Si llevas tiempo trabajando con la plataforma de Azure, seguro que ya sabías que hasta que el nuevo portal vio la luz sólo existía una forma de gestionar una suscripción: o eras administrador o co-administrador. Esto significaba que cualquier usuario que necesitara acceso tenía que ser dado de alta a través del portal clásico con privilegio total de todo lo que ocurriera dentro de la suscripción, ya que no existían los roles, grupos de seguridad, herencia, etcétera.
Este escenario cambió radicalmente con la llegada del nuevo portal y el apoyo sobre Azure Active Directory, que no sólo permite el acceso de los usuarios a la plataforma, sino que además te ayuda a gestionar grupos de seguridad, usuarios, autenticación multi-factor, etcétera.

Aprovechando las capacidades de AAD ya somos capaces de gestionar grupos, usuarios y permisos sobre estos apoyándonos en lo que se conoce como RBAC (Role Based Access Control), ya implementado sobre el nuevo portal. RBAC lo que te permite es gestionar roles y asignarlos a grupos y usuarios definidos en el directorio asociado a tu suscripción, de tal manera que no sea necesario que todo aquel usuario que necesite acceso a la plataforma tenga que ser necesariamente administrador de toda ella. Los roles más simples son los tres siguientes:
- Owner: son los administradores de la suscripción, un grupo de recursos o un recurso en concreto. Tienen acceso a todas las acciones y recursos del nivel al que es otorgado y además son capaces de dar acceso a otros usuarios.
- Contributor: al igual que los owners, tienen privilegios sobre todas las acciones y recursos pero no tienen la capacidad de dar acceso a otros usuarios.
- Reader: se trata de un rol que permite tener acceso en modo lectura sobre los recursos.
A parte de estos tres existen una serie de roles predefinidos que están relacionados con servicios concretos.

El primer paso para adaptarse a este sistema de roles, grupos y usuarios sería reorganizar el estado actual de la suscripción de la siguiente forma:
- Añade grupos de seguridad a tu AAD: lo ideal es que se opere sobre grupos de seguridad en lugar de sobre usuarios. Para ello puedes dar de alta desde el portal clásico todos aquellos que necesites desde la sección GROUPS de tu directorio.
- Añade tus usuarios a los grupos correspondientes. De esta forma los roles siempre serán asociados con los grupos y los usuarios dentro de los mismos heredarán cualquier cambio que se haga a nivel del grupo o grupos al que correspondan. Para ello, accede a cada uno de los que acabas de crear y a través de la opción ADD MEMBERS puedes seleccionar los usuarios que tengas dados de alta en tu directorio.
- Una vez creado los grupos, asigna los mismos a los roles con los permisos necesarios para operar en la plataforma. Para este ejemplo, he asignado cada uno de los grupos a nivel de suscripción a un conjunto de roles desde el apartado Subscriptions > Users del nuevo portal.
- Elimina de co-administradores a todos aquellos usuarios que no deben serlo.
Si quieres ir unos pasos más allá, te recomiendo que tengas en cuenta las siguientes buenas prácticas:
- Si los roles predefinidos no se ajustan a las necesidades de un grupo concreto de usuarios, siempre puedes crear los tuyos personalizados. La forma más sencilla de hacerlo es tomar como referencia uno de los ya existentes y añadir y/o eliminar las acciones que necesites.
- Todos aquellos usuarios que son administradores o tienen privilegios de contributor deberían de tener asociado un segundo factor de autenticación, para aumentar la seguridad en el acceso a la plataforma.
- Utiliza los bloqueos en aquellos recursos críticos de tu suscripción.
¡Saludos!