La aplicación MyQ Roger Entra ID se integra con los servicios de Microsoft 365 (Microsoft Graph y Universal Print) para ofrecer a los usuarios funciones seguras de impresión, gestión de archivos y comunicación. Requiere permisos específicos para operar en nombre de los usuarios y, en algunos casos, como aplicación (servicio en segundo plano) para realizar tareas de impresión y gestión de dispositivos.
Tipos de permisos
Entra ID distingue entre dos tipos de permisos:
-
Permisos delegados: se utilizan cuando un usuario que ha iniciado sesión interactúa con la aplicación. La aplicación actúa en nombre de ese usuario y solo accede a los datos a los que el usuario tiene acceso.
-
Permisos de aplicación: utilizados por servicios en segundo plano o daemons sin interacción del usuario.
Estos requieren el consentimiento del administrador.
Permisos de API concedidos
Microsoft Graph (acceso a usuarios y archivos)
|
Permiso |
Tipo |
Descripción |
Se requiere consentimiento del administrador |
Finalidad |
|---|---|---|---|---|
|
Usuario.Leer |
Delegado |
Iniciar sesión y leer el perfil de usuario |
No |
Permite a la aplicación identificar al usuario actual. |
|
openid, perfil, correo electrónico |
Delegado |
Permisos estándar de OpenID Connect |
No |
Habilita el inicio de sesión seguro y la información básica de identidad (nombre, correo electrónico). |
|
offline_access |
Delegado |
Mantener el acceso a los datos que has concedido |
No |
Permite la actualización en segundo plano de los tokens de acceso sin necesidad de volver a iniciar sesión. |
|
Files.Read.Selected |
Delegado |
Leer los archivos que el usuario seleccione explícitamente |
No |
Permite a la aplicación abrir archivos individuales elegidos por el usuario. |
|
Files.ReadWrite |
Delegado |
Acceso completo a los archivos del usuario |
No |
Permite leer y modificar archivos en OneDrive o SharePoint. |
|
Archivos.LecturaEscritura.CarpetaDeAplicación |
Delegado |
Acceso al almacenamiento específico de la aplicación |
No |
Se utiliza para almacenar la configuración de la aplicación o archivos temporales. |
|
Archivos.LecturaEscritura.Todos |
Delegado |
Acceso completo a todos los archivos a los que el usuario puede acceder |
No |
Necesario para la integración avanzada con el almacenamiento de archivos del usuario. |
|
Sites.ReadWrite.All |
Delegado |
Editar o eliminar elementos en todas las colecciones de sitios |
No |
Necesario para trabajar con bibliotecas de documentos de SharePoint. |
|
Mail.ReadWrite |
Delegado |
Acceso de lectura y escritura al correo del usuario |
No |
Se utiliza para notificaciones por correo electrónico y para el seguimiento de los mensajes de los usuarios. |
|
Mail.Send |
Delegado |
Enviar correo como usuario |
No |
Permite a la aplicación enviar notificaciones en nombre del usuario. |
Microsoft Graph (Impresión y gestión de dispositivos)
|
Permiso |
Tipo |
Descripción |
Se requiere consentimiento del administrador |
Finalidad |
|---|---|---|---|---|
|
Printer.Create |
Delegado |
Registrar impresoras |
Sí |
Permite añadir nuevas impresoras a la organización. |
|
Printer.Read.All |
Delegado / Aplicación |
Leer información de la impresora |
Sí |
Permite a la aplicación ver la configuración de la impresora. |
|
Printer.ReadWrite.All |
Delegado / Aplicación |
Leer y actualizar la configuración de la impresora |
Sí |
Permite cambios y actualizaciones de la configuración. |
|
Printer.FullControl.All |
Delegado |
Gestión completa de las impresoras |
Sí |
Necesario para operaciones administrativas avanzadas. |
|
PrinterShare.ReadWrite.All |
Delegado |
Leer y modificar recursos compartidos de impresoras |
Sí |
Permite la gestión de impresoras compartidas. |
|
PrintJob.Read.All, PrintJob.ReadBasic.All |
Aplicación |
Leer detalles del trabajo de impresión |
Sí |
Necesario para supervisar e informar del estado de los trabajos. |
|
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All |
Aplicación |
Gestionar trabajos de impresión |
Sí |
Permite gestionar los trabajos de impresión en la cola. |
|
PrintJob.Manage.All |
Aplicación |
Operaciones avanzadas de trabajos de impresión |
Sí |
Permite eliminar, redirigir o actualizar trabajos de impresión. |
|
PrintSettings.Read.All |
Aplicación |
Leer la configuración de impresión de todo el inquilino |
Sí |
Necesario para leer las políticas de impresión centrales. |
|
PrintTaskDefinition.ReadWrite.All |
Aplicación |
Gestionar definiciones de tareas de impresión |
Sí |
Se utiliza para definir y gestionar la lógica de procesamiento de impresión. |
Permisos de impresión universales
|
Permiso |
Tipo |
Descripción |
Se requiere consentimiento del administrador |
Finalidad |
|---|---|---|---|---|
|
Printers.Create |
Delegado |
Crear (registrar) nuevas impresoras |
Sí |
Permite el registro de impresoras en Universal Print. |
|
Printers.Read |
Aplicación |
Leer metadatos de la impresora |
Sí |
Recuperar detalles de la impresora en todo el inquilino. |
|
PrinterProperties.ReadWrite |
Aplicación |
Leer/escribir propiedades de la impresora |
Sí |
Actualizar la configuración de la impresora (por ejemplo, los valores predeterminados). |
|
PrintJob.Read |
Aplicación |
Leer metadatos y carga útil del trabajo de impresión |
Sí |
Acceder a los datos del trabajo para su seguimiento o auditoría. |
|
PrintJob.ReadWriteBasic |
Aplicación |
Leer y escribir metadatos del trabajo |
Sí |
Gestionar el estado y la información básica de los trabajos de impresión. |
Consentimiento y administración
-
Los permisos marcados como «Sí» en «Se requiere consentimiento de administrador» deben ser aprobados por un administrador global o un administrador con rol privilegiado.
-
Una vez concedido el consentimiento, todos los usuarios del inquilino pueden utilizar la aplicación sin más avisos.
-
El consentimiento se concede para la organización: «Example Organization Ltd.» indica que su organización ha concedido el consentimiento para este editor.
Conceder o volver a solicitar consentimientos rápidamente para administradores – links.myq.cloud
Los administradores de la organización de Microsoft pueden conceder o volver a solicitar los permisos de consentimiento necesarios para la aplicación MyQ Roger mediante una página de acceso rápido temporal en links.myq.cloud. En ella se describe cómo recuperar el inquilino de Entra ID, elegir el enlace de consentimiento adecuado (ámbitos Básico, Impresión universal o MDM) y aprobar los permisos para una integración satisfactoria.
Notas de seguridad
-
La aplicación se ajusta al modelo de permisos de la API de Microsoft Graph y solo solicita los ámbitos necesarios para las funciones básicas (impresión, acceso a archivos, notificaciones por correo electrónico).
-
Los administradores pueden revisar los consentimientos concedidos en cualquier momento en Azure Portal > Microsoft Entra ID > Aplicaciones empresariales > MyQ Roger > Permisos.