esas licencias?
En el caso de inquilinos no administrados, Microsoft es el responsable de la comprobación. Los
alumnos, profesores y miembros del personal recibirán un correo electrónico en la cuenta
institucional que han utilizado para optar a la oferta con el fin de determinar si siguen cumpliendo
los requisitos.
En el caso de espacios empresariales administrados por el departamento de TI del
centro educativo, usted es responsable de la administración del acceso continuo a las
suscripciones y de asegurarse de que los alumnos, profesores y miembros del personal cumplen
los requisitos para la oferta de Office 365 para alumnos, profesores y miembros del personal,
incluso después de la graduación, un cambio en el estado de estudios a tiempo completo o parcial,
etc.
Si un alumno, profesor o miembro del personal de mi institución inicia sesión con un
dominio habilitado de correo electrónico que aún no se ha asociado a mi inquilino principal,
¿recibirá licencias el inquilino recién creado?
El inquilino recién creado también tendrá licencias para garantizar que cada alumno, profesor o miembro del
personal de ese subdominio tenga acceso inmediato a Office 365.
¿Qué términos de uso se aplican a las licencias de Office 365 A1 Plus en un inquilino
administrado?
Las licencias de Office 365 A1 Plus se proporcionan como parte de las ventajas de uso para estudiantes para las
que la institución es apta por medio del contrato de licencia, por lo que el uso de esas licencias está sujeto a las
disposiciones de ese contrato. El acuerdo del programa que aceptan los usuarios en el flujo de registro de
autoservicio es el acuerdo que se aplica para los nuevos usuarios de un inquilino no administrado y para los
administradores que reclaman un inquilino no administrado. Una vez que un administrador haya verificado la
propiedad del dominio para un nuevo inquilino no administrado, ese inquilino estará asociado a la institución,
por lo que los términos del EES de la institución se aplicarán también a esas licencias.
¿Qué debo hacer si mi institución deja de cumplir los requisitos para las ventajas de uso para
alumnos?
En caso de que su institución deje de cumplir los requisitos para las ventajas de uso para alumnos (requisitos de
elegibilidad del programa), el administrador de TI de la institución será el responsable de revocar el acceso de
los alumnos y profesores. Eso incluye eliminar las licencias de los usuarios de esas cuentas y administrar la
mensajería para comunicar a los estudiantes y profesores la baja de los datos y la retirada del acceso a esos
servicios.
La FERPA impone obligaciones a las entidades educativas de Estados Unidos sobre el uso o la divulgación de
registros académicos de estudiantes, incluidos el correo electrónico y los datos adjuntos. Microsoft cumple con
las restricciones de uso y divulgación impuestas por la FERPA que limitan el uso por parte de Microsoft de los

Países que requieren pasos opcionales para agregar nuevos usuarios
a inquilinos existentes de Office 365
registros educativos de los estudiantes, así como con el acuerdo de no analizar mensajes de correo electrónico
ni documentos con fines publicitarios en los servicios de Office 365.
A continuación, le mostramos las respuestas a algunas preguntas frecuentes.
¿Contradice de algún modo la capacidad de inicio de sesión de autoservicio en Office 365 el
cumplimiento de la FERPA cuando un centro educativo aún no ha creado un inquilino de Office
365?
No hay ningún problema con respecto al cumplimiento de la FERPA cuando el centro educativo no administra el
inquilino de Office 365. En ese caso, el centro educativo no tiene el control administrativo y no es de esperar que
acceda a registros académicos de alumnos, profesores o miembros del personal o utilice los mismos, por lo que
no se aplica la FERPA.
Independientemente, Microsoft se compromete a garantizar la seguridad y privacidad de los nuevos usuarios en
los inquilinos no administrados de Office 365, tal como hace con los clientes existentes de Office 365.
En el supuesto de un centro educativo que no ha creado un inquilino de Office 365, es posible
que las direcciones de correo electrónico sean visibles en dominios no administrados cuando
se comparten documentos entre ellos. En ese caso, los centros educativos no tienen la
capacidad de controlarlo. ¿Afecta eso al cumplimiento de la FERPA por parte de un centro
educativo?
Si el centro educativo no administra el inquilino de Office 365, el centro educativo no es el administrador del
inquilino. El administrador del inquilino de Office 365 es Microsoft. Como consecuencia, no hay ningún
problema con la cuestión del cumplimiento de FERPA por parte del centro educativo.
Cuando un centro educativo toma el control de un inquilino no administrado, ¿cómo puede
seguir el centro cumpliendo las disposiciones de la FERPA?
Según la FERPA, los centros educativos pueden divulgar, sin consentimiento previo, información de "directorio",
como el nombre, la dirección, el número de teléfono, la fecha y el lugar de nacimiento, los honores y
reconocimientos y las fechas de asistencia de un alumno. No obstante, los centros educativos deben informar a
los progenitores y a los alumnos que cumplan los requisitos, así como a los profesores y miembros del
personal, sobre la información de directorio y darles un período de tiempo razonable para que puedan solicitar
al centro educativo que no divulgue su información de directorio.
Pakistán, Emiratos Árabes Unidos, Kazajstán, Turquía, Yemen, Azerbaiyán, Kuwait, Jordania, Qatar, Baréin, Omán,
Líbano, Chipre, Arabia Saudí, Israel, Reino Unido de Gran Bretaña e Irlanda del Norte, Ucrania, Suiza, Suecia,
Svalbard, España Eslovenia, Eslovaquia, Serbia, San Marino, Federación Rusa, Rumanía, Portugal, Polonia,
Noruega, Países Bajos, Montenegro, Mónaco, Moldavia, Malta, Macedonia del Norte, Luxemburgo, Lituania,
Liechtenstein, Letonia, Jersey, Italia, Isla de Man, Irlanda, Islandia, Hungría, Santa Sede (Ciudad del Vaticano),
Guernsey, Grecia, Gibraltar, Alemania, Francia, Finlandia, Islas Feroe, Estonia, Dinamarca, República Checa,
Croacia, Bulgaria, Bosnia y Herzegovina, Bélgica, República de Belarús, Austria, Andorra, Albania, Islas Aland.

Instalar aplicaciones desde la tienda Microsoft para
Educación
NOTE
Requisitos previos:
Las aplicaciones más populares para Educación
Registrarse en Microsoft Store para Educación
Haga clic aquí para obtener acceso a Microsoft Store para Educación.
La tienda Microsoft para negocios y educación es un destino compartido. Algunos de los documentos hacen referencia a
Microsoft Store para Empresas, pero sirven también para Educación.
Antes de registrarse en Microsoft Store para Empresas o Microsoft Store para Educación, necesitará una cuenta
de Azure Active Directory (AD) u Office 365 para su organización y tendrá que ser el administrador global de la
organización. Si su organización ya usa Azure AD, puede registrarse en la tienda de Microsoft para empresas o
para el ámbito educativo. Si no es así, le ayudaremos a crear una cuenta de Azure AD u Office 365 y un
directorio como parte del proceso de registro. Haga clic aquí para obtener un conjunto completo de requisitos
previos.

Instalar Minecraft: Education Edition
TIP
Minecraft: Education Edition está causando un impacto en las aulas en todo el mundo. El juego se licencia
mediante suscripciones anuales adquiridas a través de asociados de formación autorizados o directamente con
Microsoft Store para Educación. Para obtener instrucciones detalladas sobre la implementación, visite La guía de
implementación de Minecraft: Education Edition.
Requisitos: solo tiene que iniciar sesión en Minecraft: Education Edition es una cuenta de Office 365 Education.
Después, descargue una versión de prueba gratuita de Minecraft: Education Edition. Con una cuenta válida de
O365 educación, cualquiera puede descargar una versión de prueba gratuita de Minecraft: Education Edition. Se
puede usar un número limitado de inicios de sesión antes de que se le solicite la compra de una suscripción.
Instalar y usar el modo de Classroom para Minecraft

Instalar Microsoft Edge
TIP
NOTE
El nuevo Microsoft Edge está preparado para la clase
Implementación y configuración
Algunas de las direcciones URL de este artículo le llevarán a la documentación de Microsoft Edge Enterprise. Estos
documentos también se aplican a los clientes de educación.
El nuevo navegador Microsoft Edge ofrece rendimiento y compatibilidad de primer nivel para ayudar a reducir
la fricción durante la enseñanza y proporciona nuevas herramientas para permitir el aprendizaje, todo mientras
mantiene la protección de los usuarios. Es una buena opción para los profesionales de TI que buscan simplificar
la administración de exploradores para sus escuelas, distritos o centros de educación superior. Descargue el
instalador sin conexión aquí Úselo para probar Microsoft Edge en su entorno y para implementarlo fácilmente
para todos los usuarios. Para ver cómo Microsoft Edge puede ayudar en su escuela o en clase, visite
https://aka.ms/GetEdge4Edu.
Asistencia de FastTrack y App Assure
Si su centro educativo o distrito tiene 150 o más puestos de pago en los servicios de Windows 10 o Microsoft
365, puede recibir instrucciones de implementación remota de FastTrack y asistencia de compatibilidad de sitio
de App Assure.
FastTrack ofrece instrucciones remotas para la implementación, la configuración del explorador (mediante
directivas) y la configuración del modo de Internet Explorer mediante una lista de sitios de empresa. Obtenga
más información sobre FastTrack aquí.
App Assure (un programa de FastTrack) proporciona asistencia de compatibilidad de sitio para ayudar a
garantizar una experiencia fluida en la transición al nuevo Microsoft Edge. Si sus aplicaciones web o sitios
funcionan en Internet Explorer 11, en versiones compatibles de Google Chrome o en cualquier versión de
Microsoft Edge, también funcionarán con el nuevo Microsoft Edge. Obtenga más información sobre App Assure
aquí.
Para enviar una solicitud de asistencia (RFA), siga los pasos que se indican en estos sitios:
FastTrack: Solicitud de asistencia
App Assure: Solicitud de asistencia
Implementación con Configuration Manager o Microsoft Intune
Microsoft Edge puede implementarse con herramientas conocidas como Configuration Manager o Microsoft

Cómo configurar la educación K-12
Requisitos de características
Sección de Preguntas más frecuentes
Intune.
Planear la implementación
Vídeo: Implementación de Microsoft Edge
Implementación en Windows
Implementación en macOS
Después de la instalación, Microsoft Edge requiere pasos adicionales para configurarse para educación K-12.
Para asegurarse de que las instituciones educativas de K-12 tengan una experiencia de búsqueda de Bing sin
anuncios en Microsoft Edge y para comprender estos requisitos, vea a continuación:
Para Microsoft Edge versión 83 o superior (recomendado)
Plataformas: Windows 10, Windows 8, Windows 7, macOS
Pasos: para los clientes identificados como espacios empresariales educativos de Microsoft, use la
directiva BingAdsSuppression al configurar Microsoft Edge. Los pasos también se incluyen en el
vínculo si necesita asistencia con la directiva.
Para Microsoft Edge versión 81
Si aún no ha configurado para educación K-12, le recomendamos que actualice a la versión 83 y siga
los pasos anteriores. Para todos los usuarios ya configurados con la versión 81 y los pasos que se
indican a continuación, la experiencia se mantendrá.
Plataforma: Windows 10
Pasos: revise los Pasos de configuración necesarios para Windows 10 Education y después vea los
pasos que se indican en Espacio empresarial de Azure AD y Office 365 Educación.
Para Microsoft Edge versión 79 o 80
No recomendado para educación K-12.
Información adicional sobre cómo configurar Microsoft Edge
Windows
macOS
Referencia de directiva
Algunas características en el nuevo Microsoft Edge tienen requisitos específicos para su uso. Puede verlos a
continuación.
Página de nueva pestaña de Office 365: cuentas de Azure Active Directory (AAD) y Office 365 necesarias.
Búsqueda de Microsoft en Bing: cuentas de Azure Active Directory (AAD) y Office 365 necesarias. El usuario
debe haber iniciado sesión en Bing con la cuenta de AAD que se va a usar.
He usado el antiguo Microsoft Edge y mis alumnos no recibían anuncios. ¿Obtengo la misma experiencia con el
nuevo Microsoft Edge?
Sí, si su escuela tenía una experiencia sin anuncios al usar Microsoft Edge (versión anterior), seguirá teniendo

esa experiencia en el nuevo Microsoft Edge. Si, por algún motivo no es así, póngase en contacto a través de este
vínculo para obtener ayuda.
¿Qué es el modo Internet Explorer? ¿Por qué lo necesito? ¿Qué necesito hacer para configurarlo?
Somos conscientes de que muchos clientes tienen sitios críticos creados con estándares web antiguos y que
solo se abrirán en exploradores antiguos, como Internet Explorer. El modo de Internet Explorer es una
característica empresarial que integra IE11 de forma nativa en el nuevo Microsoft Edge, lo que permite la
experiencia de un único explorador en sitios modernos y antiguos. Es decir, los clientes ya no necesitarán una
solución de dos navegadores; podrán navegar sin problemas entre los sitios web modernos y los sitios web
antiguos en la misma ventana.
Para más información sobre el modo de Internet Explorer y cómo configurarlo, visite esta página.
¿Cuándo estarán disponibles las entradas de lápiz en la Web?
Actualmente, las entradas de lápiz en archivos PDF son compatibles con características como el resaltado,
cambiar las opciones de color y ajustar el grosor de línea. Estamos trabajando en una característica que le
permitirá capturar sus pensamientos también en las páginas web. Esperamos que la vea en nuestros canales de
versión preliminar de Insider en los próximos meses.
¿El nuevo Microsoft Edge será compatible con ePub? ¿Se ha planeado?
No ofreceremos compatibilidad con ePub en el nuevo Microsoft Edge y no hay un plan inmediato para hacerlo.
Además, la compatibilidad con ePub se ha quitado de Microsoft Edge (versión anterior). Sin embargo, Microsoft
se ha asociado con empresas como DAISY Consortium para ofrecer aplicaciones de ePub accesibles en
Microsoft Store. Puede revisar el conjunto actual de aplicaciones recomendadas en la colección de Microsoft
Store.
¿Qué ha pasado con la vista de lectura? ¿Estarán disponibles todas las características de vista de lectura de
Microsoft Edge (versión anterior)?
Como parte de una visión y esfuerzo más amplios para lograr que la experiencia de lectura de Microsoft sea
coherente, hemos actualizado la vista de lectura para alinearla con el servicio de Lector inmersivo. El Lector
inmersivo en el nuevo Microsoft Edge estará pronto en paridad con la vista de lectura de Microsoft Edge
(versión anterior) y en ellas se incluyen nuevas características que nos ayudarán a lograr la paridad con el
servicio de Lector inmersivo.
¿Qué ocurrirá con Microsoft Edge (versión anterior) una vez que implemente el nuevo Microsoft Edge?
Una vez que el nuevo Microsoft Edge se implemente en los equipos, reemplazará a Microsoft Edge (versión
anterior), que pasará a estar oculto y quedará inaccesible. Si un usuario intenta iniciarlo, se le dirigirá al nuevo
Microsoft Edge. Una vez que el nuevo Microsoft Edge esté instalado, el usuario tendrá la oportunidad de
transferir la configuración desde Microsoft Edge (versión anterior). Si una organización quisiera usar Microsoft
Edge (versión anterior) junto con el nuevo Microsoft Edge, puede ver este artículo.
¿Se puede transferir automáticamente la configuración de Microsoft Edge (versión anterior) al nuevo Microsoft
Edge al realizar la implementación?
Sí Para ello, use la directiva AutoImportAtFirstRun cuando configure los dispositivos para importar
automáticamente los datos y la configuración de otros exploradores en la primera ejecución.

Implementación de cambio en línea para Microsoft
365 Educacional
TIP
Exchange Online es el servicio en la nube principal para el correo electrónico y el calendario. Ayuda a los
usuarios a colaborar de formas que no requieran chatear en tiempo real o almacenamiento de documentos
centralizado. Exchange Online es la manera en que se realiza la programación y la comunicación de un grupo de
pequeñas personas de corta duración. Exchange Online también tiene capacidades de seguridad avanzadas,
entre las que se incluyen el filtrado antimalware y contra correo electrónico no deseado para proteger los
buzones y las funciones de prevención de pérdida de datos que impiden que los usuarios envíen información
confidencial por error a personas no autorizadas. Si no está familiarizado con Exchange Online, consulte
Microsoft Exchange Online.
Consulte este artículo para planear e implementar la carga de trabajo de Exchange Online.
A pesar de que hace referencia a las implementaciones de Microsoft 365 Enterprise, el contenido también se
aplica a los clientes de Microsoft 365 Educación.

Implementación del entorno híbrido de Exchange
Server para Microsoft 365 Educación
TIP
Le recomendamos que implemente Exchange Online. Pero también puede usar la implementación híbrida en la
que puede ampliar su organización local de Microsoft Exchange existente a la nube. Una implementación híbrida
proporciona una apariencia perfecta de una única organización de Exchange entre una organización de
Exchange local y Exchange Online en Microsoft Office 365. Además, una implementación híbrida puede servir
como un paso intermedio para moverse completamente a una organización de Exchange Online.
Haga clic aquí para obtener instrucciones sobre las implementaciones híbridas de Exchange Server.

