Controlar el acceso a G Suite y servicios de Google con grupos

Puedes activar G Suite y servicios adicionales de Google en grupos de usuarios concretos en lugar de en unidades organizativas completas. De este modo, puedes controlar el acceso de usuarios concretos sin cambiar tu estructura organizativa.

Si tienes menos de 50 usuarios, te será más fácil activar o desactivar servicios si solo utilizas organizaciones.

Contenido del artículo:

Activar servicios mediante grupos de acceso

En la consola de administración de Google, puedes desactivar el acceso de una unidad organizativa a servicios de Google. Si algunos usuarios de esa unidad organizativa necesitan acceder a un servicio como Google Drive, simplemente tienes que ponerlos en una unidad organizativa que lo tenga activado.

Con los grupos de acceso, basta con crear un grupo de usuarios y activar el servicio para que todos sus miembros puedan acceder a él, aunque el servicio no esté activado en su unidad organizativa. Si sincronizas tu directorio LDAP, estos grupos aumentan la flexibilidad de la estructura de tus unidades organizativas.

Por ejemplo, activa Google Drive y YouTube en un grupo que incluya usuarios de tus equipos de marketing y ventas, o bien permite que un grupo de usuarios de tu organización de TI acceda a App Maker. Estos grupos pueden incluir usuarios de cualquier unidad organizativa de tu cuenta.

Unidades organizativas Con un grupo de acceso
Las organizaciones tienen el servicio desactivado Un grupo de acceso tiene el servicio activado
Las dos primeras organizaciones
tienen desactivado Google Drive.
No obstante, un grupo de usuarios 
de esas dos organizaciones sí tiene acceso.

Cómo funcionan los grupos de acceso

  • Con los grupos, se puede dar a los usuarios acceso a servicios principales de G Suite, así como a servicios adicionales de Google, como App Maker. Sin embargo, no se puede revocar el acceso de los usuarios a un servicio que esté activado en una organización de la que formen parte.
  • Los grupos no sirven para permitir el acceso a aplicaciones SAML o de Marketplace.
  • En los grupos de acceso puede haber usuarios de cualquier unidad organizativa, así como otros grupos de acceso (grupos anidados).
  • Los grupos de acceso deben crearse en la consola de administración, con Google Cloud Directory Sync o mediante la API Directory. Una vez creados, puedes editarlos con esas herramientas o con Grupos de Google para empresas.

Diferencias entre el acceso mediante grupos y mediante organizaciones

  GRUPOS ORGANIZACIONES
Función Activar servicios.
  • Activar o desactivar servicios.
  • Configurar ajustes de servicios.
Acceso a servicios Activa servicios en las cuentas de los usuarios del grupo. Este ajuste siempre anula el que se haya definido a nivel de organización. Activa o desactiva servicios en las cuentas de los usuarios de la organización.
Servicios admitidos
  • Servicios principales de G Suite
  • Servicios adicionales de Google, como YouTube o AdWords
  • Servicios principales de G Suite
  • Servicios adicionales de Google
  • Aplicaciones de Marketplace
  • Aplicaciones SAML
  • Servicios sin ajuste de activación o desactivación propio
Miembros En un mismo grupo puede haber usuarios de diferentes organizaciones. Además, un mismo usuario puede pertenecer a más de un grupo. Los usuarios solo pueden formar parte de una organización.
Herencia de ajustes Sí. Los grupos que pertenezcan a otros grupos tienen acceso al servicio. Sí. Las organizaciones pueden heredar o anular la configuración de su organización superior.
Asignación automática de licencias No está disponible. Sí está disponible.

Configurar ajustes de servicios mediante grupos

Con los grupos de acceso solo puede controlarse si un usuario tiene activado un servicio determinado. La mayoría de los ajustes de servicios, como POP/IMAP de Gmail, deben personalizarse a nivel de unidad organizativa.

Por ejemplo, si un determinado número de miembros de un grupo de acceso necesita compartir archivos de Drive con sus clientes, trasládalos a una organización que permita el uso compartido con usuarios externos. No hace falta que cambies nada en ese grupo; todos sus miembros pueden usar Drive, pero sus políticas están determinadas por la configuración de su organización.

