La importancia de estandarizar la creación de cuentas de Microsoft 365

Asegúrese de que la creación de cuentas de Azure AD use propiedades precisas

Parece obvio decir que es una buena idea estandarizar la creación de cuentas de Azure AD para generar datos de directorio confiables, pero es sorprendente la frecuencia con la que un análisis de las propiedades de la cuenta de usuario revela información faltante. La clave para la estandarización es asegurarse de completar toda la información relevante para las cuentas de usuario durante el proceso de creación, respaldada por revisiones periódicas.

A diferencia de las aplicaciones locales, donde la GAL de Exchange suele ser el único lugar donde las personas ven la información de la cuenta del usuario, Microsoft 365 expone las propiedades de la cuenta en muchos lugares, incluida la pestaña de la organización para los usuarios de Teams, el explorador de la organización de Outlook y la tarjeta de perfil del usuario. Los pasos simples, como asegurarse de ingresar la ubicación correcta para un usuario, significan que las características como la visualización de las zonas horarias locales por parte de Teams funcionan correctamente.

Este artículo analiza dos métodos para garantizar que las cuentas de usuario tengan la información necesaria para maximizar el beneficio de las características de Microsoft 365.

Plantillas de usuario

Las plantillas de usuario de Microsoft 365 son una forma útil de asegurarse de que la configuración de los diferentes tipos de cuentas de usuario nuevas esté estandarizada. Esencialmente, una plantilla especifica la configuración común que Microsoft 365 aplica cuando crea una nueva cuenta, como el dominio para su nombre principal de usuario y dirección de correo electrónico, nombre del departamento, ubicación de la oficina y ubicación de uso (Figura 1). Una plantilla de usuario también puede especificar qué licencias asignar a nuevas cuentas.

Figura 1: Creación de una nueva plantilla de usuario de Microsoft 365 con configuraciones de cuenta rellenadas previamente

Puede crear una plantilla de usuario desde cero o guardar la configuración de una cuenta recién creada como plantilla. De cualquier manera, una vez que existe la plantilla, está disponible para que la usen todos los administradores al crear nuevas cuentas, a menos que elija explícitamente no publicarla. Para usar una plantilla para crear una nueva cuenta, elija Plantillas de usuario y luego seleccione la plantilla que desea usar. Luego, todo lo que necesita hacer es completar los detalles básicos como su nombre, apellido, nombre principal del usuario y agregar una contraseña (Figura 2). Todo es muy conveniente.

Figura 2: Creación de una cuenta de Azure AD con una plantilla de usuario de Microsoft 365

Un punto a tener en cuenta es que la gestión de licencias a través de plantillas de usuario no es muy inteligente. Si las licencias seleccionadas están disponibles, la nueva cuenta las recibe. Si alguna de las licencias no está disponible (las licencias disponibles están agotadas), la nueva cuenta termina en un estado sin licencia. Es obvio que ninguna gran inteligencia se aplica en esta área. Sin embargo, resulta una nueva cuenta de usuario incluso si necesita algunas licencias.

Reparación manual después de la creación de la cuenta

Otro problema a considerar es que la plantilla no cubre parte de la información del usuario. Los siguientes son solo algunos de los elementos de configuración personal que probablemente requiera una nueva cuenta:

• Números de teléfono fijo y móvil.
• Foto.
• Configuración de autenticación multifactor.
• Gerente.
• Licencias no cubiertas por la plantilla. Por ejemplo, si bien la plantilla puede asignar una licencia básica de Office 365 E3, algunas personas necesitan licencias de Teams Premium para ayudar a organizar y administrar seminarios web.

En resumen, si desea tener un directorio completo para que las tarjetas de perfil de Microsoft 365 estén lo más completas posible, espere actualizar la información de la cuenta después de la creación inicial.