Implementación de SharePoint Online y OneDrive
TIP
Requisitos previos:
SharePoint en línea admite los siguientes escenarios de Microsoft 365
Educacional:
Implementación de OneDrive
Con SharePoint Online y Microsoft Teams es como almacena y comparte archivos, administra contenidos y
colabora. SharePoint Online también tiene capacidades de seguridad avanzadas, incluyendo control de acceso y
permisos y cifrado en vuelo y en reposo.
Si es completamente nuevo en SharePoint Online, vea SharePoint Online y laIntroducción a SharePoint.
Antes de empezar, asegúrese de haber configurado las fases de infraestructura de la fundación adecuadas para
que los sitios de SharePoint Online tengan las capacidades de seguridad que usted necesita.
SharePoint Online puede usarse con distintos fines. Necesita determinar qué fines se corresponden con sus
necesidades empresariales. Su objetivo es que SharePoint Online satisfaga las necesidades de almacenamiento
y uso compartido de documentos, de administración de contenidos y de colaboración de los equipos, la división
o toda la organización.
Comunicarse con el personal para permanecer informado, solicitar comentarios y facilitar la cohesión y el
consenso
Aprovechar el conocimiento colectivo
Administrar proyectos, tareas y fechas límite para cumplir con sus objetivos de negocio
Almacenar y compartir archivos dentro y fuera de las escuelas
Proteger su información y reducir el riesgo de la pérdida de datos
Apoyar a su escuela con mayor privacidad y cumplimiento normativo para ajustarse al Reglamento General
de Protección de Datos (RGPD)
Vea la lista completa de escenarios y funciones en SharePoint Online.
Para implementar OneDrive, consulte la guía de OneDrive. Aunque el producto se denomina OneDrive para
empresas, se usa ampliamente en escenarios educativos.

Desplegar un servidor híbrido de SharePoint
TIP
Instalar y configurar un Servidor híbrido de SharePoint.
Para las escuelas que quieren mover gradualmente sus servicios locales existentes de SharePoint Server a la
nube, el entorno híbrido de SharePoint Server proporciona una ruta de migración preconfigurada que extiende
las cargas de trabajo de SharePoint Server de alto impacto a SharePoint Online. Con un entorno híbrido de
SharePoint Server, los servicios de productividad de SharePoint Online se pueden integrar con un entorno local
de SharePoint Server para proporcionar funciones y acceso a datos unificados.
Un entorno híbrido de SharePoint Server habilita comunicaciones de confianza entre SharePoint Online y
SharePoint Server. Cuando haya establecido este marco de confianza, puede configurar la funcionalidad
integrada entre servicios y características como Búsqueda, Seguimiento y perfiles de usuario.

Introducción a Azure Active Directory inquilinos
Creación de un Azure Active Directory empresarial
IMPORTANT
¿Qué es un inquilino de Azure AD?
Como institución educativa, puedes suscribirte a una prueba gratuita de Microsoft 365 Educación y completar
un asistente de verificación de elegibilidad para comprar suscripciones a precios académicos.
Cuando se registra para una suscripción de pago o de prueba de Microsoft 365 Educación, se crea un inquilino
de Azure Active Directory (Azure AD) como parte de los servicios Office 365 base. Del mismo modo, se crea un
inquilino de Azure AD cuando se registra en Azure. También puede crear manualmente un inquilino de Azure AD
a través de Azure Portal y agregar servicios Office 365 en un momento posterior.
Al crear un inquilino de Azure AD, debe especificar una región lógica que determine la ubicación del centro de datos. Esto
debe elegirse con mucho cuidado porque no se puede cambiar después de la creación.
Para obtener más información, consulte la Microsoft 365 Educación de implementación .
Un inquilino de Azure AD proporciona capacidades de administración de identidades y acceso (IAM) a las
aplicaciones y recursos usados por la organización. Una identidad es un objeto de directorio que se puede
autenticar y autorizar para el acceso a un recurso. Existen objetos de identidad para identidades humanas, como
estudiantes y profesores, e identidades no humanas, como dispositivos de clase y estudiantes, aplicaciones y
principios de servicio.
El inquilino de Azure AD es un límite de seguridad de identidad que está bajo el control del departamento de TI
de la organización. Dentro de este límite de seguridad, la administración de objetos (como objetos de usuario) y
la configuración de la configuración de todo el espacio empresarial están controladas por los administradores
de TI.

Acceso a aplicaciones que usan Azure AD
Acceso a objetos de directorio
Azure AD se usa para conceder a los objetos que representan identidades acceso a recursos como aplicaciones y
sus recursos subyacentes de Azure, que pueden incluir bases de datos y sistemas Learning administración
(LMS).
Se puede conceder a las identidades acceso a muchos tipos de aplicaciones, entre las que se incluyen, entre
otras:
Servicios de productividad de Microsoft como Exchange Online, Microsoft Teams y SharePoint Online
Servicios de MICROSOFT IT como Azure Sentinel, Microsoft Intune y ATP de Microsoft Defender
Herramientas de Microsoft Developer como Azure DevOps
Aplicaciones de terceros como Learning Management Systems (LMS)
Aplicaciones locales integradas con capacidades de acceso híbrido, como proxy de aplicación de Azure
AD
Aplicaciones desarrolladas de forma personalizada
Las aplicaciones que usan Azure AD requieren que los objetos de directorio se configuren y se administran en el
inquilino de Azure AD de confianza. Entre los ejemplos de objetos de directorio se incluyen registros de
aplicaciones, entidades de servicio, grupos y extensiones de atributo de esquema.
Aunque algunas aplicaciones pueden tener varias instancias por espacio empresarial, por ejemplo, una instancia
de prueba y una instancia de producción, algunos servicios de Microsoft, como Exchange Online solo pueden
tener una instancia por inquilino.
Las identidades, los recursos y sus relaciones se representan en un inquilino de Azure AD como objetos de

directorio. Algunos ejemplos de objetos de directorio son usuarios, grupos, entidades de servicio y registros de
aplicaciones.
Cuando los objetos están en un inquilino de Azure AD, se produce lo siguiente:
NOTE
Visibilidad. Las identidades pueden detectar o enumerar recursos, usuarios, grupos y acceder a
informes de uso y registros de auditoría si tienen los permisos adecuados. Por ejemplo, un miembro del
directorio puede detectar usuarios en el directorio con permisos de usuario predeterminados.
Las aplicaciones pueden afectar a objetos. Las aplicaciones pueden manipular objetos de directorio
a través Graph Microsoft como parte de su lógica empresarial. Los ejemplos típicos incluyen leer o
establecer atributos de usuario, actualizar el calendario del usuario y enviar correos electrónicos en
nombre del usuario. El consentimiento es necesario para permitir que las aplicaciones afecten al
inquilino. Los administradores pueden dar su consentimiento a todos los usuarios. Para obtener más
información, vea Permisos y consentimiento en el Plataforma de identidad de Microsoft.
Tenga cuidado al usar permisos de aplicación. Por ejemplo, con Exchange Online, debe tener en cuenta los
permisos de aplicación para buzones y permisos específicos.
Límites de limitación y servicio. El comportamiento en tiempo de ejecución de un recurso puede
desencadenar la limitación para evitar el uso excesivo o la degradación del servicio. La limitación puede
producirse en el nivel de aplicación, inquilino o servicio completo. Normalmente se produce cuando una
aplicación tiene un gran número de solicitudes dentro o entre inquilinos.
Cada espacio empresarial tiene un límite total de objetos. De forma predeterminada, un espacio empresarial
está limitado a 50.000 objetos totales. Después de agregar un dominio personalizado, el límite aumenta a 300
000. Puede aumentar aún más este límite de objetos si se contacta con el equipo de éxito del cliente de EDU. Se

Configuración en un inquilino
recomienda que un único inquilino de Azure AD no supere el millón de usuarios, lo que normalmente equivale a
aproximadamente 3 millones de objetos totales. Para obtener más información acerca de los límites de servicio
en Azure AD, consulte Límites y restricciones delservicio de Azure AD .
Las directivas y la configuración de Azure AD afectan a los recursos del inquilino de Azure AD a través de
configuraciones dirigidas o de todo el espacio empresarial.
Algunos ejemplos de directivas y configuraciones para todo el espacio empresarial son:
Identidades externas. Los administradores globales del inquilino identifican y controlan las identidades
externas que se pueden aprovisionar en el espacio empresarial.
Si se permiten identidades externas en el inquilino
Desde qué dominios se pueden agregar identidades externas
Si los usuarios pueden invitar a usuarios de otros inquilinos
Ubicaciones con nombre. Los administradores globales pueden crear ubicaciones con nombre,que
luego se pueden usar para:
Bloquear el inicio de sesión desde ubicaciones específicas.
Desencadenar directivas de acceso condicional como MFA.
Métodos de autenticación permitidos. Los administradores globales establecen los métodos de
autenticación permitidos para el inquilino.
Opciones de autoservicio. Los administradores globales establecen opciones de autoservicio como el
restablecimiento de contraseñas de autoservicio y crean grupos Office 365 en el nivel de inquilino.

Administración en un inquilino
Administración de objetos de directorio
La implementación de algunas configuraciones de todo el espacio empresarial se puede establecer en el ámbito
siempre que no se invalide mediante directivas de administración global. Por ejemplo:
Si el espacio empresarial está configurado para permitir identidades externas, un administrador de
recursos aún puede excluir esas identidades del acceso a un recurso.
Si el inquilino está configurado para permitir el registro de dispositivos personales, un administrador de
recursos puede excluir esos dispositivos del acceso a recursos específicos.
Si se configuran ubicaciones con nombre, un administrador de recursos puede configurar directivas que
permitan o excluyan el acceso de dichas ubicaciones.
La administración incluye la administración de objetos de identidad y la implementación con ámbito de las
configuraciones de todo el espacio empresarial. Los objetos incluyen usuarios, grupos y dispositivos, y
principios de servicio. Puede establecer el ámbito de los efectos de las configuraciones de todo el espacio
empresarial para la autenticación, la autorización, las opciones de autoservicio, entre otras.
Los administradores de todo el espacio empresarial o los administradores globales pueden:
Conceder acceso a cualquier recurso a cualquier usuario
Asignar roles de recursos a cualquier usuario
Asignar roles de administrador de ámbito inferior a cualquier usuario
Los administradores administran cómo los objetos de identidad pueden acceder a los recursos y en qué
circunstancias. También pueden deshabilitar, eliminar o modificar objetos de directorio en función de sus

NOTE
Administración de servicios de identidad
Licencias
privilegios. Los objetos Identity incluyen:
Las identidades organizativas, como las siguientes, se representan mediante objetos de usuario:
Administradores
Usuarios de la organización
Desarrolladores de la organización
Usuarios de prueba **
Las identidades externas representan usuarios de fuera de la organización, como:
Partners u otras instituciones educativas que se aprovisionan con cuentas locales en el entorno de
la organización
Partners u otras instituciones educativas que se aprovisionan a través de la colaboración B2B de
Azure
Los grupos se representan mediante objetos como:
Grupos de seguridad
Grupos de Office 365
Los dispositivos se representan mediante objetos como:
Dispositivos híbridos unidos a Azure AD (equipos locales sincronizados desde Active Directory
local)
Dispositivos de Azure AD Unidos
Dispositivos móviles registrados de Azure AD usados por los empleados para acceder a sus
aplicaciones de trabajo.
En un entorno híbrido, las identidades normalmente se sincronizan desde el entorno local de Active Directory mediante
Azure AD Conectar.
Los administradores con permisos adecuados pueden administrar cómo se implementan las directivas de todo
el espacio empresarial en el nivel de grupos de recursos, grupos de seguridad o aplicaciones. Al considerar la
administración de recursos, tenga en cuenta lo siguiente. Cada uno puede ser un motivo para mantener los
recursos juntos o aislarlos.
Una identidad asignada a un rol de administrador de autenticación puede requerir que los no
administradores vuelvan a registrar la autenticación MFA o FIDO.
Un administrador de acceso condicional (CA) puede crear directivas de CA que requieran que los
usuarios inicien sesión en aplicaciones específicas para hacerlo solo desde dispositivos propiedad de la
organización. También pueden establecer el ámbito de las configuraciones. Por ejemplo, incluso si se
permiten identidades externas en el inquilino, pueden excluir esas identidades del acceso a un recurso.
Un administrador de aplicaciones en la nube puede dar su consentimiento a los permisos de la aplicación
en nombre de todos los usuarios.
Un administrador global puede tomar el control de una suscripción.

Azure AD en Microsoft 365 Educación escenarios
Pasos siguientes
Los servicios en la nube de pago de Microsoft, como Office 365, requieren licencias. Estas licencias se asignan a
cada usuario que necesita acceso a los servicios. Azure AD es la infraestructura subyacente que admite la
administración de identidades para todos los servicios en la nube de Microsoft y almacena información sobre
los estados de asignación de licencias para los usuarios. Tradicionalmente, los administradores usarían uno de
los portales de administración (Office o Azure) y los cmdlets de PowerShell para administrar licencias. Azure AD
admite licencias basadas en grupos que permiten asignar una o más licencias de productos a un grupo de
usuarios.
Azure AD ayuda a los alumnos y profesores a iniciar sesión y acceder a recursos y servicios, incluidos:
Iniciar sesión y autorización en recursos
Los dominios de inicio de sesión y correo electrónico están configurados para la autenticación en
la nube en Azure AD.
La mayoría de las capacidades de colaboración externa usan la colaboración B2B de Azure AD.
Capacidades de Microsoft office 365
Las identidades de Azure AD se asignan Office 365 licencias, lo que desencadena el
aprovisionamiento.
Office 365 objetos como listas de distribución, grupos modernos, contactos y Microsoft Teams, se
representan mediante objetos de directorio de Azure AD y se administran en Azure AD.
Office 365 servicios proporcionan autorización mediante grupos de Azure AD.
El acceso a Office 365 se controla a través de Azure AD.
Gobierno y seguridad
Las características de administración y seguridad, como Intune for Education, dependen de
usuarios, grupos, dispositivos y directivas de Azure AD.
Privileged Identity Management permitir el acceso just-in-time (JIT) y just enough administration
(JEA) a operaciones con privilegios.
Registros de inicio de sesión e informes de actividad de auditoría.
Capacidades de gobierno como revisiones de Access.
Entornos híbridos
Azure AD proporciona las capacidades híbridas para sincronizar desde Active Directory local a
través de Azure AD Conectar.
Azure AD Conectar permite configurar el método de autenticación adecuado para su organización,
incluida la sincronización de hashde contraseña,la autenticación de paso a través o la integración
de federación con AD FS o el proveedor de identidades SAML que no es de Microsoft.
API para aprovisionar objetos de directorio desde SIS mediante School Data Sync
Diseñar una arquitectura multiinquilino
Estrategia de configuración de inquilinos de diseño

Diseño de una arquitectura multiinquilino para
grandes instituciones
Principios de diseño
Motivos comunes para varios inquilinos
Se recomienda una arquitectura de inquilino único para instituciones más pequeñas. Sin embargo, para las
organizaciones que tienen más de un millón de usuarios, se recomienda una arquitectura multiinquilino para
mitigar los problemas de rendimiento y las limitaciones de inquilino, como las cuotas y suscripciones de Azure,
y Azure AD límites y restricciones del servicio.
Al diseñar la arquitectura multiinquilino, tenga en cuenta los siguientes principios de diseño para reducir los
costos y aumentar la eficacia y la seguridad:
Reducción de costos
Reduzca la dependencia de la infraestructura local y de varios proveedores de identidades.
Permitir que los usuarios desbloqueen su cuenta o restablezcan contraseñas mediante
autoservicio (por ejemplo, Azure AD autoservicio de restablecimiento de contraseña).
Aumento de la eficacia
Estandarizar la arquitectura, las configuraciones y los procesos entre inquilinos para minimizar los
problemas administrativos.
Minimizar la necesidad de que los usuarios pasen de un inquilino a otro
Aumento de la seguridad
Céntrese en garantizar que los datos de los alumnos sean seguros.
Siga el principio de privilegios mínimos: conceda solo los privilegios necesarios para realizar las
tareas necesarias e implemente el acceso Just-In-Time (JIT).
Habilite el acceso de usuarios externos solo a través de la administración de derechos o Azure AD
colaboración B2B.
Delegue la administración de tareas específicas a usuarios específicos con Just Enough Access
(JEA) para realizar el trabajo.
Se recomienda encarecidamente que las organizaciones con menos de un millón de usuarios creen un único
inquilino a menos que otros criterios indiquen la necesidad de varios inquilinos. Para organizaciones con un
millón o más de objetos de usuario, se recomiendan varios inquilinos mediante un enfoque regional.
La creación de inquilinos independientes tiene los siguientes efectos en el entorno EDU.
Separación administrativa
Puede limitar los impactos de un error operativo o de seguridad administrativa que afecte a los
recursos críticos.
Puede limitar el impacto de las cuentas de administrador o usuario en peligro.

