En esta publicación de blog, analizaremos los roles disponibles en el centro de administración de Microsoft 365 y cómo asignar roles de usuario en el centro de administración de Microsoft 365.
Una suscripción viene con un conjunto de roles de administrador que puede asignar a los usuarios de su organización. Cada rol de administrador se asigna a funciones comerciales comunes y otorga a las personas de su organización permisos para realizar tareas específicas en los centros de administración.
Debido a que los administradores tienen acceso a datos y archivos confidenciales, le recomendamos que siga estas pautas para mantener los datos de la organización más seguros.
Recomendación | ¿Por qué es esto importante? |
Tener de 2 a 4 administradores globales | Debido a que solo otro administrador global puede restablecer la contraseña de un administrador global, le recomendamos que tenga al menos 2 administradores globales en su organización en caso de bloqueo de la cuenta. Pero el administrador global tiene acceso casi ilimitado a la configuración de su organización y a la mayoría de los datos, por lo que también recomendamos que no tenga más de 4 administradores globales porque eso es una amenaza para la seguridad. |
Asignar el menos permisivo papel | Asignar el menos permisivo rol significa darles a los administradores solo el acceso que necesitan para hacer el trabajo. Por ejemplo, si desea que alguien restablezca las contraseñas de los empleados, no debe asignar el rol de administrador global ilimitado, debe asignar un rol de administrador limitado, como administrador de contraseñas o administrador del servicio de asistencia. Esto ayudará a mantener sus datos seguros. |
Requerir autenticación multifactor para administradores | Es una buena idea exigir MFA a todos sus usuarios, pero los administradores deben usar MFA para iniciar sesión. MFA hace que los usuarios ingresen un segundo método de identificación para verificar que son quienes dicen ser. Los administradores pueden tener acceso a una gran cantidad de datos de clientes y empleados y, si necesita MFA, incluso si la contraseña del administrador se ve comprometida, la contraseña es inútil sin la segunda forma de identificación. Cuando active MFA, la próxima vez que el usuario inicie sesión, deberá proporcionar una dirección de correo electrónico y un número de teléfono alternativos para recuperar la cuenta. Configurar la autenticación multifactor |
También, lea: Microsoft Power Apps: aplicaciones de lienzo frente a aplicaciones basadas en modelos
Roles disponibles en el centro de administración de Microsoft 365
En el centro de administración, puede ir a Roles y luego seleccionar cualquier rol para abrir su panel de detalles. Seleccione la pestaña Permisos para ver la lista detallada de lo que los administradores asignaron a ese rol para tener permiso para hacer.
Probablemente solo necesite asignar los siguientes roles en su organización.
Rol de administrador | ¿A quién se le debe asignar este rol? |
Administrador de Exchange | Asigne la función de administrador de Exchange a los usuarios que necesitan ver y administrar los buzones de correo electrónico de su usuario, los grupos de Office 365 y Exchange Online. Los administradores de Exchange también pueden: - Recuperar elementos eliminados en el buzón de un usuario - Configurar delegados "Enviar como" y "Enviar en nombre" |
Administrador global | Asigne la función de administrador global a los usuarios que necesitan acceso global a la mayoría de las funciones y datos de administración en los servicios en línea de Microsoft. Dar acceso global a demasiados usuarios es un riesgo de seguridad y le recomendamos que tenga entre 2 y 4 administradores globales. Solo los administradores globales pueden: - Restablecer contraseñas para todos los usuarios - Agregar y administrar dominios Nota: La persona que se registró en los servicios en línea de Microsoft se convierte automáticamente en administrador global. |
