Permisos de Entra ID
La aplicación MyQ Roger Entra ID se integra con los servicios de Microsoft 365 (Microsoft Graph y Universal Print) para permitir a los usuarios funciones seguras de impresión, manejo de archivos y comunicación. Requiere permisos específicos para operar en nombre de los usuarios y, en algunos casos, como una aplicación (servicio en segundo plano) para realizar tareas de impresión y gestión de dispositivos.
Tipos de permisos
Entra ID distingue entre dos tipos de permisos:
Permisos delegados: se utilizan cuando un usuario que ha iniciado sesión interactúa con la aplicación. La aplicación actúa en nombre de ese usuario y solo accede a los datos a los que el usuario puede acceder.
Permisos de aplicación: utilizados por servicios en segundo plano o demonios sin interacción del usuario.
Estos requieren el consentimiento del administrador.
Permisos de API concedidos
Microsoft Graph (acceso de usuarios y archivos)
Permiso | Tipo | Descripción | Se requiere el consentimiento del administrador | Finalidad |
|---|---|---|---|---|
User.Read | Delegado | Iniciar sesión y leer el perfil del usuario | No | Permite a la aplicación identificar al usuario actual. |
openid, perfil, correo electrónico | Delegado | Permisos estándar de OpenID Connect | No | Habilita el inicio de sesión seguro y la información básica de identidad (nombre, correo electrónico). |
offline_access | Delegado | Mantener el acceso a los datos que ha concedido | No | Permite la actualización en segundo plano de los tokens de acceso sin necesidad de volver a iniciar sesión. |
Files.Read.Selected | Delegado | Leer los archivos que el usuario seleccione explícitamente | No | Permite a la aplicación abrir archivos individuales elegidos por el usuario. |
Archivos.LeerEscribir | Delegado | Acceso completo a los archivos del usuario | No | Permite leer y modificar archivos en OneDrive o SharePoint. |
Archivos.LeerEscribir.CarpetaAplicación | Delegado | Acceso al almacenamiento específico de la aplicación | No | Se utiliza para almacenar la configuración de la aplicación o archivos temporales. |
Archivos.LeerEscribir.Todo | Delegado | Acceso completo a todos los archivos a los que puede acceder el usuario | No | Necesario para la integración avanzada con el almacenamiento de archivos del usuario. |
Sites.ReadWrite.All | Delegado | Editar o eliminar elementos en todas las colecciones de sitios | No | Necesario para trabajar con bibliotecas de documentos de SharePoint. |
Correo.LeerEscribir | Delegado | Acceso de lectura y escritura al correo del usuario | No | Se utiliza para notificaciones por correo electrónico y seguimiento de mensajes de usuario. |
Correo.Enviar | Delegado | Enviar correo como usuario | No | Permite a la aplicación enviar notificaciones en nombre del usuario. |
Microsoft Graph (impresión y administración de dispositivos)
Permiso | Tipo | Descripción | Se requiere el consentimiento del administrador | Finalidad |
|---|---|---|---|---|
Printer.Create | Delegado | Registrar impresoras | Sí | Permite añadir nuevas impresoras a la organización. |
Impresora.Leer.Todas | Delegado / Aplicación | Leer información de la impresora | Sí | Permite a la aplicación ver la configuración de la impresora. |
Impresora.LeerEscribir.Todo | Delegado / Aplicación | Leer y actualizar la configuración de la impresora | Sí | Permite cambios y actualizaciones de la configuración. |
Impresora.ControlTotal.Todo | Delegado | Gestión completa de las impresoras | Sí | Necesario para operaciones administrativas avanzadas. |
PrinterShare.ReadWrite.All | Delegada | Leer y modificar recursos compartidos de impresora | Sí | Permite la gestión de impresoras compartidas. |
PrintJob.Read.All, PrintJob.ReadBasic.All | Aplicación | Leer detalles del trabajo de impresión | Sí | Necesario para supervisar e informar del estado de los trabajos. |
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All | Aplicación | Gestionar trabajos de impresión | Sí | Permite gestionar los trabajos de impresión en la cola. |
PrintJob.Manage.All | Aplicación | Operaciones avanzadas de trabajos de impresión | Sí | Permite eliminar, redirigir o actualizar trabajos de impresión. |
Configuración de impresión.Leer.Todo | Aplicación | Leer la configuración de impresión de todo el inquilino | Sí | Necesario para leer las políticas de impresión centrales. |
PrintTaskDefinition.ReadWrite.All | Aplicación | Gestionar definiciones de tareas de impresión | Sí | Se utiliza para definir y gestionar la lógica de procesamiento de impresión. |
Permisos de impresión universal
Permiso | Tipo | Descripción | Se requiere consentimiento del administrador | Finalidad |
|---|---|---|---|---|
Impresoras.Crear | Delegado | Crear (registrar) nuevas impresoras | Sí | Permite el registro de impresoras en Universal Print. |
Impresoras.Leer | Aplicación | Leer metadatos de la impresora | Sí | Recuperar los detalles de la impresora en todo el inquilino. |
Propiedades de la impresora.Leer/Escribir | Aplicación | Leer/escribir propiedades de la impresora | Sí | Actualizar la configuración de la impresora (por ejemplo, los valores predeterminados). |
PrintJob.Read | Aplicación | Leer metadatos y carga útil del trabajo de impresión | Sí | Acceder a los datos del trabajo para su seguimiento o auditoría. |
PrintJob.ReadWriteBasic | Aplicación | Leer y escribir metadatos del trabajo | Sí | Gestionar el estado del trabajo de impresión y la información básica. |
Consentimiento y administración
Los permisos marcados como Sí en Consentimiento del administrador requerido deben ser aprobados por un administrador global o un administrador de roles privilegiados.
Una vez concedido el consentimiento, todos los usuarios del inquilino pueden utilizar la aplicación sin más avisos.
El consentimiento se concede a la organización: Ejemplo Organización Ltd. indica que su organización ha concedido el consentimiento a este editor.
Conceder o volver a solicitar rápidamente consentimientos para administradores: links.myq.cloud
Los administradores de la organización de Microsoft pueden conceder o volver a solicitar los permisos de consentimiento necesarios para la aplicación MyQ Roger mediante una página de acceso rápido temporal en links.myq.cloud. En ella se describe cómo recuperar el inquilino de Entra ID, elegir el enlace de consentimiento adecuado (ámbitos básico, impresión universal o MDM) y aprobar los permisos para una integración satisfactoria.
Notas de seguridad
La aplicación se adhiere al modelo de permisos de la API de Microsoft Graph y solo solicita los ámbitos necesarios para la funcionalidad básica (impresión, acceso a archivos, notificaciones por correo electrónico).
Los administradores pueden revisar los consentimientos concedidos en cualquier momento en Azure Portal > Microsoft Entra ID > Aplicaciones empresariales > MyQ Roger > Permisos.