Determinación del enfoque multiinquilino
Los informes de uso y los registros de auditoría se encuentran dentro de un inquilino.
Separación de recursos
Privacidad de los estudiantes. Los objetos de usuario student solo se pueden detectar dentro del
inquilino en el que reside el objeto.
Aislamiento de recursos. Los usuarios y administradores de otros inquilinos no pueden detectar ni
enumerar los recursos de un inquilino independiente.
Superficie de objeto. Las aplicaciones que escriben en Azure AD y otros servicios de Microsoft
Online a través de Microsoft Graph u otras interfaces de administración solo pueden afectar a los
recursos del inquilino local.
Cuotas. El consumo de cuotas y límites de Azure para todo el inquilino está separado del de los
demás inquilinos.
Separación de configuración
Proporciona un conjunto independiente de opciones de configuración de todo el inquilino que
pueden dar cabida a recursos y aplicaciones de confianza que tienen requisitos de configuración
diferentes.
Habilita un nuevo conjunto de servicios de Microsoft Online, como Office 365.
Además de tener más de un millón de usuarios, las siguientes consideraciones pueden dar lugar a varios
inquilinos.
Consideraciones administrativas
Usted opera bajo regulaciones que restringen quién puede administrar el medio ambiente en
función de criterios como el país de ciudadanía, el país de residencia o el nivel de autorización.
Tiene requisitos de cumplimiento, como la privacidad de los datos de los alumnos, que requieren
la creación de identidades en regiones locales específicas.
Consideraciones sobre los recursos
Tiene recursos, quizás para investigación y desarrollo, que debe proteger de la detección,
enumeración o adquisición por parte de los administradores existentes por motivos normativos o
críticos para la empresa.
Ciclo de desarrollo de aplicaciones personalizadas que pueden cambiar los datos de los usuarios
con MS Graph o API similares a escala (por ejemplo, las aplicaciones a las que se concede
Directory.ReadWrite.All)
Consideraciones de configuración
Recursos que tienen requisitos que entran en conflicto con las posturas de seguridad o colaboración
existentes en todo el inquilino, como los tipos de autenticación permitidos, las directivas de
administración de dispositivos, la capacidad de autoservicio o la corrección de identidades para
identidades externas.
En esta sección consideramos una universidad ficticia llamada Escuela de Bellas Artes con 2 millones de
estudiantes en 100 escuelas a lo largo de la Estados Unidos. En todas estas escuelas, hay un total de 130 000
profesores y 30 000 empleados y personal a tiempo completo.
Se recomienda un enfoque regional al implementar varios inquilinos como se indica a continuación:

¿Por qué usar regiones?
1. Comience dividiendo la comunidad de estudiantes y educadores por regiones geográficas donde cada
región contiene menos de un millón de usuarios.
2. Cree un inquilino de Azure AD para cada región.
3. Aprovisionar personal, profesores y alumnos en su región correspondiente para optimizar las
experiencias de colaboración.
Se recomienda un enfoque regional para minimizar el número de usuarios que se mueven entre inquilinos. Si
ha creado un inquilino para cada nivel escolar (por ejemplo, escuelas primarias, secundarias y secundarias),
tendría que migrar usuarios al final de cada año escolar. Si en su lugar los usuarios permanecen en la misma
región, no es necesario moverlos entre inquilinos a medida que cambian sus atributos.
Otras ventajas de un enfoque regional incluyen:

Colaboración entre inquilinos mediante Azure AD colaboración B2B
Miembros e invitados
Administración centralizada de varios inquilinos
Colaboración óptima dentro de cada región
Se necesita un número mínimo de objetos invitados de otros inquilinos
Cuando un inquilino tiene más de un millón de usuarios, las experiencias de administración y las herramientas
tienden a degradarse con el tiempo. Del mismo modo, algunas experiencias del usuario final, como el uso del
selector de personas, se volverán complicadas y poco confiables.
Las organizaciones más pequeñas que deciden implementar varios inquilinos sin una razón atractiva
aumentarán innecesariamente su sobrecarga de administración y el número de migraciones de usuarios. Para
ello, también se requerirán pasos para garantizar las experiencias de colaboración entre inquilinos.
Azure AD colaboración B2B permite a los usuarios usar un conjunto de credenciales para iniciar sesión en varios
inquilinos. En el caso de las instituciones educativas, los beneficios de la colaboración B2B incluyen:
Equipo de administración centralizada que administra varios inquilinos
Colaboración de profesores entre regiones
Incorporación de padres y tutores con sus propias credenciales
Asociaciones externas como contratistas o investigadores
Con la colaboración B2B, se invita a una cuenta de usuario creada en un inquilino (su inquilino principal) como
usuario invitado a otro inquilino (un inquilino de recursos) y el usuario puede iniciar sesión con las credenciales
de su inquilino principal. Los administradores también pueden usar la colaboración B2B para permitir que los
usuarios externos inicien sesión con sus cuentas sociales o empresariales existentes mediante la configuración
de la federación con proveedores de identidades como Facebook, cuentas de Microsoft, Google o un proveedor
de identidades empresariales.
Los usuarios de un inquilino de Azure AD son miembros o invitados en función de su propiedad UserType. De
forma predeterminada, los usuarios miembros son los que son nativos del inquilino. De forma predeterminada,
se agrega un usuario de colaboración B2B Azure AD como usuario con UserType = Guest. Los invitados tienen
permisos limitados en el directorio y las aplicaciones. Por ejemplo, los usuarios invitados no pueden examinar
información del inquilino más allá de su propia información de perfil. Sin embargo, un usuario invitado puede
recuperar información sobre otro usuario proporcionando el nombre principal de usuario (UPN) o objectId. Un
usuario invitado también puede leer las propiedades de los grupos a los que pertenecen, incluida la pertenencia
a grupos, independientemente de que los permisos de los usuarios invitados sean de configuración
limitada .
En algunos casos, es posible que un inquilino de recursos quiera tratar a los usuarios del inquilino principal
como miembros en lugar de invitados. Si es así, puede usar las API Azure AD B2B Invitation Manager para
agregar o invitar a un usuario del inquilino principal al inquilino del recurso como miembro. Para obtener más
información, consulte Propiedades de un usuario de colaboración B2B Azure Active Directory.
Incorporación de identidades externas mediante Azure AD B2B. A continuación, se pueden asignar roles con
privilegios a las identidades externas para administrar Azure AD inquilinos como miembros de un equipo de TI
centralizado. También puede usar Azure AD B2B para crear cuentas de invitado para otros miembros del
personal, como administradores a nivel regional o de distrito.
Sin embargo, los roles específicos del servicio, como Exchange Administrator o SharePoint Administrator,
requieren una cuenta local que sea nativa de su inquilino.

Los siguientes roles se pueden asignar a cuentas B2B.
Administrador de la aplicación
Desarrollador de la aplicación
Administrador de autenticación
Administrador del conjunto de claves de IEF de B2C
Administrador de directivas de IEF B2C
Administrador de directivas de IEF de la aplicación en la nube B2C
Administrador de directivas de IEF de dispositivo en la nube B2C
Administrador de acceso condicional
Administradores de dispositivos
Unión a dispositivos
Usuarios del dispositivo
Lectores de directorio
Escritores de directorios
Cuentas de sincronización de directorios
Administrador de Flow de usuario de id. externo
Administrador de atributos de Flow de usuario de id. externo
Proveedor de identidades externo
Administrador de grupos
Invitador
Administrador del servicio de asistencia
Administrador de identidades híbridas
Administrador del servicio de Intune
Administrador de licencias
Administrador de contraseñas
Administrador de autenticación con privilegios
Administrador de roles con privilegios
Lector de informes
Usuario invitado restringido
Administrador de seguridad
Lector de seguridad
Administrador de cuentas de usuario
Unión a dispositivos de Workplace

Uso de aplicaciones entre varios inquilinos
Administración por inquilino
Los roles de administrador personalizados en Azure AD exponen los permisos subyacentes de los roles
integrados para que pueda crear y organizar sus propios roles personalizados. Este enfoque permite conceder
acceso de forma más granular que los roles integrados, siempre que se necesiten.
Este es un ejemplo que ilustra cómo funcionaría la administración para roles administrativos que se pueden
delegar y usar en varios inquilinos.
La cuenta nativa de Susie se encuentra en el inquilino de la región 1 y Azure AD B2B se usa para agregar la
cuenta como administrador de autenticación al equipo de TI central en los inquilinos de la región 2 y la región 3.
Para mitigar los problemas asociados con la administración de aplicaciones en un entorno multiinquilino, debe
considerar la posibilidad de escribir aplicaciones multiinquilino. También deberá comprobar cuál de las
aplicaciones SaaS admite varias conexiones IdP. Las aplicaciones SaaS que admiten varias conexiones IDP deben
configurar conexiones individuales en cada inquilino. Las aplicaciones SaaS que no admiten varias conexiones
IDP pueden requerir instancias independientes. Para obtener más información, vea How to: Sign in any Azure
Active Directory user using the multi-tenant application pattern (Cómo: Iniciar sesión en cualquier usuario Azure
Active Directory mediante el patrón de aplicación multiinquilino).
Nota: Los modelos de licencia pueden variar de una aplicación SaaS a otra. consulte con el proveedor para
determinar si se necesitarán varias suscripciones en un entorno multiinquilino.
La administración por inquilino es necesaria para los roles específicos del servicio. Los roles específicos del
servicio requieren tener una cuenta local que sea nativa del inquilino. además de tener un equipo de TI
centralizado en cada inquilino, también deberá tener un equipo de TI regional en cada inquilino para administrar
cargas de trabajo como Exchange, SharePoint y Teams.
Los roles siguientes requieren cuentas nativas para cada inquilino.
Administrador de Azure DevOps
Administrador de Azure Information Protection
Administrador de facturación
Administrador del servicio CRM

Administrador de cumplimiento
Administrador de datos de cumplimiento
Aprobador de acceso a caja de seguridad del cliente
Administrador de Análisis de escritorio
Administrador de Exchange
Administrador de Ideas
líder empresarial de Ideas
Administrador de Kaizala
Administrador de servicios de Lync
Lector de privacidad del Centro de mensajes
Lector del Centro de mensajes
Administrador de impresoras
Técnico de impresora
Administrador de búsqueda
Editor de búsqueda
Operador de seguridad
Administrador de soporte técnico de servicio
Administrador de SharePoint
Administrador de comunicaciones de Teams
Ingeniero de soporte en comunicaciones de Teams
Especialista de soporte en comunicaciones de Teams
Administrador de servicios de Teams
Administradores únicos en cada inquilino
Si tiene un equipo de TI nativo de cada región, podría tener uno de esos administradores locales que administre
la administración de Teams. En el ejemplo siguiente, Charles reside en el inquilino de la región 1 y tiene el rol de
Teams administrador de servicios. Alice e Ichiro residen en las regiones 2 y 3, respectivamente, y tienen el
mismo rol en sus regiones. Cada administrador local tiene una sola cuenta nativa de su región.

Delegación de roles de administrador dentro de un inquilino
Roles de administrador entre inquilinos
Si no tiene un grupo de administradores locales en cada región, puede asignar el rol Teams administrador de
servicios a un solo usuario. En este escenario, como se muestra a continuación, puede hacer que Bob del equipo
de TI central actúe como Teams administrador de servicios en los tres inquilinos mediante la creación de una
cuenta local para Bob en cada inquilino.
Las unidades administrativas (AU) deben usarse para agrupar lógicamente Azure AD usuarios y grupos.
Restringir el ámbito administrativo mediante unidades administrativas es útil en organizaciones educativas
formadas por diferentes regiones, distritos o escuelas.
Por ejemplo, nuestra escuela ficticia de Bellas Artes está distribuida en tres regiones, cada una de las cuales
contiene varias escuelas. Cada región tiene un equipo de administradores de TI que controlan el acceso,
administran usuarios y establecen directivas para sus respectivas escuelas.
Por ejemplo, un administrador de TI podría:
Cree una AU para los usuarios de cada una de las escuelas de la Región 1, para administrar todos los

Administración entre inquilinos
Administración de objetos a escala
usuarios de esa escuela. (no en la imagen)
Cree una AU que contenga a los profesores de cada escuela, para administrar las cuentas de los
profesores.
Cree una AU independiente que contenga a los alumnos de cada escuela, para administrar las cuentas de
los alumnos.
Asigne a los profesores de la escuela el rol Administrador de contraseñas para la AU Students, para que
los profesores puedan restablecer las contraseñas de los alumnos, pero no restablecer las contraseñas de
otros usuarios.
Los roles que se pueden limitar a unidades administrativas incluyen:
Administrador de autenticación
Administrador de grupos
Administrador del servicio de asistencia
Administrador de licencias
Administrador de contraseñas
Administrador de usuarios
Para obtener más información, consulte Asignación de roles con ámbito a una unidad administrativa.
Configuración se configuran individualmente en cada inquilino. Configure entonces como parte de la creación
de inquilinos siempre que sea posible para ayudar a minimizar la necesidad de volver a consultar esa
configuración. Aunque algunas tareas comunes se pueden automatizar, no hay ningún portal de administración
entre inquilinos integrado.
Microsoft Graph (MS Graph) y Azure AD PowerShell permiten administrar objetos de directorio a escala.
También se pueden usar para administrar la mayoría de las directivas y configuraciones del inquilino. Sin
embargo, debe comprender las siguientes consideraciones de rendimiento:
MS Graph limita la creación de usuarios, grupos y cambios de pertenencia a 72 000 por inquilino y hora.
El rendimiento de MS Graph puede verse afectado por acciones controladas por el usuario, como
acciones de lectura o escritura dentro del inquilino.
El rendimiento de MS Graph puede verse afectado por otras tareas de administración de TI en

Pasos siguientes
competencia dentro del inquilino.
PowerShell, SDS, Azure AD Conectar y soluciones de aprovisionamiento personalizadas agregan objetos
y pertenencias a través de MS Graph a diferentes velocidades
Si no ha revisado Introducción a Azure Active Directory inquilinos, es posible que desee hacerlo. a continuación,
vea:
Diseño de una estrategia de configuración de inquilinos
Diseño de una estrategia de cuenta

Configuración de inquilino de diseño
Coherencia de configuración entre inquilinos
Configurar identidades externas
Controlar la colaboración externa
Permitir que los usuarios externos aparezcan en la lista global de
La configuración en Azure AD se realiza en cada inquilino. Las opciones de configuración controlan las directivas
de seguridad y acceso. Documente las directivas de seguridad y acceso para garantizar la coherencia entre los
inquilinos cuando corresponda.
En un entorno EDU grande donde tiene un equipo de administración central, asegurarse de que la mayoría de
las configuraciones sean coherentes entre inquilinos:
Simplifique la administración y haga que su equipo de IT central sea más eficiente.
Facilita la identificación y solución de problemas.
Facilita el desarrollo, la prueba y la implementación de software entre inquilinos.
Haga que la experiencia del usuario entre inquilinos sea más coherente e intuitiva.
Facilitar el proceso de migración de usuarios de un inquilino a otro.
Cree directivas en las que las configuraciones del espacio empresarial serán estándar y las administrará el
equipo de IT central, y que el equipo de IT específico del espacio empresarial puede ajustar. Algunas áreas en las
que un equipo de administración específico del inquilino puede necesitar flexibilidad son:
Permitir que los asociados externos accedan al espacio empresarial. Aunque su organización puede tener
una directiva que solo permite el acceso a sus otros inquilinos, es posible que una región específica
necesite un proveedor específico de la región para la lista de colaboración B2B de Azure AD.
Ajustar las directivas de acceso necesarias, por ejemplo, requerir que los dispositivos administrados
cumplan los requisitos de seguridad específicos del espacio empresarial o de la región, o para tener en
cuenta la disponibilidad de los dispositivos administrados.
Piloting new features, for example a region trying out MyStaff to let a school's director cover certain IT
tasks for the staff at that school.
Las identidades externas representan usuarios de fuera de un inquilino de Azure AD, como usuarios de otros
inquilinos de la organización EDU. En una organización educacional grande que abarca varios inquilinos, puede
usar la colaboración entre empresas (B2B) de Azure Active Directory (Azure AD) para proporcionar acceso a
todos esos inquilinos. Azure AD B2B le permite compartir de forma segura las aplicaciones y servicios de su
organización con invitados de otra organización, mientras mantiene el control sobre sus propios datos.
La configuración de colaboración externa le permite activar o desactivar las invitaciones de invitado para
distintos tipos de usuarios de la organización. También puede delegar invitaciones a usuarios individuales
asignando roles que les permitan invitar invitados. La configuración de colaboración externa se administra en el
Portal de Azure AD en Azure Active Directory.

direcciones
NOTE
Directivas de seguridad y acceso
Valores predeterminados de seguridad
Puede mostrar usuarios externos en la lista global de direcciones (GAL) mediante:
Invitar a los usuarios como invitados con Azure AD B2B (recomendado)
Uso de la sincronización de GAL (no recomendado)
La sincronización de gal no crea cuentas de usuario. En su lugar, cada contacto que crea es un objeto que se cuenta con
respecto al límite de objetos en el espacio empresarial.
La administración de la seguridad puede ser difícil, ya que los ataques relacionados con la identidad son tan
frecuentes. Los valores predeterminados de seguridad y las directivas de acceso facilitan la protección de la
organización frente a ataques como el spray de contraseñas, la reproducción y la suplantación de identidad.
Los valores predeterminados de seguridad proporcionan una configuración segura que administramos en
nombre de su organización para mantenerlo a salvo hasta que esté listo para administrar su propio artículo de
seguridad de identidad. Cuando los valores predeterminados de seguridad están habilitados, podemos ayudarle
a proteger su organización con las siguientes configuraciones de directiva preconfiguradas:
Requerir que todos los usuarios se registren en Azure Multi-Factor Authentication
Requerir que los administradores realicen la autenticación multifactor
Bloqueo de protocolos de autenticación heredados
Requerir que los usuarios realicen la autenticación multifactor cuando sea necesario
Protección de actividades con privilegios, como el acceso a Azure Portal
Se recomienda habilitar los valores predeterminados de seguridad si es una organización que quiere aumentar
su posición de seguridad ahora y no ha configurado una seguridad sólida. Si es una organización con Azure
Active Directory Premium licencias y actualmente usa directivas de acceso condicional para aplicar directivas
organizativas, es probable que los valores predeterminados de seguridad no sean adecuados para usted.
Habilite los valores predeterminados de seguridad en Azure Portal, como se muestra en la siguiente imagen.