Actualmente, con los grupos solo puedes configurar ajustes de App Maker, de edición de perfiles del directorio y de YouTube. Más información 

Configurar grupos de acceso

Abrir todo   |   Cerrar todo

Paso 1: Crea una lista con los usuarios y sus organizaciones

Identifica la organización a la que pertenece cada usuario que formará parte de un grupo. Comprueba que los usuarios de los servicios incluidos con G Suite Business y G Suite Enterprise, como Vault, tengan asignadas las licencias correspondientes.

Paso 2: Configura el servicio

Debes configurar el servicio en las organizaciones de los usuarios, no en el grupo ni en sus miembros. Por ejemplo, si tu grupo de acceso contiene usuarios de diferentes unidades organizativas, puedes activar el uso compartido con usuarios externos de Drive en una organización y desactivarlo en otra.

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. Selecciona la unidad organizativa de un usuario del grupo de acceso.
  5. En la parte derecha, haz clic en el servicio que te interese.
  6. Configura el servicio. Si es necesario, repite el proceso para configurarlo en las organizaciones del resto de los miembros del grupo.
Paso 3: Crea un grupo de acceso
  1. Crea un grupo o utiliza uno que ya tengas creado.
    Si creas uno, hazlo en la consola de administración, mediante la API Directory o con Google Cloud Directory Sync, ya que los creados con Grupos para empresas no pueden usarse como grupos de acceso. En la consola de administración no se indica si un grupo se ha creado con este último servicio.
    Notas
    • Crea un grupo específico para gestionar el acceso.

    • Usa un criterio de nomenclatura uniforme para que sea más fácil buscar estos grupos. Por ejemplo, añade los prefijos Acceso_ o AC al nombre de los grupos. 

  2. Añade usuarios u otros grupos de acceso y configura los permisos del grupo en la consola de administración o en Grupos de Google para empresas. Por ejemplo, quizá te interese impedir que los miembros publiquen contenido en un grupo o le añadan un propietario. También puedes emplear la API de Grupos, que ofrece ajustes adicionales para, por ejemplo, impedir que los usuarios abandonen un grupo.

Paso 4: Activa el servicio

Para completar este paso, necesitas los privilegios de administrador de Grupos, Unidades organizativas (nivel superior) y Configuración del servicio.

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. En la sección Grupos, busca y selecciona tu grupo:

    Haz clic en la lista Grupos, situada a la izquierda

    • Haz clic en Buscar un grupo para ver la lista de grupos de acceso.
    • Busca el grupo por su dirección, no por su nombre.
      Si el grupo no aparece, es posible que se haya creado en Grupos de Google para empresas. Solo se puede configurar el acceso a servicios en los grupos creados en la consola de administración, mediante la API Directory o con Google Cloud Directory Sync.
  5. En la parte derecha, coloca el cursor sobre la fila del servicio que quieres activar.

    Localiza el enlace Activar situado junto a cada una de las aplicaciones

    • Para permitir el acceso al servicio, haz clic en Activar.

    • Para desactivar el acceso del grupo al servicio, haz clic en Sin definir. De este modo, los usuarios heredan la configuración de acceso de su organización. No obstante, si pertenecen a otro grupo de acceso que tenga ese servicio activado, los usuarios podrán seguir accediendo a él.

    • Para configurar varios servicios, marca la casilla de cada uno de ellos y, en la parte superior derecha, haz clic en Sin definir o Activado.

Aunque los cambios suelen surtir efecto en unos minutos, a veces pueden tardar hasta 24 horas en aplicarse a todos los usuarios.

Paso 5: Comprueba el acceso al servicio

Consultar los datos de usuarios de un grupo

Nota: Si compruebas el estado del servicio de la organización de un usuario, verás que está desactivado porque el servicio no está activado en su organización. Los estados de servicio (Activado, Desactivado, Activado para algunos) reflejan únicamente la configuración de la organización, no la de los grupos de acceso.

Ver los grupos de acceso de un servicio

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. Arriba a la izquierda, haz clic en Todos los usuarios de esta cuenta.

    Localiza el enlace Todos los usuarios de esta cuenta, situado en la esquina superior derecha

  5. Busca un servicio con el estado Activado para algunos, que indica que el servicio está activado en algún grupo de acceso o en alguna suborganización.
  6. Coloca el cursor sobre Activado para algunos y haz clic en Ver detalles.