Lector global | Lector global Asigne la función de lector global a los usuarios que necesiten ver las funciones y la configuración de administrador en los centros de administración que el administrador global puede ver. El administrador del lector global no puede editar ninguna configuración. |
Administrador de grupos | Asigne la función de administrador de grupo a los usuarios que necesitan administrar todas las configuraciones de grupo en los centros de administración, incluido el Centro de administración de Microsoft 365 y el portal de Azure Active Directory. Los administradores de grupos pueden: - Crear, editar, eliminar y restaurar grupos de Office 365 - Crear y actualizar políticas de creación, vencimiento y nomenclatura de grupos - Crear, editar, eliminar y restaurar grupos y seguridad de Azure Active Directory |
Administrador del servicio de asistencia | Asigne el rol de administrador de Helpdesk a los usuarios que necesiten hacer lo siguiente: - Restablecer contraseñas - Obligar a los usuarios a cerrar sesión - Gestionar solicitudes de servicio - Supervisar el estado del servicio Note: El administrador del servicio de asistencia solo puede ayudar a los usuarios que no sean administradores y a los usuarios asignados a estos roles: lector de directorio, invitador invitado, administrador del servicio de asistencia, lector del centro de mensajes y lector de informes. |
Administrador de aplicaciones de Office | Asigne el rol de administrador de Office Apps a los usuarios que necesiten hacer lo siguiente: - Utilice el servicio de políticas en la nube de Office para crear y administrar políticas basadas en la nube para Office - Crear y administrar solicitudes de servicio - Administrar el contenido de Novedades que ven los usuarios en sus aplicaciones de Office - Supervisar el estado del servicio |
Administrador de servicios | Asigne el rol de administrador del servicio como un rol adicional a los administradores o usuarios cuyo rol no incluye lo siguiente, pero que aún deben hacer lo siguiente: - Abrir y administrar solicitudes de servicio - Ver y compartir publicaciones del centro de mensajes |
Administrador de SharePoint | Asigne la función de administrador de SharePoint a los usuarios que necesitan acceder y administrar el centro de administración de SharePoint Online. Los administradores de SharePoint también pueden: - Crear y eliminar sitios - Administrar colecciones de sitios y configuraciones globales de SharePoint |
Administrador de equipos | Asigne el rol de administrador de Teams a los usuarios que necesitan acceder y administrar el centro de administración de Teams. Los administradores de equipos también pueden: - Gestionar reuniones - Gestionar puentes de conferencias - Administre todas las configuraciones de toda la organización, incluida la federación, la actualización de equipos y la configuración de clientes de equipos |
Administrador de usuario | Asigne la función de administrador de usuario a los usuarios que deben hacer lo siguiente para todos los usuarios: - Agregar usuarios y grupos - Asignar licencias - Administra las propiedades de la mayoría de los usuarios - Crear y administrar vistas de usuarios - Actualizar las políticas de caducidad de contraseñas - Gestionar solicitudes de servicio - Supervisar el estado del servicio El administrador de usuario también puede realizar las siguientes acciones para los usuarios que no son administradores y para los usuarios a los que se les asignan los siguientes roles: lector de directorio, invitador invitado, administrador del servicio de asistencia, lector del centro de mensajes, lector de informes: - Administrar nombres de usuario - Eliminar y restaurar usuarios - Restablecer contraseñas - Obligar a los usuarios a cerrar sesión - Actualizar las claves del dispositivo (FIDO) |
También, lea: Establecer el modo predeterminado para formularios en la aplicación Canvas (Power Apps)
Todos los roles
Aquí hay una lista de todos los roles disponibles en el centro de administración de Microsoft 365.
