Cuando conectas Atera a Microsoft Entra ID, la aplicación de Atera solicita un conjunto de permisos (alcances OAuth 2.0) de tu tenant. Este artículo explica cada permiso que solicita Atera, para qué sirve y cuándo se utiliza realmente.
Para ver las instrucciones de configuración, consulta Sincronizar usuarios y contactos desde Microsoft Entra ID.
Acerca de este artículo
Este artículo está dirigido a revisores de seguridad informática, cumplimiento y administradores que necesitan entender exactamente qué solicita Atera durante el flujo de consentimiento OAuth de Entra ID, ya sea antes de aprobar la integración o como parte de una auditoría interna.
Para cada permiso, encontrarás:
- El nombre del permiso tal como aparece en la pantalla de consentimiento
- El alcance de Microsoft Graph
- Una descripción tomada directamente de la documentación oficial de Microsoft
Algunos permisos aparecen dos veces en la solicitud de Atera: una vez como Permiso de aplicación y otra como Permiso delegado. Esto se debe a que diferentes partes de la plataforma operan en diferentes contextos de autenticación:
- Permisos delegados se usan cuando hay un usuario autenticado presente.
- Permisos de aplicación se usan cuando Atera o Robin actúan de forma autónoma en segundo plano sin una sesión de usuario activa.
Cuando un permiso se solicita en ambos tipos, la descripción a continuación utiliza el texto del permiso de aplicación de la documentación de Microsoft, ya que es el más permisivo de los dos. Cuando un permiso solo se solicita como permiso delegado, se utiliza la descripción delegada.
Importante: entender cuándo se invocan los permisos
Concedido no significa activo
Los permisos listados en este artículo se conceden en el momento de autorizar la aplicación Atera Entra ID, independientemente de las funciones de Atera que se activen posteriormente. El conjunto completo de alcances OAuth se registra con Entra ID incluso si solo se utiliza una parte de la funcionalidad de Atera, como la sincronización de usuarios.
Conceder estos alcances no provoca, por sí solo, ninguna acción en tu entorno de Entra ID. Los permisos son un límite máximo, no una instrucción.
Permisos de escritura y Robin (IT Autopilot)
Los alcances de lectura/escritura y los que permiten escritura no se utilizarán a menos que Robin esté habilitado en tu entorno de Atera. Cuando Robin está habilitado, estos permisos solo se usan en dos escenarios:
- Como parte de un flujo de trabajo automatizado que Robin ha sido configurado para ejecutar (por ejemplo, una secuencia de incorporación o baja de usuarios).
- En respuesta directa a una instrucción explícita de un usuario que interactúa con Robin (por ejemplo, un técnico o usuario final que le pide a Robin restablecer una contraseña o actualizar la configuración de un buzón).
Robin no tomará ninguna acción de forma autónoma fuera de estos dos contextos.
Los permisos efectivos están limitados por los controles de acceso existentes en Entra ID
Las acciones permitidas dentro de Entra ID están definidas por los alcances OAuth 2.0 concedidos, pero también están estrictamente reguladas por los permisos existentes del usuario que autoriza en Entra ID.
Si un usuario no tiene el permiso nativo de Entra ID para realizar una acción —como modificar los métodos de autenticación de otro usuario, cambiar la pertenencia a grupos o actualizar la configuración de un buzón— no podrá ejecutar esa acción a través de Atera o Robin, incluso si se ha concedido el alcance OAuth correspondiente.
En otras palabras: el alcance OAuth establece lo que la aplicación puede solicitar. El acceso basado en roles del propio usuario en Entra ID determina si esa solicitud será aceptada.
Referencia oficial de Microsoft
Los valores de Alcance y descripción en las tablas a continuación se toman directamente de la referencia oficial de permisos de Microsoft. Puedes verificar cada alcance en:
https://learn.microsoft.com/es/graph/permissions-reference
Permisos solicitados por Atera
Permisos de usuario e identidad
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Iniciar sesión y leer el perfil del usuario | User.Read |
Permite a los usuarios iniciar sesión en la aplicación y permite que la aplicación lea el perfil de los usuarios autenticados. También permite que la aplicación lea información básica de la empresa de los usuarios autenticados. |
| Leer los perfiles básicos de todos los usuarios | User.ReadBasic.All |
Permite que la aplicación lea un conjunto básico de propiedades del perfil de otros usuarios de tu organización en nombre del usuario autenticado. Esto incluye nombre para mostrar, nombre y apellido, dirección de correo electrónico, extensiones abiertas y foto. |
| Leer los perfiles completos de todos los usuarios | User.Read.All |
Permite que la aplicación lea el conjunto completo de propiedades del perfil, informes y responsables de otros usuarios de tu organización, en nombre del usuario autenticado. |
| Leer y escribir los perfiles completos de todos los usuarios | User.ReadWrite.All |
Permite que la aplicación lea y escriba el conjunto completo de propiedades del perfil, informes y responsables de otros usuarios de tu organización, en nombre del usuario autenticado. También permite que la aplicación cree y elimine usuarios, así como restablecer contraseñas de usuarios en nombre del usuario autenticado. |
| Acceso de lectura y escritura al perfil de usuario | User.ReadWrite |
Permite que la aplicación lea tu perfil. También permite que la aplicación actualice la información de tu perfil en tu nombre. |
| Leer y escribir todos los métodos de autenticación de los usuarios | UserAuthenticationMethod.ReadWrite.All |
Permite que la aplicación lea y escriba los métodos de autenticación de todos los usuarios de tu organización, sin necesidad de un usuario autenticado. Los métodos de autenticación incluyen cosas como los números de teléfono de un usuario y la configuración de la aplicación Authenticator. |