    Localiza el enlace Ver detalles, situado junto a la aplicación

  7. Verás el estado del servicio en todos los grupos y organizaciones.

    Los servicios pueden estar activados o desactivados

Paso 6: Ayuda a tus usuarios a utilizar los servicios

Informa a tus usuarios del nuevo servicio y envíales consejos, guías de inicio rápido y materiales de formación

Consultar los servicios de usuarios, grupos y organizaciones

Consultar los servicios y grupos de un usuario Consultar los servicios y organizaciones que tienen grupos de acceso Consultar el estado de un servicio
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. En la parte izquierda, selecciona la vista que quieras.

    Localiza el enlace Todos los usuarios de esta cuenta, situado en la esquina superior derecha

A continuación se muestran los estados de cada vista, así como lo que se puede hacer en cada una de ellas:

Vista Acciones del servicio Estado del servicio
Todos los usuarios de la organización

Activar para todos

o

Desactivar para todos (con esta opción, todos los grupos de acceso pasan a tener el estado Sin definir)

El estado se basa en grupos y organizaciones.
  • Activado para algunos
  • Activado para todos
  • Desactivado para todos
Grupos

Activado o Sin definir

  • Activado
Organizaciones

Activado o Desactivado

El estado solo se basa en organizaciones.
  • Activado para algunos
  • Activado
  • Desactivado

Editar grupos de acceso

Activar o desactivar el acceso de un grupo a un servicio
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. En la sección Grupos, selecciona o busca el grupo que quieras.

  5. En la parte derecha, coloca el cursor sobre la fila del servicio:

    • Para permitir el acceso al servicio, haz clic en Activar.

    • Para desactivar el acceso del grupo al servicio, haz clic en Sin definir. De este modo, los usuarios heredan la configuración de acceso de su organización. No obstante, si pertenecen a otro grupo de acceso que tenga ese servicio activado, los usuarios podrán seguir accediendo a él.

Activar o desactivar el acceso de todos los usuarios a un servicio
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. A la izquierda, haz clic en Todos los usuarios de esta cuenta.

  5. Coloca el cursor sobre un servicio, haz clic en Más Más y selecciona Desactivar para todos o Activar para todos.

    • Desactivar para todos: todos los grupos de acceso pasan a tener el estado Sin definir; es decir, dejan de tener el estado Activado.

    • Activar para todos: no hay cambios en la configuración de los grupos de acceso.

Gestionar miembros de grupos

Cuando quitas miembros de un grupo de acceso o lo eliminas, los miembros dejan de tener acceso a los servicios de ese grupo.

 

Solución de problemas

No aparece ningún grupo de acceso en la página Aplicaciones
  • Es posible que el grupo se haya creado con Grupos de Google para empresas. Solo puedes usar grupos de acceso creados en la consola de administración, mediante la API Directory o con Google Cloud Directory Sync.
  • Te recomendamos que busques el grupo por su dirección, no por su nombre.
  • No se mostrarán grupos de aplicaciones de Marketplace ni de aplicaciones SAML. Los grupos de acceso solo pueden usarse con los servicios principales de G Suite y los servicios adicionales de Google, como YouTube.
  • Prueba a actualizar la página Aplicaciones. Aunque los cambios suelen surtir efecto en unos minutos, a veces pueden tardar hasta 24 horas en aplicarse.
  • Comprueba que tengas privilegios de administrador en Grupos.
Un usuario pertenece a un grupo de acceso, pero no puede iniciar sesión en su servicio
  • Consulta los servicios a los que tiene acceso el usuario y los grupos a los que pertenece. Es posible que tenga que esperar hasta 24 horas a que la configuración del grupo de acceso surta efecto.
  • Comprueba que el usuario tenga asignada una licencia del servicio; por ejemplo, una licencia de G Suite Business para acceder a Google Vault.
He activado un grupo de acceso, pero todas las organizaciones muestran que el estado del servicio es "Desactivado"

Este estado indica si un servicio está activado o desactivado en una unidad organizativa, no si una organización contiene usuarios de un grupo de acceso. Para revisar la configuración de los servicios de un grupo de acceso, sigue estos pasos:

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones.
  3. Haz clic en G Suite o en Servicios adicionales de Google.
  4. En la sección Grupos, busca y selecciona tu grupo.

    Haz clic en la lista Grupos, situada a la izquierda

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?