Función | Descripción |
Administrador de la aplicación | Acceso completo a aplicaciones empresariales, registros de aplicaciones y configuraciones de proxy de aplicaciones. |
Desarrollador de aplicaciones | Cree registros de aplicaciones y consienta el acceso a la aplicación en su nombre. |
Administrador de autenticación | Puede requerir que los usuarios vuelvan a registrar la autenticación para credenciales sin contraseña, como MFA. |
Administrador de Azure Information Protection | Administra etiquetas para la política de Azure Information Protection, administra plantillas de protección y activa la protección. |
Administrador de facturación | Realiza compras, gestiona suscripciones, gestiona solicitudes de servicio y supervisa el estado del servicio. |
Administrador de aplicaciones en la nube | Acceso completo a aplicaciones empresariales y registros de aplicaciones. Sin proxies de aplicaciones. |
Administrador de dispositivos en la nube | Habilita, deshabilita y elimina dispositivos y puede leer claves de BitLocker de Windows 10. |
Administrador de cumplimiento | Gestiona los requisitos normativos y los casos de eDiscovery, mantiene la gobernanza de datos para ubicaciones, identidades y aplicaciones. |
Administrador de datos de cumplimiento | Realiza un seguimiento de los datos, se asegura de que estén protegidos, obtiene información sobre los problemas y ayuda a mitigar el riesgo. |
Administrador de acceso condicional | Administra la configuración de acceso condicional de Azure Active Directory, pero no la directiva de acceso condicional de Exchange ActiveSync. |
Aprobador de acceso a la caja de seguridad del cliente | Gestiona las solicitudes de la Caja de seguridad del cliente puede activar o desactivar la Caja de seguridad del cliente. |
Administrador de Desktop Analytics | Puede acceder y administrar herramientas y servicios de administración de escritorio. |
Administrador de Dynamics 365 | Acceso completo a Microsoft Dynamics 365 Online, administra las solicitudes de servicio, monitorea el estado del servicio. |
Administrador de Exchange | Acceso completo a Exchange Online, crea y administra grupos, administra solicitudes de servicio y monitorea el estado del servicio. |
Administrador de proveedor de identidad externo | Configure proveedores de identidad para su uso en la federación directa. |
Administrador global | Tiene acceso ilimitado a todas las funciones de administración y a la mayoría de los datos en todos los centros de administración. |
Lector global | Tiene acceso de solo lectura a todas las funciones de administración y a la mayoría de los datos en los centros de administración. Para obtener una descripción detallada de los derechos de acceso y las limitaciones de este rol, consulte Permisos del rol de administrador en Azure Active Directory. |
Administrador de grupos | Crea grupos y administra todas las configuraciones de grupos en los centros de administración. |
Invitadora invitada | Administra las invitaciones de usuarios invitados B2B de Azure Active Directory. |
Administrador del servicio de asistencia | Restablece las contraseñas y vuelve a autenticarse para todos los que no son administradores y algunos roles de administrador, gestiona las solicitudes de servicio y supervisa el estado del servicio. |
Administrador de Intune | Acceso total a Intune, administra usuarios y dispositivos para asociar políticas, crea y administra grupos. |
Administrador de Kaizala | Acceso completo a todas las funciones y datos de administración de Kaizala, administra las solicitudes de servicio. |
Administrador de licencia | Asigna y elimina licencias de los usuarios y edita su ubicación de uso. |
Lector de privacidad del centro de mensajes | Acceso a mensajes de privacidad de datos en el centro de mensajes, recibe notificaciones por correo electrónico. |
Lector del centro de mensajes | Lee y comparte mensajes regulares en el Centro de mensajes, recibe resúmenes semanales de correo electrónico, tiene acceso de solo lectura a usuarios, grupos, dominios y suscripciones. |
Administrador de aplicaciones de Office | Administra políticas basadas en la nube para Office y el contenido de Novedades que los usuarios ven en sus aplicaciones de Office. |
Administrador de Power BI | Acceso completo a las tareas de administración de Power Bl, administra las solicitudes de servicio y monitorea el estado del servicio. |
Administrador de la plataforma de energía | Acceso completo a Microsoft Dynamics 365, PowerApps, políticas de prevención de pérdida de datos y Microsoft Flow. |
Administrador de rol privilegiado | Administra las asignaciones de roles y todas las funciones de control de acceso de Privileged Identity Management. |
Lector de informes | Lee los datos de informes de uso del panel del informe, el paquete de contenido de adopción de Power BI, los informes de inicio de sesión y la API de informes de Microsoft Graph. |
Administrador de búsqueda | Acceso completo a Microsoft Search, asigna los roles de administrador de búsqueda y editor de búsqueda, administra contenido editorial, supervisa el estado del servicio y crea solicitudes de servicio. |