Una multitud de plantillas

A pesar de sus defectos evidentes, las plantillas de usuario funcionan bien para organizaciones pequeñas y medianas con solo unas pocas ubicaciones o unidades operativas. Una vez que una organización crece y se vuelve más compleja, la cantidad de plantillas requeridas para cubrir la combinación de departamentos, ubicaciones y países se expande y puede volverse difícil de manejar. Es posible trabajar con cincuenta plantillas o más y suponer que los administradores siempre elegirán la plantilla más adecuada para una nueva cuenta, pero eso podría no suceder cuando es fácil seleccionar una plantilla menos que óptima.

Automatización de la creación de cuentas de Azure AD con PowerShell

Muchas organizaciones resuelven el problema de la estandarización de las propiedades de los usuarios mediante la creación de secuencias de comandos de la configuración de la cuenta con PowerShell. Usan cmdlets como los que se enumeran a continuación para actualizar diferentes aspectos de las cuentas nuevas, generalmente después de leer los datos sobre el nuevo usuario de un sistema de recursos humanos u otro sistema de incorporación:

• New-MgUser para crear la cuenta y Update-MgUser para actualizar la configuración después.
• Set-MgUserManagerByRef para actualizar el administrador del nuevo usuario.
• Set-MgUserLicense para asignar licencias a la cuenta.
• Utilice las API de métodos de autenticación de Graph para configurar MFA para la cuenta. Estas API también están disponibles a través de los cmdlets del SDK de la API de Microsoft Graph, como New-MgUserAuthenticationPhoneMethod.
• Set-UserPhoto para agregar una foto a una cuenta. Este cmdlet solo se puede ejecutar después de la creación del buzón del usuario. El cmdlet Update-MgUserPhoto también actualiza las fotos de los usuarios, pero este cmdlet genera una foto en miniatura de menor calidad que no se ve tan bien en las reuniones de Teams.
• Set-MailboxRegionalConfiguration para establecer la zona horaria correcta para la nueva cuenta. Esto asegura que la configuración de la zona horaria se muestre correctamente en las tarjetas de perfil y al programar reuniones.
• Envío de un mensaje de bienvenida al nuevo usuario.

Este es un ejemplo del tipo de código para crear una nueva cuenta de usuario de Azure AD con una licencia de Office 365 E3. El código genera una contraseña aleatoria para la nueva cuenta, luego ejecuta New-MgUser para crear la cuenta y completar su configuración. Luego asigna la licencia, actualiza el administrador del usuario y agrega SMS como método de autenticación. Luego, la secuencia de comandos espera 30 segundos para que Exchange Online cree el buzón del usuario antes de actualizar el buzón con una foto. Exchange Online luego sincroniza la foto con Azure AD y las otras cargas de trabajo. Finalmente, el script actualiza la zona horaria del usuario en la configuración regional de su buzón. No es obligatorio especificar un idioma preferido para una cuenta nueva, pero esto podría ser útil en el futuro al configurar ajustes específicos de idioma para las aplicaciones.