Dispositivos administrados para ti y personal
Para proteger los recursos del espacio empresarial, evita el acceso de dispositivos con niveles de protección
desconocidos. Implemente una solución de administración de dispositivos para que los usuarios solo puedan
acceder a los recursos mediante un dispositivo administrado por la organización.
En Azure AD, un requisito mínimo para que un dispositivo se considere administrado es cuando se registra con
Azure AD. Los administradores pueden elegir implementar los siguientes tipos de administración de dispositivos
en Azure AD:
Dominio híbrido unido. Dispositivos que pertenecen a la organización y que se unen a Active Directory
local y Azure AD. Normalmente, un dispositivo comprado y administrado por una organización y
administrado por System Center Configuration Manager.
Dominio de Azure AD unido. Dispositivos que pertenecen a la organización y se unen al inquilino de
Azure AD de la organización. Por lo general, un dispositivo comprado y administrado por una
organización, unido a Azure AD y administrado por un servicio como Microsoft Intune.
Azure AD registrado. Dispositivos propiedad de la organización, o dispositivos personales, usados para
obtener acceso a los recursos de la empresa. Por lo general, un dispositivo personal que se usa para
obtener acceso a recursos corporativos. Las organizaciones pueden requerir que el dispositivo se inscriba
a través de la Administración de dispositivos móviles (MDM)o que se aplique a través de administración
de aplicaciones móviles (MAM) sin inscripción para acceder a los recursos. Este servicio puede
proporcionar esta funcionalidad, como Microsoft Intune.
Para obtener más información, vea Choose your integration methods.
Para mejorar aún más la seguridad, también se recomienda crear una directiva de acceso condicional de Azure
AD para ti y personal. Con el acceso condicional, puede crear una única directiva que conceda acceso:
Para las aplicaciones en la nube seleccionadas.

Usar MFA para administradores
Directivas de riesgo
Procedimientos recomendados
Para usuarios y grupos seleccionados.
Requerir un dispositivo administrado.
Las cuentas a las que se les asignan permisos elevados son objetivos valiosos para los atacantes. Para minimizar
el riesgo de que la cuenta con privilegios se vea comprometida, aprovisione todas las cuentas con permisos
elevados con credenciales de autenticación segura, como Azure Multi-Factor Authentication (MFA).
Como mínimo, se recomienda crear una directiva de acceso condicional para requerir MFA para los siguientes
roles administrativos:
Administrador de facturación
Administrador de acceso condicional
Administrador de Exchange
Administrador global
Administrador del departamento de soporte técnico (contraseña)
Administrador de seguridad
Administrador de SharePoint
Administrador de usuarios
Si los usuarios tienen un método de autenticación multifactor disponible para ellos, aplique MFA para los
usuarios que tienen acceso a información confidencial, como registros de alumnos.
Con Azure AD, los administradores pueden crear directivas para proteger contra determinados tipos de riesgos:
Riesgo de inicio de sesión. Probabilidad de que el propietario de la identidad no autorice una solicitud de
autenticación determinada.
Riesgo de usuario. La probabilidad de que una identidad o cuenta de give esté en peligro.
Las directivas de riesgo de inicio de sesión y las directivas de riesgo de usuario automatizan la respuesta a las
detecciones de riesgos en el entorno y permiten a los usuarios auto remediar el riesgo.
Las organizaciones educativas con Microsoft 365 A5 (o Azure AD Premium P2 licencias) pueden usar Azure AD
Identity Protection para proteger sus cuentas. También puede crear directivas de acceso condicional basadas en
riesgos de inicio de sesión y directivas de acceso condicional basadas en riesgos del usuario.
Configure la directiva de riesgo de usuario para que los usuarios de alto riesgo deban cambiar su contraseña
después del inicio de sesión.
Defina directivas de acceso condicional para aplicar la posición de seguridad de identidad y minimizar los
riesgos de inicio de sesión y de usuario. Esto debe incluir controles en MFA y controles basados en
dispositivos para habilitar el acceso solo a través de dispositivos administrados y ubicaciones esperadas.
Todas las aplicaciones deben tener directivas explícitas de acceso condicional aplicadas.
Minimice el número de directivas de acceso condicional aplicando a varias aplicaciones con los mismos
requisitos.
Planee la interrupción configurando cuentas de acceso de emergencia para mitigar los efectos del
bloqueo accidental.

Registros de la aplicación
Integración de aplicaciones
Diseñar seguridad de inquilinos
Configuración de usuario
CONFIGURACIÓN VALOR MOTIVO
Portal de administración
Restringir el acceso al portal de
administración de Azure AD
Sí Esta configuración impedirá que las
cuentas que no tienen privilegios
tengan acceso a la sección de Azure
AD de Azure Portal.
Conexiones de cuentas de LinkedIn No Sin necesidad empresarial
Configurar una directiva de acceso condicional en modo de solo informe.
Para obtener instrucciones generales sobre las directivas de acceso condicional para entornos individuales,
consulte los procedimientos recomendados de ca y la Guía de operaciones de Azure AD:
Solo los usuarios con permisos elevados pueden realizar tareas como agregar aplicaciones a la galería de
aplicaciones o configurar una aplicación para que use proxy de aplicación. Sin embargo, de forma
predeterminada, todos los usuarios del directorio tienen la capacidad de registrar objetos de entidad de
seguridad de aplicación y servicio. También tienen discreción sobre qué aplicaciones pueden acceder a los datos
de su organización mediante el consentimiento del usuario.
Se recomienda deshabilitar el consentimiento del usuario para que las cuentas que no tienen privilegios no
puedan crear objetos de entidad de seguridad de aplicación y servicio en el inquilino. En su lugar, delegar roles
de administración de aplicaciones de miembros del equipo, como el administrador de aplicaciones, el
programador de aplicaciones o los roles de administrador de aplicaciones en la nube. El uso de roles
centralizará el proceso de toma de decisiones en torno al consentimiento con los equipos de seguridad e
identidad de su organización.
Cuando sea posible, integre aplicaciones SaaS compatibles con la galería de aplicaciones de Azure AD, donde
puede encontrar aplicaciones preconfiguradas que funcionen con Azure AD. Si la aplicación no está disponible
en la galería de aplicaciones de Azure AD, puede agregar la aplicación no listada en el Portal de Azure AD.
En entornos híbridos, puede habilitar el acceso remoto seguro a las aplicaciones heredadas mediante el proxy
de aplicación de Azure AD. El proxy de aplicación permite a los usuarios tener acceso a aplicaciones web locales
sin una VPN mediante su cuenta de Azure AD.
Como alternativa, puedes proteger el acceso a aplicaciones heredadas si estás usando alguna de las siguientes
soluciones de red o entrega de aplicaciones de terceros:
Akamai Enterprise application access (EAA)
Citrix Application Delivery Controller (ADC)
F5 Big-IP APM
Acceso privado de Zscaler (ZPA)
Además de las recomendaciones anteriores, también recomendamos que bloquee aún más el espacio
empresarial configurando las siguientes opciones en el portal de Azure AD.

Registros de la aplicación
Los usuarios pueden registrar
aplicaciones
No Para organizaciones educativas,
Microsoft recomienda impedir que las
cuentas que no tienen privilegios creen
objetos de entidad de seguridad de
aplicación y servicio en el inquilino. En
su lugar, asigne miembros del equipo
explícitamente a roles de
administración de aplicaciones, como el
administrador de aplicaciones, el
programador de aplicaciones o los
roles de administrador de aplicaciones
en la nube.
Configuración de identidades externas
Solo permitir inquilinos
de la misma
organización
Los permisos de invitado
son limitados
No Los invitados provienen de
inquilinos conocidos.
Solo pueden invitar los
administradores y usuarios
con el rol de invitador de
usuarios invitados
Sí La invitación de invitado se
puede delegar cuando las
invitaciones solo se
permiten a dominios
especificados.
Los miembros pueden
invitar, los invitados pueden
invitar
No Más control sobre quién
está invitado en el espacio
empresarial al permitir que
determinados
administradores o
administradores/usuarios
con el rol de invitado
invitado inviten a invitados.
Habilitar el código de
acceso de un solo uso de
correo electrónico para
invitados (versión
preliminar)
No Los invitados provienen de
inquilinos conocidos.
Habilitar el registro de
autoservicio de invitado a
través de flujos de usuario
(versión preliminar)
No Las invitaciones solo se
permiten a dominios
especificados y las cuentas
de usuario son cuentas de
Azure AD en esos otros
inquilinos.

Restricciones de
colaboración: permitir
invitaciones solo a los
dominios especificados
Más restrictivo Microsoft recomienda esta
configuración para
organizaciones grandes con
varios inquilinos que usarán
las características de
colaboración B2B para
proporcionar acceso entre
los inquilinos.
Al establecer la
configuración de
colaboración en Permitir la
invitación solo a dominios
especificados (más
restrictivo), se incluyen
todos los dominios que
forman parte de la
organización en la lista de
permitidos que denegarán
automáticamente
invitaciones a otros
dominios. O bien, si su
escuela tiene una asociación
con otras organizaciones,
puede restringir las
invitaciones solo a esas
organizaciones
agregándolos a la lista de
permitidos.
Permitir colaboración
fuera de la propia
organización
Los permisos de invitado
son limitados
Sí Los invitados pueden ser de
fuera de la propia
organización, esta
configuración los limitará
desde determinadas tareas
de directorio, como
enumerar usuarios, grupos
u otros objetos de
directorio.
Solo pueden invitar los
administradores y usuarios
con el rol de invitador de
usuarios invitados
No Se recomienda mantener las
invitaciones controladas con
un grupo de
administradores delegados
cuando se establecen
restricciones de
colaboración para permitir
que la invitación se envíe a
cualquier dominio.

Los miembros pueden
invitar, los invitados pueden
invitar
No Más control sobre quién
está invitado en el espacio
empresarial al permitir que
determinados
administradores o
administradores/usuarios
con el rol de invitado
invitado inviten a invitados.
Habilitar el código de
acceso de un solo uso de
correo electrónico para
invitados (versión
preliminar)
Sí Se recomienda OTP al
invitar a usuarios de fuera
de su propia organización.
Habilitar el inicio de sesión
de autoservicio de invitado
a través de flujos de usuario
(versión preliminar)
No Es preferible controlar las
invitaciones sobre permitir
que los invitados se inscriba
de forma independiente en
el inquilino.
Restricciones de
colaboración: permitir el
envío de invitaciones a
cualquier dominio
Más inclusivo Configuración recomendada
cuando es necesario
colaborar con varios otros
inquilinos, por ejemplo, al
colaborar con socios,
consultores externos, otras
organizaciones educativas,
etc.
Configuración de vistas previas de características de usuario
Los usuarios pueden usar la
característica de vista previa para Mis
aplicaciones
None/Selected/All La configuración depende del uso y la
necesidad del portal de Mis
aplicaciones y sus características.
Puedes considerar usar el portal de
Mis aplicaciones para proporcionar
acceso a las aplicaciones basadas en la
nube de tu organización solo al
personal o a todos los usuarios,
incluidos los alumnos.
Los usuarios pueden usar la
experiencia de registro de información
de seguridad combinada
Todo Se recomienda usar métodos de
autenticación mejorados como
credenciales sin contraseña y acceso
condicional para proteger el registro
de información de seguridad.

Los administradores pueden acceder a
Mi personal
None/Selected/All La configuración depende del uso y la
necesidad de Mi personal. Puede
considerar usar Mi personal para
delegar tareas comunes del
departamento de soporte técnico al
personal.
Mi personal le permite delegar en una
figura de autoridad, como un director
de escuela, los permisos para
garantizar que los miembros del
personal puedan acceder a sus cuentas
de Azure AD. En lugar de depender de
un departamento de soporte técnico
central, las organizaciones pueden
delegar tareas comunes, como
restablecer contraseñas o cambiar
números de teléfono a, por ejemplo,
un director de escuela. Con Mi
personal, un usuario que no puede
acceder a su cuenta puede recuperar el
acceso en un par de clics sin necesidad
de departamento de soporte técnico
ni personal de TI.
Configuración de administración de grupos
Administración de
grupos de autoservicio
Los propietarios pueden
administrar solicitudes de
pertenencia a grupos en el
Panel de acceso
No Los grupos de inquilinos
educativos pueden tener
acceso a recursos
confidenciales (por ejemplo,
acceso a la información de
los alumnos) que deben
estructurarse y regularse. La
administración iniciada por
el usuario no se recomienda
para estos escenarios
Restringir la capacidad del
usuario para acceder a las
características de grupos en
el Panel de acceso. Los
administradores (global, de
grupo y de usuario) tendrán
acceso independientemente
del valor de esta
configuración
Sí Los grupos de inquilinos
acceso a recursos
Grupos de seguridad

Los usuarios pueden crear
grupos de seguridad en
Azure Portals
acceso a recursos
Propietarios que pueden
asignar miembros como
propietarios de grupos en
Azure Portals
Ninguno Los grupos de inquilinos
acceso a recursos
Grupos de Office 365
Los usuarios pueden crear
Office 365 en Azure Portals
acceso a recursos
Propietarios que pueden
asignar miembros como
propietarios de grupos en
Azure Portals
Ninguno Los grupos de inquilinos
acceso a recursos
Enterprise de aplicaciones
Aplicaciones
empresariales

Los usuarios pueden
consentir que las
aplicaciones accedan a
datos de la empresa en su
nombre
No Las aplicaciones que
requieren consentimiento
deben revisarse a través de
un proceso definido con la
propiedad establecida
mediante flujos de trabajo
de solicitud de
consentimiento de
administrador
Los usuarios pueden
consentir que las
aplicaciones accedan a los
datos de la empresa para
los grupos que poseen
No Las aplicaciones que
requieren consentimiento
deben revisarse a través de
un proceso definido con la
propiedad establecida
mediante flujos de trabajo
de solicitud de
consentimiento de
administrador
Los usuarios pueden
agregar aplicaciones de
galería a su Panel de acceso
acceso a recursos
Solicitudes de
consentimiento de
administrador (versión
preliminar)
Los usuarios pueden
solicitar el consentimiento
de administrador a las
aplicaciones a las que no
pueden dar su
consentimiento
No Al habilitar esta
configuración, todos los
usuarios del espacio
empresarial podrán solicitar
el consentimiento, lo que
podría dar lugar a una gran
cantidad de solicitudes de
consentimiento enviadas a
los administradores. Si los
administradores no pueden
o no quieren administrar las
solicitudes, los usuarios
pueden confundirse.
Seleccionar usuarios para
revisar solicitudes de
consentimiento de
administrador
N/D Solo es aplicable si la
característica de solicitud de
consentimiento de
administrador está
habilitada

Los usuarios seleccionados
recibirán notificaciones por
correo electrónico para las
solicitudes
consentimiento de
administrador está
habilitada
Los usuarios seleccionados
recibirán avisos de
expiración de solicitudes
consentimiento de
administrador está
habilitada
La solicitud de
consentimiento expira
después (días)
consentimiento de
administrador está
habilitada
Office 365 Configuración
Los usuarios solo pueden
ver Office 365 aplicaciones
en el portal Office 365 web
No Al usar el portal de Mis
aplicaciones, esta
configuración debe
establecerse en "No" si
quieres que Office 365
aplicaciones se muestren en
Mis aplicaciones.
https://docs.microsoft.com/
en-us/azure/active-
directory/manage-aplicacio
nes/access-panel-
deployment-plan
Configuración de gobierno de identidades
Impedir que el usuario externo inicie
sesión en este directorio
Sí Cuando un usuario externo pierde su
última asignación a cualquier paquete
de acceso que se debe bloquear, a
continuación, quítelos del espacio
empresarial.
Quitar usuario externo Sí Cuando un usuario externo pierde su
de acceso que se debe bloquear, a
empresarial.
Número de días antes de quitar el
usuario externo de este directorio
30 Cuando un usuario externo pierde su
de acceso que debe bloquear y, a
empresarial
Administre el ciclo de vida de los usuarios externos agregados a través de paquetes de acceso especificando lo
que sucede cuando pierden su última asignación de paquete de acceso.