Editor de búsqueda | Solo puede crear, editar y eliminar contenido para Microsoft Search, como marcadores, preguntas y respuestas y ubicaciones. |
Administrador de seguridad | Controla la seguridad de la organización, administra las políticas de seguridad, revisa los análisis e informes de seguridad, monitorea el panorama de amenazas. |
Operador de seguridad | Investiga y responde a alertas de seguridad, administra funciones en el centro de protección de identidad, monitorea el estado del servicio. |
Lector de seguridad | Acceso de solo lectura a funciones de seguridad, informes de inicio de sesión y registros de auditoría. |
Administrador de soporte de servicio | Crea solicitudes de servicio para los servicios de Azure, Microsoft 365 y Office 365, y supervisa el estado del servicio. |
Administrador de SharePoint | Acceso completo a SharePoint Online, administra grupos de Office 365, administra solicitudes de servicio y monitorea el estado del servicio. |
Administrador de Skype Empresarial | Acceso completo a todas las características de Teams y Skype, atributos de usuario de Skype, administra las solicitudes de servicio y supervisa el estado del servicio. |
Administrador de equipos | Acceso completo al centro de administración de Teams y Skype, administra los grupos de Office 365 y las solicitudes de servicio y supervisa el estado del servicio. |
Responsable de comunicación de equipos | Asigna números de teléfono, crea y administra políticas de voz y reuniones y lee análisis de llamadas. |
Ingeniero de soporte de comunicación de Teams | Lee los detalles del registro de llamadas de todos los participantes de la llamada para solucionar problemas de comunicación. |
Especialista en soporte de comunicación de Teams | Lee los detalles de la llamada del usuario solo para un usuario específico para solucionar problemas de comunicación. |
Administrador de usuario | Restablece las contraseñas de los usuarios, crea y administra usuarios y grupos, incluidos filtros, administra las solicitudes de servicio y monitorea el estado del servicio. |
Si es la persona que compró su suscripción empresarial de Microsoft, es el administrador global. Esto significa que tiene un control ilimitado sobre los productos de sus suscripciones y puede acceder a la mayoría de los datos.
Puede asignar usuarios a un rol de 2 formas diferentes:
- Vaya a los detalles del usuario y Administrar roles para asignar un rol al usuario.
- Vaya a Roles, seleccione el rol y luego agréguele varios usuarios.
También, lea: Implementar el menú desplegable en cascada de varios niveles en Power Apps de SharePoint
Método 1: asignar un usuario a una función de administrador de los usuarios activos
Paso 1: En el centro de administración, vaya a Usuarios à Usuarios activos à Seleccionar usuario.
Paso 2: En el panel flotante, junto a Roles, seleccione Administrar roles.
Paso 3: Seleccione la función de administrador que desea asignar al usuario. Si no ve el rol que está buscando, seleccione Mostrar todo en la parte inferior de la lista. -> Haga clic en el Botón Guardar cambios.
Método 2: asignar roles de administrador a los usuarios que usan roles
Paso 1: en el centro de administración, vaya a Roles -> Roles para ver todos los roles de administrador disponibles para su organización.
Paso 2: seleccione la función de administrador que desea asignar al usuario. Haga clic en Roles -> Administrador de usuarios -> Haga clic en Administradores asignados -> Haga clic en el botón Agregar.
Paso 3: Escriba el nombre para mostrar o el nombre de usuario del usuario y luego seleccione el usuario de la lista de sugerencias. Seleccione Guardar y luego el usuario se agregará a la lista de administradores asignados.
Note: Puede agregar varios usuarios antes de guardar.
Nota Importante: Cuando agrega nuevos usuarios, si no les asigna un rol de administrador, entonces están en el rol de usuario y no tienen privilegios de administrador en ninguno de los centros de administración de Microsoft. Pero si necesita ayuda para hacer las cosas, puede asignar un rol de administrador a un usuario. Por ejemplo, si necesita que alguien le ayude a restablecer las contraseñas, no debe asignarle la función de administrador global, debe asignarle la función de administrador de contraseña. Tener demasiados administradores globales, con acceso ilimitado a sus datos y negocios en línea, es un riesgo de seguridad.
Cynoteck es un Microsoft Gold Partner y socio de Power Platform. Con nuestro conocimiento en Microsoft Stack, creamos las soluciones que mejor se adaptan a sus necesidades. Lo ayudamos a identificar y utilizar los datos de su organización de la mejor manera, lo que le permite tomar decisiones inteligentes para su crecimiento.
Conecte nuestro equipo si está interesado en implementar Plataforma de poder en tu negocio.
Consultoría de Microsoft Power Platform
Aún así, ¿tienes alguna pregunta? Puede ponerse en contacto conmigo o con otros expertos de nuestro equipo para mostrarle el poder real de PowerApps.