Control del acceso a las características de Viva mediante PowerShell
Puede usar directivas de acceso en Viva para administrar qué usuarios pueden acceder a características específicas de Viva aplicaciones con PowerShell. La administración del acceso a características le permite habilitar o deshabilitar características específicas en Viva para grupos o usuarios específicos del inquilino y, por tanto, adaptar las implementaciones para satisfacer los requisitos normativos y empresariales locales.
Un administrador autorizado del inquilino puede crear, asignar y administrar directivas de acceso desde PowerShell. Cuando un usuario inicia sesión en Viva, se aplica la configuración de directiva y solo ve las características que no se han deshabilitado.
Importante
Puede tener varias directivas de acceso para una característica activa en su organización. Esto significa que un usuario o grupo podría verse afectado por varias directivas. En ese caso, la directiva más restrictiva asignada directamente a un usuario o grupo tiene prioridad. Para obtener más información, vea Cómo funcionan las directivas de acceso en Viva.
Requisitos
Para poder crear una directiva de acceso en Viva, necesita:
- Una versión compatible de Microsoft 365 o una licencia de Viva Suite
- Acceso a Exchange Online versión 3.2.0 o posterior de PowerShell. Si necesita usar grupos no habilitados para correo, debe tener acceso a Exchange PowerShell versión 3.5.1 o posterior.
- Cuentas de usuario creadas o sincronizadas con Microsoft Entra ID
- Grupos de Microsoft 365, Microsoft Entra grupos de seguridad creados o sincronizados con Microsoft Entra ID o grupos de distribución.
- El rol necesario para la aplicación y la característica específicas.
Importante
Estas características aún no están disponibles en GCC High o DoD. Para GCC, consulte la documentación de la aplicación específica para obtener disponibilidad.
Creación y administración de directivas de acceso para características de Viva
Las directivas se pueden crear y administrar mediante un administrador de Viva que tenga permisos para hacerlo en el Centro de administración de Microsoft 365 o mediante PowerShell. Obtenga todos los detalles sobre cómo crear y administrar directivas.
Obtener el featureID de la característica
Para poder crear una directiva de acceso, use ModuleID para obtener el featureID de la característica específica a la que desea controlar el acceso.
Identificadores de módulo
| Aplicación | ModuleID |
|---|---|
| Interactuar | VivaEngage |
| Glint | VivaGlint |
| Objetivos | VivaGoals |
| Insights | VivaInsights |
| Pulso | VivaPulse |
| Aptitudes | VivaSkills |
Use el cmdlet de PowerShell Get-VivaModuleFeature para obtener una lista de todas las características disponibles en una aplicación de Viva específica y sus identificadores asociados.
Instale Exchange Online PowerShell versión 3.2.0 o posterior:
Install-Module -Name ExchangeOnlineManagementConéctese a Exchange Online con credenciales de administrador:
Connect-ExchangeOnlineComplete la autenticación como el rol necesario para la característica específica para la que va a crear la directiva.
Ejecute el cmdlet Get-VivaModuleFeature para ver las características que puede administrar mediante una directiva de acceso.
Por ejemplo, para ver qué características se admiten en Viva Insights, ejecute el siguiente cmdlet:
Get-VivaModuleFeature -ModuleId VivaInsightsBusque la característica para la que desea crear una directiva de acceso y anote su featureID.
Crear una directiva de acceso
Ahora que tiene el featureID, use el cmdlet Add-VivaModuleFeaturePolicy de PowerShell para crear una directiva de acceso para la característica.
Puede asignar un máximo de 10 directivas por característica a usuarios y grupos. Cada directiva se puede asignar a un máximo de 20 usuarios o grupos. Puede asignar una directiva adicional por característica a todo el inquilino mediante el parámetro -Everyone , que funcionará como un estado predeterminado global para esa característica en toda la organización.
Ejecute el cmdlet Add-VivaModuleFeaturePolicy para crear una nueva directiva de acceso.
Nota:
Si la característica admite controles de usuario para no participar, asegúrese de establecer el parámetro IsUserControlEnabled al crear la directiva. Si no lo hace, los controles de usuario de la directiva usan el estado predeterminado para la característica.
Por ejemplo, ejecute lo siguiente para crear una directiva de acceso, denominada UsersAndGroups, para restringir el acceso a la característica reflexión en Viva Insights.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
En este ejemplo se agrega una directiva para la característica Reflexión en Viva Insights. La directiva deshabilita la característica para los usuarios y miembros del grupo especificados. Si desea deshabilitar la característica para todos los usuarios, use el parámetro -Everyone en su lugar.
Administración de directivas de acceso
Puede actualizar una directiva de acceso para cambiar si una característica está habilitada o deshabilitada, así como para cambiar a quién se aplica la directiva (todos, un usuario o un grupo).
Por ejemplo, basándose en nuestro último ejemplo, para actualizar a quién se aplica la directiva, ejecute el siguiente cmdlet:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Al igual que cuando se crea la directiva, si la directiva admite controles de usuario, incluya el parámetro IsUserControlEnabled al cambiar la directiva.
Importante
Los valores que especifique para los parámetros -UserIds y -GroupIds o el parámetro -Everyone sobrescriben los usuarios o grupos existentes. Para conservar los usuarios y grupos existentes, debe especificar los usuarios o grupos existentes y los usuarios o grupos adicionales que quiera agregar. Al no incluir usuarios o grupos existentes en el comando, se quitan de la directiva esos usuarios o grupos específicos. No se puede actualizar una directiva para que un usuario o grupo determinado incluya todo el inquilino si ya existe una directiva para todo el inquilino para la característica: solo se admite una directiva para todo el inquilino.
Para comprobar qué características están deshabilitadas para un usuario o grupo específico, ejecute el cmdlet Get-VivaModuleFeatureEnablement . Este cmdlet devuelve lo que se denomina estado de habilitación para el usuario o grupo.
Por ejemplo:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Eliminación de una directiva de acceso
Use el cmdlet Remove-VivaModuleFeaturePolicy para eliminar una directiva de acceso.
Por ejemplo, para eliminar la directiva de acceso a características de reflexión, empiece por obtener el UID específico para la directiva de acceso; para ello, ejecute Get-VivaModuleFeaturePolicy. Después, ejecute el siguiente cmdlet:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Solución de problemas
- Si tiene problemas para crear o usar directivas de acceso para las características de Viva aplicación, confirme que la característica para la que está intentando establecer una directiva aparece en la tabla de características y está disponible para el inquilino.
- Si ve el mensaje de error "El solicitante no está autorizado para completar la solicitud" mientras ejecuta un cmdlet de PowerShell, compruebe si tiene algún conjunto de directivas de acceso condicional que bloquee direcciones IP específicas. Si es así, quite la dirección IP de esa directiva o cree una nueva directiva para permitir la lista de direcciones IP. Obtenga más información sobre Microsoft Entra acceso condicional y solución de problemas de acceso condicional mediante la herramienta What If.
Más recursos
Más información sobre la creación y administración de directivas