Configuración de restablecimiento de contraseña
Propiedades
Restablecimiento de
contraseñas de autoservicio
habilitado
Seleccionar a los usuarios Se recomienda restablecer
la contraseña de
autoservicio para todos los
usuarios que puedan usar
su teléfono móvil para texto
y puedan instalar y
configurar la Microsoft
Authenticator aplicación.
Métodos de
autenticación
Número de métodos
necesarios para restablecer
2 Dos métodos proporcionan
un equilibrio entre facilidad
de uso y seguridad.
Métodos disponibles para
los usuarios
Notificación de aplicación
móvil, código de aplicación
móvil, correo electrónico y
teléfono móvil (solo SMS)
Mobile App proporciona los
métodos criptográficos más
modernos y seguros.
A continuación, el correo
electrónico o SMS se
pueden usar como una
opción adicional.
Recomendamos
encarecidamente
implementar métodos de
autenticación sin
contraseña en cuentas en
inquilinos edu. Esto mejora
la experiencia del usuario.
Registro
¿Requiere que los usuarios
se registren al iniciar sesión?
Sí Con este valor, las cuentas
se interrumpirán para
proporcionar el registro a
SSPR al iniciar sesión por
primera vez. Esto ayuda a
incorporar cuentas con una
línea base coherente.
Número de días antes de
que se pida a los usuarios
que vuelvan a confirmar su
información de
autenticación
180
Notificaciones
¿Notificar a los usuarios
sobre restablecimientos de
contraseña?
Sí Las notificaciones
proporcionarán visibilidad
de esta operación de
administración de
credenciales confidencial.

¿Notificar a todos los
administradores cuando
otros administradores
restablecen su contraseña?
Sí Las notificaciones
proporcionarán visibilidad
de esta operación de
administración de
credenciales confidencial.
Configuración de seguridad
Directiva de método de
autenticación
Clave de seguridad FIDO2 Sí: seleccionar usuarios
Microsoft Authenticator de
inicio de sesión sin
contraseña
Sí: seleccionar usuarios
Mensaje de texto No Teléfono número debe
asignarse a todos los
usuarios que necesiten usar
esta característica.
Si no hay ningún caso de
uso sólido para esta
funcionalidad, no se
garantiza la sobrecarga de
agregar los números de
teléfono.
Pasos siguientes
Diseñar una estrategia de cuenta

Diseñar estrategias de autenticación y credenciales
MÉTODO DE AUTENTICACIÓN
AUTENTICACIÓN DE INICIO DE
SESIÓN SSPR Y MFA
Password Sí
Windows Hello para empresas Sí
Aplicación Microsoft Authenticator Sí (versión preliminar) MFA y SSPR
Claves de seguridad de FIDO2 Sí (versión preliminar) Solo MFA
SMS Sí (versión preliminar) MFA y SSPR
Llamada de voz No MFA y SSPR
Preguntas de seguridad No Solo SSPR
Dirección de correo electrónico No Solo SSPR
NOTE
En este artículo se describen las acciones necesarias para proteger y administrar credenciales y métodos de
autenticación en una organización educativa que abarca varios inquilinos.
Las credenciales son específicas de la identidad de un usuario. Por ejemplo, su nombre de usuario y contraseña
individuales, PIN o información biométrica. Todos los usuarios, incluidos los administradores de TI, los
profesores, los empleados y los alumnos tienen credenciales.
Un método de autenticación es cómo el usuario envía o atestigua sus credenciales. Por ejemplo, un usuario
introduce sus credenciales en una pantalla de inicio de sesión o a través de la aplicación Microsoft Authenticator
en la que han configurado su cuenta.
Los métodos de autenticación también se pueden dividir en categorías o tipos, como:
Autenticación de inicio de sesión
Autenticación de restablecimiento de contraseña
Autenticación multifactor
La autenticación de inicio de sesión es cuando el usuario escribe las credenciales inicialmente. El
restablecimiento de contraseñas de autoservicio (SSPR) y la autenticación multifactor (MFA), son tipos
adicionales de autenticación.
En la tabla siguiente se muestra cómo se pueden usar varios métodos de autenticación en estos escenarios.
Para habilitar la funcionalidad de vista previa para la autenticación de inicio de sesión, abra Azure Portal, seleccione Azure
Active Directory > Métodos de autenticación de seguridad > > Directiva de método de autenticación (versión
preliminar) y habilite los métodos de vista previa que desee usar demasiado.

Tipos de autenticación
Autenticación sin contraseña
Autenticación de restablecimiento de contraseña
Autenticación multifactor
Las contraseñas y los PIN son tipos de credenciales comunes. Los tipos menos comunes incluyen contraseñas
de imagen y bloqueos de patrones. La autenticación biométrica también aumenta en popularidad. La biometría
identifica a un usuario a través del reconocimiento facial, una huella digital o una impresión de retina.
Una solución sin contraseña es el método de autenticación más cómodo y seguro. La autenticación sin
contraseña elimina los inconvenientes de tener que recordar las contraseñas y responder a la autenticación
multifactor. Es más seguro porque reduce el riesgo de ataques de suplantación de identidad (phishing) y de
espray de contraseñas quitando las contraseñas como superficie de ataque. Microsoft admite los siguientes
métodos de autenticación sin contraseña
Windows Hello para empresas. Windows Hello para empresas es ideal para los usuarios que tienen
un equipo Windows equipo. Las credenciales biométricas y pin están vinculadas al equipo del usuario, lo
que impide el acceso de cualquier persona que no sea el usuario designado y evita el acceso no
autorizado. Con la integración de la infraestructura de clave pública (PKI) y la compatibilidad integrada
con el inicio de sesión único (SSO), Windows Hello para empresas proporciona un método cómodo para
acceder sin problemas a los recursos locales y en la nube.
Microsoft Authenticator aplicación. La Authenticator convierte tu teléfono iOS o Android en una
credencial segura y sin contraseña. Los usuarios pueden iniciar sesión en cualquier plataforma o
explorador obteniendo una notificación en su teléfono, haciendo coincidir un número mostrado en la
pantalla con el de su teléfono y, a continuación, usando sus credenciales biométricas (táctiles o faciales) o
PIN para confirmar. Aunque este artículo hace referencia a Microsoft Authenticator aplicación, hay otras
aplicaciones de autenticación en el mercado.
Clave de seguridad FIDO2. Las claves de seguridad FIDO2 permiten a los usuarios iniciar sesión en
sus recursos sin un nombre de usuario o contraseña con una clave de seguridad externa o una clave de
plataforma integrada en un dispositivo.
Para obtener más información, vea Passwordless authentication options for Azure Active Directory.
Los restablecimientos de contraseña de los usuarios son una de las mayores fuentes de volumen y costo para
los servicios de ayuda. El restablecimiento de contraseñas de autoservicio (SSPR) de Azure AD ofrece a los
usuarios la capacidad de cambiar o restablecer su contraseña, sin intervención del administrador ni del
departamento de soporte técnico. Además de reducir los costos, SSPR mitiga los riesgos de los usuarios y
mejora la posición de seguridad de la organización. Si la cuenta de un usuario está bloqueada o comprometida,
o si olvida su contraseña, puede seguir las indicaciones para desbloquearse y volver al trabajo.
Cualquier cambio de contraseña con SSPR requiere que las contraseñas cumplan con la directiva de contraseña
de Azure AD. Estas directivas determinan la complejidad, longitud, expiración y caracteres aceptables necesarios.
Si la contraseña no cumple los requisitos de directiva de Azure AD (o AD local), se le pedirá al usuario que
vuelva a intentarlo.
Se recomienda requerir MFA para estudiantes universitarios, profesores, el departamento de TI y otros
empleados. Estos grupos pueden ser más activos en Internet y, por lo tanto, más susceptibles a un ataque
cibernético.
La autenticación multifactor requiere que un usuario proporcione una forma adicional de autenticación.
Proporciona seguridad adicional al requerir una segunda forma de autenticación, como:
Código de un mensaje de texto SMS.

Habilitar SSPR y Azure MFA
Habilitar SSPR
NOTE
Responder a una llamada de voz del teléfono.
Proporcionar un código desde o información biométrica en la Microsoft Authenticator aplicación.
Uso de un token de hardware de OAUTH.
Habilite SSPR y MFA para mantener el entorno más seguro. Los usuarios deben registrarse para estos servicios.
SSPR se administra en Azure Portal en Azure Active Directory > restablecimiento de contraseña y le permite
elegir entre la siguiente lista de métodos de autenticación:
Recomendado: por orden de preferencia
Notificación de aplicación móvil (disponible solo cuando el número de métodos necesarios para
restablecer está establecido en 2)
Código de aplicación móvil
Correo electrónico
Teléfono móvil (texto SMS)
No se recomienda si existen dos opciones recomendadas
Office teléfono (llamada de voz)
Preguntas de seguridad
Los métodos de autenticación que habilite estarán disponibles para todos los miembros del espacio empresarial. Dado
que las preguntas de seguridad son la opción menos segura, se recomienda no habilitarla a menos que no haya otros
métodos disponibles. Una llamada telefónica a un teléfono de oficina podría verse comprometida y tampoco se
recomienda a menos que no haya otra opción.
Le recomendamos que haga que SSPR esté disponible para todos los usuarios de su inquilino, excepto para los
alumnos de primaria y secundaria. Es posible que estos alumnos no tengan acceso a una segunda forma de
autenticación necesaria. Para esos alumnos, los profesores u otro personal deben tener asignado el rol de
administrador de contraseñas. Para habilitar SSPR para todos los usuarios excepto estos alumnos:
1. Cree un Microsoft 365 con un nombre descriptivo como "SSPR" en Azure Portal. Agregue todos excepto
los alumnos de primaria y secundaria. En Azure AD, puede crear reglas basadas en atributos para
habilitar las pertenencias dinámicas para grupos. Se recomienda este enfoque si ya está capturando
atributos que indican el nivel del alumno. Si necesita incluir invitados externos, vea Grupos dinámicos y
Azure Active Directory colaboración B2B.
2. Vaya a Azure Active Directory > Seguridad > restablecimiento de contraseña, elija Seleccionado
y, a continuación, seleccione ese grupo.

Habilitar Azure MFA
NOTE
Habilitar el registro combinado de información de seguridad
Se recomienda habilitar MFA en los inquilinos y requerir MFA para los administradores de TI y cualquier
persona con acceso a registros de alumnos que no son suyos o secundarios. Se aplica MFA mediante directivas
de acceso condicional.
Una vez habilitada la MFA, los usuarios deben establecer una de las siguientes opciones como su método de
autenticación multifactor predeterminado:
Microsoft Authenticator: notificación (más recomendada)
Microsoft Authenticator aplicación o token de hardware: código
Mensaje de texto SMS
Teléfono llamada (menos recomendada)
No se recomienda habilitar MFA para alumnos de primaria, secundaria y secundaria. Por lo general, mfa se usa para evitar
el riesgo de la cuenta y los daños causados por un actor malo. Los alumnos deben tener acceso solo a su propia
información, con un potencial limitado de daños. Además, es posible que los alumnos más pequeños no tengan acceso a
una segunda forma de autenticación.
Existen dos métodos para habilitar Azure MFA. Se recomienda usar Azure AD Identity Protection para
administrar el lanzamiento mediante la configuración de una directiva de acceso condicional para requerir el
registro de MFA. La protección de identidades requiere que los administradores tengan una licencia de Azure AD
P2. vea How To: Configure the Azure Multi-Factor Authentication registration policy.
Si no tiene una licencia Azure AD Premium P2, puede seguir utilizando una directiva de acceso condicional para
requerir Azure Multi-Factor Authentication en circunstancias específicas. Si los administradores no tienen
licencias de Azure AD P2, consulte Tutorial: Proteger los eventos de inicio de sesión de usuario con Azure Multi-
Factor Authentication.
Con el registro combinado de información de seguridad, los usuarios pueden registrarse una vez y obtener las
ventajas de SSPR y Azure Multi-Factor Authentication (MFA).
Habilite el registro combinado para todos los usuarios y cree una directiva de acceso condicional para requerir
el registro para los mismos usuarios para los que ha habilitado SSPR. Puede usar el mismo Office 365 grupo.
Requerir el registro exige cuándo y cómo se registran los usuarios para SSPR y Azure MFA.
SSPR y MFA se desencadenan solo cuando las condiciones de una directiva de acceso condicional requieren que
el usuario las haga. Debe crear directivas de acceso condicional para aplicar las directivas de seguridad.

NOTE
Educar a los usuarios
Instalar la Microsoft Authenticator aplicación
Protección de contraseñas de Azure AD
Para los inquilinos creados antes de agosto de 2020, debe habilitar el registro combinado de información de seguridad.
Para los inquilinos creados después de agosto de 2020, está habilitado de forma predeterminada.
Para obtener más información, vea Enable combined security information registration in Azure Active Directory.
Antes de que los usuarios puedan empezar a usar SSPR o MFA, deberán registrar su información de seguridad.
Se recomienda comprender la experiencia del usuario y, a continuación, desarrollar un plan para compartir el
conocimiento y educar a los usuarios según sea necesario.
Para obtener más información, consulte la siguiente documentación del usuario final:
Configurar la información de seguridad desde un símbolo del sistema de inicio de sesión
Configurar la aplicación Microsoft Authenticator como el método de comprobación
Configurar una aplicación de autenticación como método de verificación en dos factores
Configurar un dispositivo móvil como método de verificación en dos factores
Configurar un teléfono de oficina como método de verificación en dos factores
¿Qué es la página Verificación adicional?
Microsoft proporciona plantillas de comunicación de usuario final para MFA y SSPR. Puede modificar estas
plantillas para ayudar a educar a los usuarios. También proporcionamos planes de implementación para varios
métodos de autenticación. Vea Implementar autenticación.
Los usuarios que usarán la aplicación Microsoft Authenticator para SSPR o MFA deben instalar la versión más
reciente de la Microsoft Authenticator aplicación.
Google Android. En tu dispositivo Android, ve a Google Play para descargar e instalar la Microsoft
Apple iOS. En el dispositivo iOS de Apple, ve a la App Store para descargar e instalar la Microsoft
Si no se encuentra actualmente en su dispositivo móvil, los usuarios aún pueden obtener la aplicación Microsoft
Authenticator mediante el envío de un vínculo de descarga desde la Microsoft Authenticator web.
A pesar de los intentos de proporcionar a los usuarios instrucciones sobre cómo elegircontraseñas, a menudo se
producen contraseñas débiles o inseguras. No es raro que los usuarios creen contraseñas basadas en términos
fáciles de recordar, como el nombre de la escuela, una mascota de equipo, el nombre de un profesor popular,
entre otros.
Azure AD Password Protection incluye de forma predeterminada listas globales de contraseñas prohibidas. Estas
listas se aplican automáticamente a todos los usuarios para detectar y bloquear contraseñas que son
susceptibles de ataques de spray de contraseña. Para satisfacer sus propias necesidades de seguridad, puede
definir sus propias entradas en una lista de contraseñas prohibidas personalizada. Cuando los usuarios cambian
o restablecen sus contraseñas, estas listas de contraseñas prohibidas se comprueban para aplicar el uso de
contraseñas más seguras.
Smart Lockout también ayuda a protegerte de los actores que usan métodos de fuerza bruta para adivinar las