Connect-MgGraph -Scopes Directory.ReadWrite.All, UserAuthenticationMethod.ReadWrite.All, User.ReadWrite.All Select-MgProfile Beta Connect-ExchangeOnline  €Office365E3Sku = "6fd2c87f-b296-42f0-b197-1e91e994b900" Add-Type -AssemblyName 'System.Web' €NewPassword = [System.Web.Security.Membership]::GeneratePassword(10, 3) €NewPasswordProfile = @{} €NewPasswordProfile["Password"]= €NewPassword €NewPasswordProfile["ForceChangePasswordNextSignIn"] = €True  €NewUserUPN = "Jeff.Atkinson@Office365ITPros.com" €DisplayName = "Jeff Atkinson"  €NewUser = New-MgUser -UserPrincipalName €NewUserUPN `   -DisplayName "Jeff Atkinson (Information Technology)" `   -PasswordProfile €NewPasswordProfile -AccountEnabled `   -MailNickName Jeff.Atkinson -City NYC `   -CompanyName "Office 365 for IT Pros" -Country "United States" `   -Department "IT Operations" -JobTitle "GM Operations" `   -BusinessPhones "+1 676 830 1101" -MobilePhone "+1 6174466615" `   -State "New York" -StreetAddress "1, Avenue of the Americas" `   -Surname "Atkinson" -GivenName "Jeff" `   -UsageLocation "US" -OfficeLocation "NYC" -PreferredLanguage 'en-US' If (€NewUser) { Write-Host ("Successfully added the {0} account with password {1}" -f €NewUser.DisplayName, €NewPassword)    } Else { Write-Host ("Failure adding the {0} account - exiting" -f €DisplayName); break }      # Add license Set-MgUserLicense -UserId €NewUserUPN -Addlicenses @{SkuId = €Office365E3SKU} -RemoveLicenses @() # Update manager €ManagerId = (Get-MgUser -UserId Chris.Bishop@infotecnologia.com).Id Set-MgUserManagerByRef -UserId Jeff.Atkinson@infotecnologia.com `    -AdditionalProperties @{      "@odata.id" = "https://graph.microsoft.com/v1.0/users/€ManagerId" } # Add SMS MFA method New-MgUserAuthenticationPhoneMethod -UserId €NewUserUPN -phoneType "mobile" -phoneNumber "+1 6174466615 # Update user photo Sleep -Seconds 30 Set-UserPhoto -Identity €NewUserUPN -PictureData ([System.IO.File]::ReadAllBytes("c:\Temp\Jeff.Atkinson.jpg")) -Confirm:€False Set-MailboxRegionalConfiguration -Identity Jeff.Atkinson -TimeZone "Eastern Standard Time" 

Este código no es perfecto. Ilustra el principio de completar múltiples aspectos de una nueva cuenta de usuario durante el proceso de creación de acuerdo con un estándar establecido por una organización. En un entorno de producción, el código tendría más registro y verificación de errores y estaría controlado por valores importados para cuentas de usuario en lugar del valor codificado que se muestra aquí. También puede realizar tareas como agregar usuarios a grupos específicos o asignar un rol a cuentas de usuario seleccionadas. El punto es que los cmdlets de PowerShell disponibles para trabajar con cuentas de usuario de Azure AD y aplicaciones de Microsoft 365 permiten a los desarrolladores crear scripts para automatizar muchos aspectos diferentes de la creación de cuentas de usuario que superan con creces las capacidades de las plantillas de usuario.

Incluso el código imperfecto que se usa aquí tiene el propósito de completar todas las propiedades de cuenta requeridas para que las características de Microsoft 365 funcionen según lo diseñado, como la tarjeta de perfil de usuario que se muestra en el chat de Teams (Figura 3).

Figura 3: propiedades de la cuenta que se muestran en una tarjeta de perfil de usuario en el chat de Teams

Los beneficios de la estandarización

El gran beneficio que brindan los datos de usuario precisos de Azure AD es que las consultas ejecutadas por otras características de Microsoft 365 en el directorio devolverán el conjunto correcto de usuarios. Por ejemplo, un alcance adaptable utilizado con políticas de cumplimiento de comunicación o retención se aplicará a los usuarios adecuados. Los grupos dinámicos de Azure AD que se usan para generar la membresía de Microsoft 365 Groups o Teams incluirán a las personas adecuadas. El correo electrónico enviado a las listas de distribución dinámicas llegará a los buzones correctos, y así sucesivamente.

Históricamente, sabemos que la información del directorio tiene la mala costumbre de degradarse con el tiempo. La reestructuración de la empresa, las personas que cambian de trabajo y ubicación, las fusiones y adquisiciones, e incluso el efecto de trabajar desde casa, conspiran para introducir inexactitudes en los datos del directorio. Por esa razón, es importante revisar periódicamente el directorio en busca de datos faltantes o inexactos. Existen productos comerciales como Hyperfish para ayudar a aliviar el dolor, o puede crear su propio uso de herramientas como Fotos de usuario de CodeTwo para Office 365 (software gratuito) y PowerShell usando sus propios scripts y código que se encuentra en otros lugares (como el script descrito en este artículo).

Lo importante es monitorear la precisión del directorio de forma continua. La estandarización es fácil de lograr para las cuentas de Azure AD recién creadas. Es más difícil de mantener en el tiempo.