Lab RBAC - Pabloj29/Labs GitHub Wiki

​🎯 Objetivo del laboratorio

👉 Crear un entorno gratuito con Microsoft 365 E5 para:

Crear usuarios y grupos en Microsoft Entra ID.

Asignar roles administrativos con control de acceso basado en roles (RBAC).

Simular el uso de diferentes permisos como administrador de usuario, lector global, etc.

Paso 1: Unirte al Microsoft 365 Developer Program​

Ve a: https://developer.microsoft.com/microsoft-365/dev-program​

Inicia sesión con tu cuenta de Microsoft personal (ej: Gmail con cuenta Microsoft creada).​

Acepta los términos del programa.​

En la sección “Set up your Microsoft 365 E5 sandbox”, haz clic en:​

Set up E5 subscription​

Elige la opción "Instant sandbox" (entorno inmediato).​

Microsoft creará un tenant con dominio similar a:​ tuempresa.onmicrosoft.com​

Anota el usuario administrador y contraseña inicial.​

​ ​

🔹 Paso 2: Acceder al panel de Entra (Azure AD)​

Ve a https://entra.microsoft.com/​

Inicia sesión con tu cuenta de administrador del tenant generado (ej: [email protected]).​

Estás ahora en el portal Microsoft Entra ID, donde puedes gestionar identidades y RBAC.​

​ ​

🔹 Paso 3: Crear usuarios de prueba​

En el menú izquierdo, haz clic en "Users".​

Clic en + New user.​

Llena los datos:​

User name: usuario1​

Name: Usuario Prueba 1​

Contraseña: genera una temporal.​

Repite para crear usuario2, usuario3, etc.​

​ ​

🔹 Paso 4: Asignar roles RBAC de Entra ID​

Aquí es donde aplicamos RBAC de identidad, no sobre recursos como VMs.​

Ve a Users y selecciona usuario1.​

En el menú izquierdo del perfil del usuario, haz clic en "Assigned roles".​

Clic en + Add assignment.​

Se abrirá una ventana de búsqueda:​

Busca un rol como:​

User Administrator: puede crear y administrar usuarios y grupos.​

Global Reader: puede ver todo pero no modificar.​

Security Reader: puede ver alertas y configuraciones de seguridad.​

Selecciona el rol deseado y haz clic en Next > Assign.​

✅ ¡Listo! Has aplicado RBAC a un usuario en Entra ID.​

​ ​

🔹 Paso 5: Verificar comportamiento de los roles​

Abre una ventana de incógnito.​

Inicia sesión en https://entra.microsoft.com/ con el usuario asignado (usuario1).​

Verifica qué puede y no puede hacer según el rol que le diste:​

Si es User Administrator: podrá crear otros usuarios.​

Si es Global Reader: podrá navegar por los menús pero no editar.​

Si no tiene ningún rol: acceso muy limitado.​

​ ​

🧠 ¿Qué aprendes con esto?​

Cómo crear identidades y gestionarlas.​

Cómo aplicar control de acceso RBAC sin necesidad de Azure Subscription.​

Qué significa aplicar el principio de mínimos privilegios.