Informes de seguridad
Protección de identidad
contraseñas de los usuarios. De forma predeterminada, el bloqueo inteligente bloquea la cuenta de los intentos
de inicio de sesión durante un minuto después de 10 intentos fallidos. La cuenta se bloquea de nuevo después
de cada intento de inicio de sesión fallido, durante un minuto al principio y durante más tiempo en los intentos
posteriores. El bloqueo inteligente siempre está listo para todos los clientes de Azure AD. La configuración
predeterminada ofrece un equilibrio entre seguridad y facilidad de uso. La personalización de la configuración
de bloqueo inteligente, con valores específicos de su organización, requiere licencias Azure AD Premium P1 o
superiores para los usuarios.
Para limitar la exposición a amenazas potenciales, use las funcionalidades deinformes disponibles en Azure AD .
Azure AD admite informes de inicio de sesión y registro de auditoría, informes de seguridad en torno a
detecciones de riesgos e informes para ayudarle a comprender cómo funcionan los métodos de autenticación
de Azure MFA y SSPR en su organización.
Azure Active Directory tiene muchas capacidades que identifican y generan alertas automáticamente para quitar
la latencia entre la detección y la respuesta a los ataques. Para aprovechar al máximo estas funcionalidades, se
recomienda usar Azure AD Identity Protection. Esta característica requiere una licencia de Azure AD P2. Como
mínimo, se recomienda usar Identity Protection para todos los administradores.
Hay tres informes clave que los administradores usan para las investigaciones en Identity Protection:
Informe de usuarios arriesgados. El riesgo de usuario indica la probabilidad de que la identidad de
un usuario se vea comprometida y se calcule en función de las detecciones de riesgo de usuario para esa
identidad. Una directiva de riesgo de usuario es una directiva de acceso condicional que evalúa el nivel de
riesgo para un usuario o grupo específico. En función de los niveles de riesgo bajo, mediano y alto, se
puede configurar una directiva para bloquear el acceso o requerir un cambio de contraseña seguro
mediante la autenticación multifactor.
Informe de inicios de sesión arriesgados. El riesgo de inicio de sesión es la probabilidad de que
alguien que no sea el propietario de la cuenta intente iniciar sesión con la identidad. Una directiva de
riesgo de inicio de sesión es una directiva de acceso condicional que evalúa el nivel de riesgo para un
usuario o grupo específico. En función del nivel de riesgo (alto/medio/bajo), se puede configurar una
directiva para bloquear el acceso o forzar la autenticación multifactor. Asegúrese de forzar la
autenticación multifactor en inicios de sesión de riesgo medianos o superiores.
Informe de detecciones de riesgos. Permite a los administradores identificar y corregir los siguientes
tipos de detecciones de riesgos:
Viajes atípicos
Dirección IP anónima
Propiedades de inicio de sesión desconocidas
Dirección IP vinculada a malware
Credenciales filtradas
Inteligencia de amenazas de Azure AD
El siguiente recurso puede ayudarle a operar sus estrategias de administración de riesgos.
Planeación de la supervisión y la presentación de informes
Cómo investigar el riesgo

Registros de auditoría e informes de inicio de sesión
Métodos de autenticación uso & insights
Recomendaciones
Métodos de autenticación
TIPO DE CUENTA INICIO DE SESIÓN SSPR AZURE MFA
Estudiantes (escuela
primaria)
Password
Estudiantes (secundaria) Password
Cómo corregir riesgos y desbloquear usuarios
Uso de la API Graph con protección de identidades
Microsoft mantiene la información de los informes de Protección de identidades durante un tiempo limitado. Se
recomienda exportar y archivar periódicamente en otras herramientas para una mayor investigación y
correlación. Las API Graph microsoft permiten recopilar estos datos para su posterior procesamiento en
herramientas como la solución de administración de eventos de seguridad e información (SIEM). Para obtener
información sobre cómo implementar estos informes, vea Introducción a Azure Active Directory Identity
Protection y Microsoft Graph.
El informe de registros de auditoría consolida los siguientes informes:
Informe de auditoría
Actividad de restablecimiento de contraseña
Actividad de registro de restablecimiento de contraseña
Actividad de grupos de autoservicio
Cambios en el nombre de grupo de Office365
Actividad de aprovisionamiento de cuentas
Estado de succión de contraseña
Errores de configuración de cuenta
Azure AD proporciona informes que puede usar para asegurarse de que los usuarios están registrados para
MFA y SSPR. Es posible que los usuarios que no se han registrado deba recibir información sobre el proceso.
Los métodos de autenticación & Ideas informe de uso incluye información sobre el uso de MFA y SSPR y le
ofrece información sobre cómo funciona cada uno en su organización. Tener acceso a la actividad de inicio de
sesión (y auditorías y detecciones de riesgos) para Azure AD es fundamental para solucionar problemas, análisis
de uso e investigaciones forenses.
Se recomienda que los profesores, los administradores y el personal de TI usen uno de los métodos de
autenticación sin contraseña siempre que sea posible. Cuando deba usar contraseñas, consulte la Guía de
contraseñas de Microsoft.
En la tabla siguiente se resumen los tipos de cuenta y nuestras recomendaciones para los tres tipos de
autenticación:

Estudiantes (secundaria) Contraseña o PIN
Authenticator aplicación si
hay teléfonos inteligentes
disponibles
Correo electrónico personal
del alumno
SMS
Llamada de voz
Estudiantes (universitarios) Contraseña o PIN
Authenticator aplicación si
hay teléfonos inteligentes
disponibles
Authenticator Aplicación
SMS
Authenticator app
SMS
Phone
Profesores Windows Hello para
empresas (PIN o Biométrica)
Clave de seguridad fido 2
•Authenticator App
SMS
Authenticator app
SMS
Phone
Personal de TI Sin contraseña (PIN,
biométrica, clave de
seguridad FIDO 2)
Authenticator Aplicación
SMS
Authenticator app
SMS
Phone
Padres Contraseña (Azure AD B2C) Authenticator Aplicación
SMS
Llamada de voz
Authenticator app
SMS
Phone
TIPO DE CUENTA INICIO DE SESIÓN SSPR AZURE MFA
Distribución de credenciales
Recomendaciones de seguridad de contraseñas
Se recomienda distribuir la autenticación a alumnos de primaria y secundaria mediante uno de los siguientes
métodos:
Correo electrónico de los padres
Teléfono móvil o fijo de los padres
Correo electrónico personal del alumno (si existe)
Una copia impresa de la contraseña temporal del alumno entregada a los profesores
Publicar contraseña en la dirección registrada del alumno
Para los formadores y administradores de TI, otros empleados y estudiantes de secundaria o universitarios usan
uno de los siguientes métodos:
Envíe por correo electrónico la contraseña temporal a la dirección de correo electrónico personal
Enviar contraseña temporal a través de SMS
Copia impresa de la contraseña temporal
Los administradores de TI siempre deben
Forzar la expiración de las contraseñas iniciales o por primera vez
Implementar una notificación automatizada de cambio o restablecimiento de contraseña
Además, proporcione a todos los usuarios las siguientes recomendaciones de seguridad de contraseña:
No anote ni almacene su contraseña de forma insegura.
No volver a usar contraseñas: mantener el historial de contraseñas.

Desafíos y mitigaciones
Expiración de contraseña
Actualización de información de usuario
Mantenimiento de suscripciones a grupos
No comparta su contraseña con nadie.
Usa una frase de contraseña en lugar de contraseña.
Cambie su contraseña si sospecha que su cuenta se ha visto comprometida.
Restablecer una contraseña proporcionada antes del primer uso.
La administración de credenciales puede ser un desafío. En esta sección se describen las características de Azure
AD que pueden ayudarle a mitigar los desafíos más comunes.
No recomendamos confiar en las expiraciones de contraseñas como medida de seguridad, ya que las
contraseñas pueden expirar durante las vacaciones escolares, lo que podría provocar un gran volumen de
ayuda. Este alto volumen afectaría especialmente a los alumnos más jóvenes que no están configurados para
SSPR porque es posible que no tengan acceso a formas de autenticación adicionales. La autenticación
multifactor, las directivas de acceso condicional y la supervisión de seguridad mitigan los problemas mejor que
las contraseñas que expiran.
Si la organización tiene habilitada la expiración de contraseñas, se recomienda que un administrador global o un
administrador de usuarios usen el módulo de Microsoft Azure AD para Windows PowerShell para establecer
contraseñas de usuario que nunca expiren o usar el cmdlet Set-MsolPasswordPolicy para modificar el período
de expiración.
Los administradores suelen administrar detalles de usuario: dispositivos, información de seguridad y
contraseñas para cada usuario. La actualización manual de esta información es tediosa y requiere mucho
tiempo.
Para solucionar este desafío, los administradores deben requerir que los usuarios usen Mi cuenta. Mi cuenta es
un portal de autoservicio que permite a los usuarios finales:
Configurar el restablecimiento de contraseña autoasistido
Configurar la autenticación en dos fases
Cambiar una contraseña
Deshabilitar un dispositivo si se pierde o se roba
Los estudiantes y los miembros del profesorado suelen encontrarse necesitando acceso a grupos con fines de
acceso o comunicación. El gran número de grupos y la frecuencia con la que los usuarios necesitan cambiar en
las instituciones educativas pueden convertir la administración de grupos en una tarea desalentadora para los
administradores.
En Microsoft 365 EDU, cada grupo creado a partir de School Data Sync se agrega automáticamente a una
unidad administrativa del centro educativo para facilitar la administración delegada y de ámbito para los grupos
de esa escuela.
Para la delegación y administración de grupos individuales, hay dos opciones adicionales.
La administración de grupos delegados permite a los administradores delegar la administración de la
pertenencia a grupos a un propietario de la empresa. Por ejemplo, si tu escuela tiene una aplicación a la que
solo deben tener acceso los alumnos de un departamento específico, normalmente agregas usuarios a un grupo
y asignas el acceso de grupo. A continuación, puede delegar responsabilidades de administración de

NOTE
Demasiadas contraseñas para recordar
pertenencia a un empleado de ese departamento. A continuación, el departamento administrará la pertenencia
al grupo, que proporciona acceso a la aplicación. En una configuración académica, se recomienda esto en la
administración de grupos de autoservicio.
La administración de grupos de autoservicio permite a todos los usuarios, incluidos los alumnos, crear y
administrar sus propios grupos de seguridad o grupos Microsoft 365 en Azure AD. El propietario del grupo
puede aprobar o denegar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos.
Evalúe exhaustivamente si permitir a los alumnos crear grupos es un estado deseado para su organización.
Las características de administración de grupos delegados y de administración de grupos de autoservicio solo están
disponibles con grupos Microsoft 365 y grupos de seguridad de Azure AD. No están disponibles para grupos de
seguridad habilitados para correo ni listas de distribución.
Los alumnos y el personal acceden a varias aplicaciones para completar su trabajo escolar, lo que puede requerir
que recuerden varias contraseñas únicas. Microsoft ofrece varias mitigaciones.
Se recomienda habilitar el inicio de sesión único (SSO) de Azure AD con todas las aplicaciones compatibles para
que los usuarios puedan acceder a todos los recursos con sus credenciales organizativas.
Windows 10 dispositivos unidos a Azure AD o unidos a Azure AD híbrido accederán sin problemas a las
aplicaciones habilitadas para SSO, siempre que el usuario que haya iniciado sesión tenga acceso.
Si su organización es híbrida y tiene equipos que ejecutan versiones de Windows 8 o versiones anteriores,
también puede implementar el inicio de sesión único sin problemas. SSO sin problemas evita los mensajes de
contraseña cuando los profesores y el personal inician sesión desde la red organizativa.

Diseñar una estrategia de cuenta
Cuentas solo en la nube
Cuentas híbridas
Cómo inscribirse
Las grandes instituciones académicas deben considerar cómo se crearán las cuentas de los alumnos, los
formadores y otros. En esta sección se describe cómo abordar la creación de cuentas en un EDU grande que
abarca varios inquilinos Azure Active Directory (Azure AD).
Se recomienda usar identidades solo en la nube cuando sea posible. Las identidades de solo nube se
representan mediante objetos de cuenta de usuario que se crean y mantienen en Azure Active Directory (Azure
AD). Con identidades de solo nube, todos los usuarios, grupos y contactos se almacenan en el inquilino de Azure
AD.
Las identidades solo en la nube son las mejores para las organizaciones que no usan los Servicios de dominio
de Active Directory (AD DS) para administrar identidades locales o tienen otras identidades locales. Su mayor
ventaja es su simplicidad, ya que no se necesitan servidores ni herramientas de directorio adicionales.
Se recomienda crear cuentas solo en la nube para organizaciones educativas que:
ya han integrado sus aplicaciones SaaS con Azure AD.
no se basan en AD DS local para administrar identidades.
le gustaría usar School Data Sync (SDS) para crear nuevas identidades de solo nube basadas en sus
sistemas de información de estudiantes en línea (SIS).
Las identidades híbridas se representan mediante objetos de usuario que se crean en un AD DS local y, a
continuación, se sincronizan con un inquilino de Azure AD. Estas cuentas crean una identidad de usuario común
para la autenticación y autorización. Las cuentas híbridas se usan normalmente cuando los usuarios requieren
acceso a una mezcla de aplicaciones locales y en la nube.
Las identidades híbridas son las mejores para las organizaciones que usan AD DS. Su mayor ventaja es que
permite a los usuarios usar las mismas credenciales al acceder a recursos locales o basados en la nube.
Crear y mantener cuentas híbridas es más complejo que administrar cuentas solo en la nube y solo se
recomienda para organizaciones educativas que:
necesidad de acceso a recursos locales y basados en la nube.
crear y administrar cuentas de usuario con AD DS u otro proveedor de identidades.
En la mayoría de los países, no hay acciones administrativas que la institución necesita realizar para inscribir
usuarios. Puede comunicar la disponibilidad de Office 365 A1, o Office 365 A1 Plus, a sus alumnos, profesores y
personal mediante el uso de contenido del kit de herramientas de marketing de Office 365 Campus. El kit de
herramientas contiene correos electrónicos con plantillas, pósteres, banners web y mucho más para ayudarle a
aumentar la concienciación entre los alumnos, los profesores y el personal. Póngase en contacto con su
representante de Microsoft si tiene preguntas específicas sobre los pasos que debería tomar su escuela.

Creación de cuentas M365 A1
Cuando Office 365 cuentas ya existen
Cuando los usuarios solo tienen correos electrónicos
Los clientes de algunos países deben configurar el espacio empresarial para permitir que los usuarios
verificados por correo electrónico se unan al espacio empresarial. Los administradores pueden Office 365 A1 o
Office 365 A1 Plus disponibles para los alumnos y profesores siguiendo estos pasos:
1. Instalar Microsoft Online Services Sign-In asistente para profesionales de TI.
2. Instale la versión más reciente de 64bits del módulo Azure Active Directory para Windows PowerShell .
3. Escriba el comando de Windows PowerShell siguiente para permitir que los usuarios nuevos se unan de
forma automática a su inquilino de Office 365:
Para obtener más información, vea ¿Qué pasos debemos seguir para que esto esté disponible para alumnos,
profesores y personal?
Hay varias formas de crear cuentas Office 365 para los usuarios. La forma de crear las cuentas depende del
estado actual.
Si su escuela tiene un entorno Office 365 existente en el que los alumnos, profesores o personal ya tienen una
cuenta profesional o educativa, Microsoft activará automáticamente y asignará licencias Office 365 EDU A1 a
cuentas existentes. Después de la activación, se notificará automáticamente a los usuarios de los servicios
adicionales disponibles, incluida la posibilidad de descargar Office 365 ProPlus si procede. Si el usuario ya tiene
una cuenta de Office 365 A1 Plus o cualquier otra licencia de Office 365 ProPlus asignada a través de su escuela,
se le redirigirá para que inicie sesión con sus credenciales existentes y reciba una notificación que incluya un
mensaje Instalar ahora.
Office 365 Educación proporciona un signo de autoservicio para los usuarios con direcciones de correo