| Acceder al directorio como el usuario autenticado | Directory.AccessAsUser.All |
Permite que la aplicación tenga el mismo acceso a la información del directorio que el usuario autenticado. |
Permisos de directorio y grupos
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Leer datos del directorio | Directory.Read.All |
Permite que la aplicación lea datos en el directorio de tu organización, como usuarios, grupos y aplicaciones, sin necesidad de un usuario autenticado. |
| Leer y escribir datos del directorio | Directory.ReadWrite.All |
Permite que la aplicación lea y escriba datos en el directorio de tu organización, como usuarios y grupos. No permite que la aplicación elimine usuarios o grupos, ni restablezca contraseñas de usuarios. |
| Leer y escribir todos los grupos | Group.ReadWrite.All |
Permite que la aplicación cree grupos, lea todas las propiedades y membresías de grupos, actualice propiedades y membresías de grupos y elimine grupos. También permite que la aplicación lea y escriba conversaciones. Todas estas operaciones pueden ser realizadas por la aplicación sin un usuario autenticado. |
| Administrar aplicaciones que esta aplicación crea o posee | Application.ReadWrite.OwnedBy |
Permite que la aplicación cree otras aplicaciones y administre completamente esas aplicaciones (leer, actualizar, actualizar secretos de la aplicación y eliminar), sin necesidad de un usuario autenticado. No puede actualizar ninguna aplicación de la que no sea propietaria. |
| Leer información de la organización | Organization.Read.All |
Permite que la aplicación lea la organización y los recursos relacionados, sin necesidad de un usuario autenticado. Los recursos relacionados incluyen cosas como los SKUs suscritos y la información de marca del tenant. |
Permisos de correo y calendario
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Leer calendarios de usuario | Calendars.Read |
Permite que la aplicación lea eventos en los calendarios de los usuarios. |
| Leer y escribir calendarios en todos los buzones | Calendars.ReadWrite |
Permite que la aplicación cree, lea, actualice y elimine eventos de todos los calendarios sin necesidad de un usuario autenticado. |
| Leer y escribir toda la configuración de buzón de los usuarios | MailboxSettings.ReadWrite |
Permite que la aplicación cree, lea, actualice y elimine la configuración de los buzones de los usuarios sin necesidad de un usuario autenticado. No incluye permiso para enviar correo. |
| Leer y escribir correos en todos los buzones | Mail.ReadWrite |
Permite que la aplicación cree, lea, actualice y elimine correos en todos los buzones sin necesidad de un usuario autenticado. No incluye permiso para enviar correo. |
| Enviar correo como cualquier usuario | Mail.Send |
Permite que la aplicación envíe correo como cualquier usuario sin necesidad de un usuario autenticado. |
| Mantener acceso a los datos a los que le diste acceso | offline_access |
Permite que la aplicación vea y actualice los datos a los que le diste acceso, incluso cuando los usuarios no están usando la aplicación en ese momento. Esto no otorga permisos adicionales a la aplicación. |
Permisos de archivos y SharePoint
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Tener acceso total a todos los archivos a los que el usuario puede acceder | Files.ReadWrite.All |
Permite que la aplicación lea, cree, actualice y elimine todos los archivos a los que el usuario autenticado puede acceder. |
| Editar o eliminar elementos en todas las colecciones de sitios | Sites.ReadWrite.All |
Permite que la aplicación edite o elimine documentos y elementos de listas en todas las colecciones de sitios en nombre del usuario autenticado. |
| Tener control total de todas las colecciones de sitios | Sites.FullControl.All |
Permite que la aplicación cree o elimine bibliotecas de documentos y listas en todas las colecciones de sitios sin necesidad de un usuario autenticado. |
Permisos de contactos
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Tener acceso total a los contactos del usuario | Contacts.ReadWrite |
Permite que la aplicación cree, lea, actualice y elimine todos los contactos en todos los buzones sin necesidad de un usuario autenticado. |
Permisos de informes y administración
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Leer todos los informes de uso | Reports.Read.All |
Permite que una aplicación lea todos los informes de uso de servicios sin necesidad de un usuario autenticado. Los servicios que proporcionan informes de uso incluyen Office 365 y Microsoft Entra ID. |
| Leer y escribir la configuración de informes de administración | ReportSettings.ReadWrite.All |
Permite que la aplicación lea y actualice la configuración de informes de administración, como si mostrar información oculta en los informes, en nombre del usuario autenticado. |
| Leer todos los lugares de la empresa | Place.Read.All |
Permite que la aplicación lea los lugares de la empresa (salas de conferencias y listas de salas) para eventos de calendario y otras aplicaciones, sin necesidad de un usuario autenticado. |
Permisos de dispositivos y endpoints
| Permiso | Alcance | ¿Qué hace? |
|---|---|---|
| Leer y escribir dispositivos administrados por Microsoft Intune | DeviceManagementManagedDevices.ReadWrite.All |
Permite que la aplicación lea y escriba las propiedades de los dispositivos administrados por Microsoft Intune, sin necesidad de un usuario autenticado. No permite operaciones de alto impacto como borrado remoto o restablecimiento de contraseña en el propietario del dispositivo. |
| Leer y escribir Cloud PCs | CloudPC.ReadWrite.All |
Permite que la aplicación lea y escriba las propiedades de los Cloud PCs, sin necesidad de un usuario autenticado. |