Cuando los usuarios tienen cuentas locales
NOTE
electrónico educativas. Pueden registrarse en Office 365 A1, que incluye 1 TB de almacenamiento OneDrive para
la Empresa por usuario, Office para la Web, SharePoint Online y Yammer. Después de registrarse, los usuarios
reciben automáticamente una cuenta y pueden acceder a los servicios incluidos con Office 365 A1.
Por ejemplo, si un alumno usa su dirección de correo electrónico educativa "Student@fineartsschool.edu" para
registrarse, Microsoft las agregará automáticamente como usuario en el entorno
fineartsschool.onmicrosoft.com Office 365 escuela. Office 365 A1 se activará para su cuenta. Si asisten a una
escuela que es elegible para el beneficio de uso del estudiante, se les proporciona una licencia que les permite
instalar Office 365 ProPlus.
Un administrador puede configurar estas capacidades con el siguiente cmdlet de Azure AD:
Para obtener más información, vea Office 365 Educación Self-Sign: Preguntas más frecuentes técnicas.
La sincronización de cuentas híbridas es un proceso de dos pasos que incluye dos componentes: Azure AD
Conectar y School Data Sync.
Azure AD Conectar es la herramienta de Microsoft que se usa para sincronizar usuarios, grupos y otros objetos
locales de Active Directory con Azure AD. Se ejecuta en un servidor local, comprueba si hay cambios en AD DS y
reenvía esos cambios a Azure AD. Azure aD Conectar también proporciona la capacidad de filtrar qué cuentas
están sincronizadas y si autenticar usuarios mediante la sincronización de hash de contraseña (PHS),la
autenticación de paso a través (PTA)o mediante la federación .
Se recomienda usar Azure AD Conectar CON PHS para la autenticación, ya que es la forma más sencilla para que las
cuentas híbridas se autentiquen con Azure AD. Solo tiene que administrar un servidor y obtener un inicio de sesión único
sin problemas y autenticación multifactor en la nube. Algunas características premium de Azure AD, como Identity
Protection y Azure AD Domain Services,requieren la sincronización de hash de contraseña, independientemente del
método de autenticación que elijas.
Azure AD Conectar dos tipos de instalación para la instalación: Express y Custom. Express es el más común y se
diseñó para proporcionar una configuración que funcione para la mayoría de los escenarios de cliente. La
instalación rápida supone que tiene un solo bosque con menos de 100 000 objetos en su Active Directory local.
PHS se habilita automáticamente con esta opción.
Si tiene más de 100 000 objetos o varios bosques, use una instalación personalizada de Azure AD Conectar.
También use una instalación personalizada si tiene previsto usar la federación o la PTA para la autenticación de
usuario.
Para obtener más información, vea Seleccionar el tipo de instalación quese va a usar para Azure AD Conectar .
School Data Sync (SDS) es un servicio gratuito en Microsoft 365 Educación que lee los datos del Sistema de
información de estudiantes (SIS) de una escuela. Crea
Teams para Educación. SDS habilita la creación automática del equipo de clase basándose en grupos de
O365 creados por SDS y listas.
OneNote Blocs de notas de clase. SDS habilita el aprovisionamiento automatizado OneNote bloc de notas
de clase dentro de Teams para Educación. Cuando se habilita, cada bloc de notas de clase tendrá
secciones creadas y permisos establecidos en función de los datos de lista de clases SDS importados
durante la sincronización.
Exchange Online y SharePoint Online. SDS crea grupos Office 365 para mensajería en línea, uso

compartido de archivos y colaboración.
Intune para Educación. SDS crea grupos de seguridad basados en escuelas para la directiva de
dispositivos pormenorizados y también puede proporcionar licencias masivas automatizadas de Intune
para Educación para todos los alumnos y profesores sincronizados.
Aplicaciones SaaS. SDS se integra con numerosas aplicaciones dentro del Microsoft Store y habilita la
integración de las aplicaciones de Sign-On de inicio de sesión único (SSO).
SDS a menudo se implementa junto con Active Directory local y Azure AD Conectar. Puede usar Azure AD
Conectar para crear usuarios y grupos desde locales y, a continuación, usar SDS para sincronizar atributos
adicionales de alumnos y profesores del SIS con los objetos de cuenta creados por Azure AD Conectar.
Azure AD Conectar y SDS nunca estarán en conflicto, ya que SDS no sincronizará ni sobrescribirá ningún
atributo administrado por Azure AD Conectar. También puede crear usar SDS. En lugar de usar Azure AD
Conectar, puedes usar SDS para sincronizar y crear usuarios directamente desde el SIS.
Para obtener más información, vea Sync your SIS using School Data Sync (SDS).
Sincronización de cuentas de AD local con inquilinos de Azure AD
Sincronización de cuentas con inquilinos de Azure con SDS y SIS

Crear nuevas cuentas en masa
Desafíos y limitaciones
Licencias
En entornos híbridos con Active Directory local existente, use un script de PowerShell y un archivo CSV para
crear usuarios en masa. Una vez creadas, los administradores pueden sincronizar las cuentas con Azure AD
mediante Azure AD Conectar.
En entornos solo en la nube, exporte o cree archivos CSV para School Data Sync desde los datos de SIS,
configure un perfil de sincronización y cargue los CSV en SDS para crear nuevas cuentas de Azure AD solo en la
nube de forma masiva.
Aunque las EDUs grandes se beneficiarán de una arquitectura multiinquilino basada en la región, puede
presentar algunos desafíos para los usuarios que debe tener en cuenta, como:
Cada inquilino debe tener su propio espacio de nombres. Por ejemplo, region1.fineartsschool.edu.
Los usuarios tendrán que tener en cuenta su sufijo regional, por ejemplo, @
region1.fineartsschool.edu.
Los usuarios no podrán colaborar entre inquilinos mediante SharePoint, OneDrive y Microsoft Teams a
menos que un administrador lo habilite y configure.
MFA multiinquilino
Los usuarios deben registrarse para MFA en cada inquilino.
Los controles de estado de dispositivo (por ejemplo, compatibles) no se pueden aplicar entre
inquilinos.
No es necesario asignar licencias a los usuarios que realizan el registro de autoservicio para Office 365 A1.
Cuando los usuarios lo hacen, las licencias A1 o A1 Plus se asignan automáticamente.
Las licencias solo deben asignarse a los usuarios cuando se les requiera tener acceso a un servicio como
Exchange Online o SharePoint Online, que requieren una licencia.

Pasos siguientes
Las licencias basadas en grupos se recomiendan para las grandes organizaciones EDU que tienen:
Suscripción de pago o de prueba para Azure AD Premium P1 y superior
Edición de pago o de prueba de Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3
para GCCH o Office 365 E3 para DOD.
Las licencias se asignan a todos los miembros de un grupo y cuando se agregan nuevos miembros al grupo,
también se les asignarán las licencias correspondientes.
Si no es propietario de una de las licencias necesarias para licencias basadas en grupos, puede usar PowerShell
para asignar licencias como se describe en Asignar licencias Microsoft 365 a cuentas de usuario con PowerShell.
Otra opción es usar el centro Microsoft 365 administración para asignar manualmente licencias a los usuarios.
No se recomienda la asignación manual para organizaciones grandes.

Ciclo de vida de identidad
Aprovisionamiento de usuarios
Identity Governance es la administración de derechos de identidad y acceso en varias aplicaciones y servicios
para cumplir los requisitos normativos y de seguridad. El gobierno de identidades en Azure AD le permite
equilibrar la seguridad y la productividad garantizando que las personas correctas tengan el acceso correcto a
los recursos adecuados en el momento adecuado.
Identity Governance le permite administrar las siguientes tareas para servicios y aplicaciones tanto locales como
en la nube:
Gobierne el ciclo de vida de identidad. Automatice los eventos del ciclo de vida del usuario, como
agregar, mover y dejar acciones, para satisfacer las necesidades de seguridad y productividad.
Gobierne el ciclo de vida de acceso . Administre rápidamente los cambios en los derechos de acceso
mediante solicitudes de autoservicio y eventos de ciclo de vida de supervisión.
Acceso con privilegios seguros para la administración. Gobierne el acceso a recursos con
privilegios para mitigar el riesgo de derechos excesivos, innecesarios o mal usados.
Cuando la organización educativa abarca varios inquilinos de Azure AD, tendrá identidades internas, como
profesores y alumnos, e identidades externas, como el personal de otras escuelas.
Las identidades internas son aquellas creadas en el espacio empresarial que está administrando actualmente
Las identidades externas se crean fuera del inquilino actual y se concede acceso. Se pueden agregar
mediante [colaboración B2B de Azure AD](( https://docs.microsoft.com/azure/active-directory/external-
identities/what-is-b2b) .
La administración del ciclo de vida de la identidad ayuda a establecer las bases para el gobierno de identidades.
Deberá administrar la duración de las identidades internas y externas y sus relaciones con los recursos.
Todos los miembros de la organización tienen su propio subconjunto de recursos necesarios para su trabajo. Sin
una lista definida de lo que cada rol necesita para cada proyecto, administrar el acceso es un desafío. A medida
que las identidades internas o externas se unen, se mueven dentro o salen de una organización, su identidad y
acceso a recursos deben ajustarse con ellas. El aprovisionamiento automático de usuarios en Azure AD puede
ayudar a resolver este desafío facilitando la creación, el mantenimiento y la eliminación definitiva de identidades
de usuario en todas las aplicaciones para una mejor colaboración.
Los métodos de aprovisionamiento tradicionales, como cargar archivos CSV o scripts personalizados para
sincronizar datos de usuario, son propensos a errores, son inseguros y difíciles de administrar.
El aprovisionamiento automático hace referencia a la creación de identidades de usuario y roles en las
aplicaciones de la nube a los que los usuarios necesitan acceder. Además de crear identidades de usuario, el
aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario como
cambios de estado o roles.
Se recomienda que las grandes organizaciones educativas usen el servicio automatizado de aprovisionamiento
de usuarios de Azure AD. Este servicio ofrece integración con aplicaciones de recursos humanos (HR) basadas
en la nube, como Workday y SuccessFactors, y le permite aprovechar las siguientes ventajas:

Aprovisionamiento de usuarios entrantes
Aprovisionamiento de usuarios salientes
Acceso al ciclo de vida
Administración de grupos de autoservicio
Maximiza la eficacia y precisión de los procesos de aprovisionamiento
Ahorra en costos asociados con el hospedaje y el mantenimiento de scripts y soluciones de
aprovisionamiento desarrolladas a medida
Protege la organización quitando instantáneamente las identidades de los usuarios de las aplicaciones
SaaS clave cuando abandonan la organización
Aprovisiona fácilmente un gran número de usuarios a una aplicación o sistema SaaS en particular
Directivas coherentes que determinan quién está aprovisionado y quién puede iniciar sesión en una
aplicación
El aprovisionamiento de usuarios entrantes es el proceso cuando los datos de usuario fluyen desde las
aplicaciones de administración de capital humano (HCM) de una organización a Azure AD o Active Directory
local. La integración es posible cuando la aplicación HCM admite el protocolo SCIM. La integración también es
posible con sistemas HCM basados en la nube que proporcionan conectores de API de aprovisionamiento.
Para obtener más información, vea Plan cloud HR application to Azure Active Directory user provisioning.
El aprovisionamiento de usuarios salientes o el aprovisionamiento de aplicaciones hace referencia a la creación
automática de identidades de usuario y roles en las aplicaciones de software como servicio en la nube(SaaS)a
las que los usuarios deben tener acceso. El aprovisionamiento de aplicaciones está disponible para aplicaciones
preinstaladas en la galería de aplicaciones SaaSde Azure AD ) y aplicaciones compatibles con SCIM 2.0.
Para obtener más información, vea Plan an automatic user provisioning deployment.
Su organización EDU necesitará un proceso para administrar el acceso más allá de la creación y el
aprovisionamiento iniciales. Lo ideal es que también pueda escalar de forma eficaz para desarrollar y aplicar
controles y directivas de acceso de forma continua.
Cuando sea posible, use la administración de grupos de autoservicio para aprovechar las siguientes ventajas:
Seguridad. Los administradores pueden establecer reglas para los grupos que se crean en Azure AD en función
de los atributos de usuario. Esto permite que los miembros se agregan o quitan automáticamente de un grupo

Administración de derechos
Paquetes de acceso
de seguridad. Estos grupos dinámicos se pueden usar para proporcionar acceso a aplicaciones o recursos en la
nube y para asignar licencias a los miembros. Las directivas de acceso condicional pueden mejorar aún más la
seguridad al garantizar que los usuarios legítimos acceden a una aplicación. Por ejemplo, puedes seleccionar un
grupo que contenga todos los miembros del departamento de recursos humanos cuando se seleccione una
aplicación de RECURSOS como aplicación en la nube.
Rentable. Reduce el costo, el tiempo y la carga de trabajo de la compatibilidad de TI con la pertenencia a grupos
de autoservicio. La característica de administración de grupos de autoservicio le ofrece la capacidad de delegar
la administración de grupos a los usuarios. Con esta característica pueden crear grupos y administrar
pertenencias en grupos de su propiedad.
Autoservicio. Delega la administración de grupos a los usuarios. Las funciones de la característica de
administración de grupos de autoservicio permiten a los usuarios crear grupos y administrar pertenencias en
grupos de su propiedad. A continuación, estos grupos se pueden usar para asignar acceso a las aplicaciones. Por
ejemplo, si desea asignar acceso para que el departamento de profesores use cinco aplicaciones SaaS
diferentes, puede crear un grupo que contenga los usuarios del departamento de profesores y, a continuación,
asignar ese grupo a las cinco aplicaciones SaaS necesarias para el departamento de profesores.
Para obtener una vista detallada de la administración de grupos sin servicio, descargue las Azure Active
Directory Self-Service de administración de grupos.
Administrar el acceso de los usuarios a los recursos en EDU grandes es un desafío, aún más cuando se tiene una
combinación de usuarios internos y externos entre inquilinos. La administración de derechos permite a los
usuarios, incluidos los invitados, solicitar acceso a un paquete de acceso que concede acceso entre grupos,
aplicaciones y SharePoint web. También le permite administrar el ciclo de vida de identidad y acceso a escala
mediante la automatización de flujos de trabajo de solicitudes de acceso, asignaciones de acceso, revisiones y
expiración.
Estos son los tipos de recursos a los que puede administrar el acceso del usuario con Administración de
derechos:
Pertenencia a grupos de seguridad de Azure AD
Pertenencia a Microsoft 365 grupos y Teams
Asignación a aplicaciones empresariales de Azure AD, incluidas aplicaciones SaaS y aplicaciones
integradas personalizadas que admiten federación/inicio de sesión único o aprovisionamiento
Pertenencia a sitios SharePoint Online
La administración de derechos permite definir paquetes de acceso que representan un conjunto de recursos que
se asigna a los usuarios como una unidad, establecer un período de validez, flujos de trabajo de aprobación, etc.
Los paquetes de acceso permiten realizar una configuración única de recursos y directivas que administran
automáticamente el acceso durante la vida del paquete de acceso.
Los paquetes de acceso deben colocarse en un contenedor denominado catálogo. Un catálogo define qué
recursos puede agregar al paquete de acceso. Los catálogos se usan para la delegación, de modo que los que no
son administradores pueden crear sus propios paquetes de acceso. Los propietarios de catálogos están
habilitados para agregar recursos de su propiedad a un catálogo.
Como organización educativa, debe considerar la posibilidad de crear un catálogo por escuela y un paquete de
acceso para cada grado que contenga directivas y derechos de acceso a recursos específicos de esa calificación.
Cuando los alumnos avanzan a un siguiente grado o los profesores se mueven a otro grado, pueden solicitar
acceso al paquete de acceso para la nueva calificación mientras expira el acceso relacionado con su calificación
anterior.

Requisitos de licencia
NOTE
Revisiones de acceso
Los paquetes de acceso también deben tener al menos una directiva. Las directivas especifican quién puede
solicitar el paquete de acceso y la configuración de aprobación y ciclo de vida. Se recomienda usar
Administración de derechos para delegar a los usuarios que no son administradores la capacidad de crear
paquetes de acceso y definir directivas con reglas para las que los usuarios pueden solicitar, quién debe aprobar
su acceso y cuándo expira el acceso.
Los paquetes de acceso son los más adecuados en situaciones como las siguientes:
Los usuarios necesitan acceso limitado por tiempo para una tarea determinada. Por ejemplo, puede usar
licencias basadas en grupos y un grupo dinámico para garantizar que todos los empleados tengan un
buzón de Exchange Online y, a continuación, usar paquetes de acceso para situaciones en las que los
usuarios necesitan acceso adicional, como leer recursos departamentales de otro departamento.
El acceso debe ser aprobado por el administrador de un usuario u otras personas designadas.
Los departamentos desean administrar sus propias directivas de acceso para sus recursos sin
intervención de TI.
Dos o más escuelas colaboran en un proyecto y, como resultado, varios usuarios de una escuela tendrán
que ser llevados a través de Azure AD B2B para obtener acceso a los recursos de otra escuela.
Para obtener más información, vea Create a new access package in Azure AD entitlement management.
El uso de paquetes de Access requiere Azure AD Premium P2 licencia y es necesario para:
Usuarios miembros que pueden solicitar un paquete de acceso.
Usuarios miembros e invitados que solicitan un paquete de acceso.
Usuarios miembros e invitados que aprueban solicitudes para un paquete de acceso.
Usuarios miembros e invitados que tienen una asignación directa a un paquete de acceso.
Azure AD Premium P2 licencias no son necesarias para las siguientes tareas:
Usuarios con el rol Administrador global que configuren los catálogos iniciales, los paquetes de acceso y
las directivas, y deleguen tareas administrativas a otros usuarios.
Usuarios que han sido tareas administrativas delegadas, como el creador del catálogo, el propietario del
catálogo y el administrador de paquetes de acceso.
Invitados que pueden solicitar paquetes de acceso, pero no solicitan un paquete de acceso.
Por cada licencia Azure AD Premium P2 pago que compre para los usuarios miembros, puede usar Azure AD B2B para
invitar hasta 5 usuarios invitados. Estos usuarios invitados también pueden usar Azure AD Premium P2 características.
Para obtener más información, consulte Azure AD B2B collaboration licensing guidance.
Una vez que los usuarios se incorporen, necesitará un proceso que permita que el acceso de los usuarios cambie
a medida que cambian sus necesidades con el tiempo.
Tenga en cuenta lo siguiente:
As new users join, how do you ensure they have the right access to be productive?
A medida que las personas mueven equipos o salen de la escuela, ¿cómo se asegura de que se elimine su
antiguo acceso, especialmente cuando implica invitados?

Acceso con privilegios
Privileged Identity Management
Los derechos de acceso excesivos pueden provocar resultados de auditoría y compromisos, ya que
indican una falta de control sobre el acceso.
Debe interactuar proactivamente con los propietarios de recursos para asegurarse de que revisan
periódicamente quién tiene acceso a sus recursos.
Se recomienda usar Las revisiones de Azure AD Access para administrar eficazmente las pertenencias a grupos,
el acceso a aplicaciones y las asignaciones de roles. El acceso del usuario debe revisarse periódicamente para
asegurarse de que solo las personas correctas tienen acceso continuo.
El uso de revisiones de Access requiere Azure AD Premium P2 licencia y es necesario para:
Usuarios miembros e invitados asignados como revisores.
Usuarios miembros e invitados que realizan una autoexpación.
Propietarios de grupos que realizan una revisión de acceso.
Propietarios de aplicaciones que realizan una revisión de acceso.
Azure AD Premium P2 licencias no son necesarias para los usuarios con los roles Administrador global o
Administrador de usuarios que configuran revisiones de acceso, configuran la configuración o aplican las
decisiones de las revisiones.
Por cada licencia de Azure AD Premium P2 de pago que asigne a uno de los usuarios de su propia organización,
puede usar Azure AD empresa a empresa (B2B) para invitar hasta cinco usuarios invitados en la asignación de
usuario externo. Estos usuarios invitados también pueden usar Azure AD Premium P2 características. Para
obtener más información, consulte Azure AD B2B collaboration licensing guidance.
Otro ciclo de vida clave en el gobierno de identidades es el acceso con privilegios de los usuarios. Minimizar el
número de usuarios con acceso a recursos confidenciales ayuda a mantener un entorno seguro general, pero
todavía hay usuarios que necesitan derechos de administrador. Gobierne el acceso a los administradores para
mitigar el riesgo de derechos de acceso excesivos, innecesarios o incorrectos, tanto si son de su escuela como de
otra escuela.
Azure AD Privileged Identity Management (PIM) proporciona una activación de roles basada en el tiempo y
basada en la aprobación para mitigar los riesgos de permisos de acceso excesivos, innecesarios o incorrectos a
los recursos de Azure AD, Azure y otros Microsoft Online Services como Microsoft 365 o Microsoft Intune. Se
usa para proteger cuentas con privilegios al reducir el tiempo de exposición de privilegios y aumentar la
visibilidad de su uso a través de informes y alertas.
Estas son algunas de las características clave de Privileged Identity Management:
Proporcionar acceso con privilegios just-in-time a recursos de Azure AD y Azure
Asignar acceso con límite de tiempo a recursos mediante fechas de inicio y finalización
Requerir aprobación para activar roles con privilegios
Exigir la autenticación multifactor para activar cualquier rol
Usar justificación para comprender por qué se activan los usuarios
Obtener notificaciones cuando se activan roles con privilegios
Realizar revisiones de acceso para garantizar que los usuarios aún necesitan roles

Descargar historial de auditoría para auditoría interna o externa
Se recomienda usar PIM para administrar y controlar lo siguiente en su organización:
Habilitar la aprobación para roles específicos
Especificar usuarios o grupos aprobadores para aprobar solicitudes
Ver el historial de solicitudes y aprobación de todos los roles con privilegios
Aprobar o rechazar solicitudes de elevación de roles (única y masiva)
Proporcionar justificación para una aprobación o rechazo
Solicitar la activación de un rol que requiere aprobación
El uso de PIM requiere una Azure AD Premium P2 licencia y es necesario para:
Usuarios asignados como aptos para roles de Azure AD o Azure administrados mediante PIM.
Usuarios asignados como miembros elegibles o propietarios de grupos de acceso con privilegios.
Los usuarios pueden aprobar o rechazar solicitudes de activación en PIM.
Usuarios asignados a una revisión de acceso.
Usuarios que realizan revisiones de acceso.

Guía actualizada para la implementación de M365
EDU durante COVID-19
Información general
Teams estrategia de implementación Learning remoto
Fase 1: Habilitar a los formadores para Teams primero
The Office 365 Educación Team is excited to provide Office 365 and Teams for Remote Learning to Education
institutions and the students and educators they serve. La serie sin precedentes de eventos impulsados por
COVID-19 han generado una explosión sin precedentes en la demanda y el uso de O365 y Teams. Microsoft se
compromete a ayudar a los clientes edu y a atender a muchos estudiantes y formadores, lo más rápido posible,
en todo el mundo. Para satisfacer las necesidades de nuestros clientes globalmente y asegurarnos de que
seguimos entregando la experiencia de Teams Remote Learning para toda la comunidad de alumnos de Teams,
esta "guía básica" de implementación sirve como el proceso compatible mediante el cual las escuelas
implementan y adoptan Teams para el Learning remoto. Este enfoque se base en 3 principios operativos básicos:
Elección del profesor: los profesores y los profesores deben estar capacitados para impulsar la
enseñanza y el aprendizaje de acuerdo con sus necesidades específicas y únicas.
Escala predecible Y confiabilidad: las organizaciones EDU globales deben estar capacitadas para que
tengan éxito con instrucciones explícitas y procedimientos recomendados que, en conjunto, garanticen la
implementación correcta de Teams para el Learning.
Teams es un recurso compartido: compartimos colectivamente la responsabilidad de implementar y usar
Teams al mismo tiempo que garantizamos y conservamos la capacidad para que tantos otros usuarios de
Teams hagan lo mismo. Al igual que con otros recursos compartidos durante esta situación sin
precedentes, es nuestra responsabilidad actuar individualmente de una manera que beneficia a toda la
comunidad.
Este documento se dirige principalmente a los integradores de sistemas, los integradores de sistemas y los que
tienen el control operativo de la implementación de Office 365 y Teams. Un documento "complementario" muy
importante dirigido a los formadores y administradores que buscan comprender las mejores prácticas de
enseñanza y aprendizaje es un contexto importante para este documento. Vea: Introducción a la Microsoft
Teams para el aprendizaje remoto.
La aplicación de los principios operativos a la implementación de O365 y Teams da como resultado un enfoque
por cuatro fases que se describe en las secciones siguientes. Sabemos que el punto de partida será diferente
para cada cliente y, de hecho, muchas son implementaciones "completamente nuevas". Estas fases se escriben
para servir a nuevas implementaciones y se espera que los clientes que están parcialmente a través de algunas
o todas las fases se adapten a su punto de partida y continúen por ellas en orden.
Las organizaciones grandes con más de 200 000 alumnos y profesores deben interactuar con Microsoft a través
de FastTrack o el Administrador de cuentas de Microsoft local, para garantizar un proceso de incorporación
eficaz y un rendimiento optimizado para la implementación.
A continuación se proporciona un resumen de cada fase de implementación, la documentación de orientación y
las referencias más explícitas se proporcionan como vínculos cuando corresponda.
Esta fase permitirá a los formadores iniciar sesión en Office 365 y empezar a usar Teams. Este paso permite a los

IMPORTANT
Fase 2: Obtener alumnos habilitados para Teams
formadores familiarizarse con el producto que van a usar para interactuar con los alumnos. La familiarización y
la formación de los educadores, que aprovechan la variedad de recursos vinculados a los siguientes, es un paso
esencial para garantizar una implementación sin problemas. Por lo general, unos días para que los profesores
completen este paso es adecuado para recibir formación y familiarizarse con Teams. Los pasos de la fase 1
incluyen:
1. Crear todas las cuentas de profesores en AAD y asignar licencias mediante School Data Sync, PowerShell,
AAD Conectaro licencias basadas en grupos.
No habilite ni modifique licencias ni planes de servicio para más de 50.000 usuarios al día:
Si otorga licencias a usuarios en SDS o PowerShell, no cargue archivos CSV con más de 50.000 usuarios
nuevos al día.
Si otorga licencias a usuarios en licencias basadas en grupos, no seleccione grupos superiores a 50.000
usuarios.
2. Habilite Teams y Configure Teams Policy, instrucciones aquí.
3. Entrena a los formadores para que usen Teams, instrucciones aquí y aquí.
4. Entrena a los líderes escolares para que usen Teams, instrucciones aquí y aquí.
5. (Opcional) Habilite su Learning management system (LMS) para la Teams de reuniones, instrucciones
aquí.
Esta fase permitirá a los alumnos iniciar sesión Office 365 y empezar a usar Teams. Los pasos son 1) IT crea
cuentas de AAD y distribuye credenciales a todos los alumnos, y 2) Los alumnos usan un flujo web para licenciar
O365 y, a continuación, empezar a usar Teams. Los pasos de la fase 2 incluyen:
1. Crear todas las cuentas de estudiantes en AAD. El objetivo de este paso es permitir a los alumnos con una
identidad y credenciales que puedan usar para iniciar sesión en O365 y Teams, una vez que tienen
licencia. Solo debe crear y licenciar cuentas de alumnos que desea usar Office 365. Este paso se puede
realizar con una variedad de herramientas: AAD Conectar, SDS, PowerShell, etc.
2. Habilitación de licencias: pida a los alumnos que reclame sus licencias A1 Office 365 gratuita o que
apliquen licencias a cuentas de alumnos directamente. Si hay alumnos que no necesitan una licencia (por
ejemplo, quizás escuela primaria temprana), no les aprovisionen licencias. Instrucciones de decisión a
continuación:
a. Si su organización tiene menos de 200.000 usuarios, aplique licencias a los alumnos, siguiendo el
límite de velocidad de licencia de 50K/día.
b. Si su organización tiene más de 200.000 usuarios, trabaje con el equipo de incorporación de EDU para
optimizar el rendimiento.
3. Distribuya nombres de usuario y contraseña a los alumnos para que puedan iniciar sesión y empezar a
usar Office 365 y Teams. Si usa licencias de notificación automática, también tendrá que incluir
instrucciones para reclamar una licencia a través https://aka.ms/StudentTeamSetup de . Los medios
típicos para obtener a los alumnos sus credenciales de inicio de sesión son:
a. Nombre de usuario y contraseñas de correo electrónico a padres y tutores
b. Crear nombres de usuario y contraseña con valores y atributos identificables por el usuario
c. Imprimir combinaciones de nombre de usuario y contraseña y correo a alumnos

Fase 3: Los profesores comienzan a crear y usar clases Teams
Fase 4 (opcional): usar SDS para "Aprovisionar previamente" clases en AAD para que los profesores puedan
configurar sus Teams más rápido
Instrucciones para organizaciones grandes
4. Una vez que haya iniciado sesión Office 365, los alumnos pueden descargar la aplicación Teams para su
dispositivo: PC, Mac, Android o iOS. La dirección URL Teams descargas están aquí.
5. Entrena a los alumnos cómo usar Teams, instrucciones aquí y aquí.
Esta fase permitirá a profesores y alumnos empezar a usar class Teams para remote Learning. A partir de la
Teams, los profesores tienen la capacidad de crear Teams para cada clase y agregar a los alumnos en cada clase.
Esta es la forma más rápida y flexible para que los formadores usen Teams. Los pasos de la fase 3 incluyen:
1. Los educadores deben seguir las instrucciones aquí.
Esta fase es opcional. SDS "aprovisiona previamente" las clases en AAD para cada formador para que puedan
crear el equipo más fácilmente si así lo deciden. SDS almacena la información de clase y lista en forma de grupo
de Office 365 y la pone a disposición de la aplicación Teams para que cada formador cree sus equipos desde. La
creación de las clases en AAD requiere un administrador global de TI dentro del inquilino y Microsoft
proporcionará asistencia gratuita a TI durante esta fase desde el equipo de incorporación de EDU. Una vez
implementadas las clases por PARTE de LA, los formadores usarán la aplicación Teams para crear equipos
seleccionando sus clases a las que están asociados. Los pasos de la fase 4 incluyen:
1. Prepare y valide los datos de las secciones y listas de SDS, instrucciones aquí. Requiere que section.csv,
teacherroster.csv y studentenrollment.csv se rellenen.
2. Los administradores crean grupos de clases en AAD con SDS, instrucciones aquí.
3. Los formadores crean su clase Teams y durante la instalación: agregue Alumnos seleccionando el grupo de
clases creado por SDS, instrucciones aquí.
4. Capture las lecciones aprendidas y comparta los procedimientos recomendados para la fase 5.
Si su organización es grande, con más de 200.000 alumnos y profesores, debe interactuar con Microsoft a
través de FastTrack o el Administrador de cuentas de Microsoft local antes de implementarlo en Office 365. En
esta sección se documenta varios límites, recomendaciones y procedimientos recomendados para implementar
organizaciones grandes:
1. Límites de objetos:
a. Cada inquilino edu tiene un "límite de objetos de AAD".
b. Los objetos que se cuentan con este límite son usuarios, grupos, contactos y dispositivos.
c. Se producirá un error al intentar crear objetos que superen el límite establecido.
d. Los límites de objetos predeterminados Office 365 inquilinos EDU son 50.000 al crearse por primera
vez.
e. Los límites de objetos predeterminados aumentan automáticamente a 300.000 una vez que se agrega
un dominio personalizado y se comprueba EDU.
f. Si necesita un aumento del límite de objetos, abra un vale Office 365 y participe con el equipo de
incorporación de EDU.
2. Licencias A1 gratuitas:
a. Todos los inquilinos EDU recién creados reciben licencias de prueba de A1 gratuitas.
b. Una vez que un inquilino es EDU comprobado, el inquilino puede agregar 500K A1 licencias de

profesorado y 1M A1 Licencias de estudiante, de forma gratuita. No asigne licencias a una velocidad
superior a 50.000 por día.
3. Diseño de inquilino y usuario:
a. Los inquilinos no deben incluir más de 1 M de usuarios. Este no es un límite difícil, pero los inquilinos
grandes llevan más tiempo implementando inicialmente, requieren una planeación y aprobaciones
exhaustivas y son más difíciles de administrar las tareas administrativas diarias debido a la escala.
b. Los educadores y estudiantes deben estar ubicados en el mismo espacio empresarial, para un
comm/collab sin problemas dentro de Teams.
c. Si divide los inquilinos porque su organización supera el 1M:
i. Divida los usuarios por región geográfica para reducir el número de inquilinos a las migraciones de
inquilinos necesarias para las horas extra.
ii. Agregar usuarios invitados a un espacio empresarial cuenta con el límite de objetos de inquilino.
iii. Agregar más inquilinos da como resultado más tiempo para la administración centralizada: cada
cambio administrativo x número de inquilinos.
iv. Planee las migraciones de inquilinos a inquilinos, a medida que los profesores y los alumnos se
mueven.
v. Interactúe con el equipo de incorporación de EDU después de crear sus inquilinos, pero antes de las
licencias masivas de los usuarios (o tan pronto como sea posible después de empezar a asignar licencias)
para optimizar el rendimiento y el escalado dentro del ecosistema de O365. Antes de licenciar a los
usuarios, pida a Microsoft que extienda sus inquilinos en varias instancias de servicio (también conocido
como particiones) dentro de la misma región geográfica para ayudar a optimizar el proceso de
incorporación.
4. Consideraciones de tiempo:
a. Planee el tiempo para licenciar a los usuarios. Si asigna licencias a un gran número de usuarios a la vez,
puede tardar tiempo en procesar todos los usuarios. Se recomienda limitar las asignaciones a 50.000 al
día por inquilino.
b. Planear el tiempo para formar a profesores y estudiantes.
c. Planee el tiempo para distribuir cuentas de usuario.
d. MS Graph la creación de usuarios, grupos y cambios de pertenencia a 72K por inquilino, por hora.
e. El rendimiento Graph MS puede estar afectado por acciones controladas por el usuario dentro del
espacio empresarial.
f. El rendimiento Graph MS puede estar afectado por otras tareas de administración de TI en competencia
dentro del espacio empresarial.
g. PowerShell, SDS, AAD Conectar solución de aprovisionamiento personalizada agregan objetos y
pertenencias a través de MS Graph a diferentes velocidades.

Buscar ayuda de implementación
Hay varias maneras de obtener ayuda con la implementación educativa.
1. Centro de FastTrack
FastTrack la elegibilidad para EDU incluye los planes Office 365 A3 y A5, los planes independientes edu de
Intune, los planes Windows 10 A3 y A5 para 150 licencias de pago o más para un arquitecto de centro
FastTrack o FastTrack para 20 000 licencias de pago o más. Los planes sin costo como Office 365 A1 o el
plan de beneficios de uso de estudiantes no son elegibles. Introducción a FastTrack.
2. Equipo de incorporación de SDS
La mayoría de las instrucciones de esta documentación se centran en implementaciones de inquilino
único e implementaciones híbridas o en la nube. Para implementaciones complejas, multiinquilino,
megainquilino e implementaciones complejas, póngase en contacto con nuestro equipo de incorporación
de SDS, que puede ayudarle con la mejor manera de empezar.
3. Soporte técnico de Microsoft Premier
Descubra cómo obtener acceso al soporte técnico de pago Premier de Microsoft para obtener ayuda con
implementaciones más complejas o más grandes.

manual.pdf

Más contenido relacionado

Similar a manual.pdf (20)

Último (20)

manual.pdf