Descripción de los roles en Microsoft Entra ID
Hay unos 60 roles integrados de Microsoft Entra, que son roles con un conjunto fijo de permisos de rol. Para complementar los roles integrados, Microsoft Entra ID también admite roles personalizados. Use roles personalizados para seleccionar los permisos de rol que desee. Por ejemplo, puede crear uno para administrar determinados recursos de Microsoft Entra, como aplicaciones o entidades de servicio.
En este artículo se explica qué son los roles de Microsoft Entra y cómo se pueden usar.
Diferencias entre los roles de Microsoft Entra y los de Microsoft 365
Hay muchos servicios diferentes en Microsoft 365, como Microsoft Entra ID e Intune. Algunos de estos servicios tienen sus propios sistemas de control de acceso basado en rol, como:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Portal de Microsoft 365 Defender
- Portal de cumplimiento
- Administración de costos + facturación
Otros servicios como Teams, SharePoint y Managed Desktop, no tienen sistemas de control de acceso basados en rol independientes. Usan roles de Microsoft Entra para el acceso administrativo. Azure tiene su propio sistema de control de acceso basado en rol para los recursos de Azure, como las máquinas virtuales, que no es el mismo que los roles de Microsoft Entra.
Cuando decimos "un sistema de control de acceso basado en rol independiente", significa que hay un almacén de datos diferente en el que se almacenan las definiciones y las asignaciones de roles. Del mismo modo, se realizan controles de acceso en puntos definidos por distintas directivas. Para más información, consulte Roles de los servicios de Microsoft 365 en Microsoft Entra ID y Roles de Azure, roles de Microsoft Entra y roles de administrador de la suscripción clásica.
Por qué algunos roles de Microsoft Entra son para otros servicios
Microsoft 365 tiene varios sistemas de control de acceso basado en rol que se han desarrollado de forma independiente con el tiempo, cada uno con su propio portal de servicios. Para que sea práctico administrar las identidades en Microsoft 365 desde el centro de administración de Microsoft Entra, se han agregado roles integrados de servicios específicos, cada uno de los cuales concede acceso administrativo a un servicio de Microsoft 365. Un ejemplo de esta incorporación es el rol Administrador de Exchange en Microsoft Entra ID. Este rol es equivalente al grupo de roles Administración de la organización en el sistema de control de acceso basado en rol de Exchange y administra todos los aspectos de Exchange. Del mismo modo, se ha agregado el rol Administrador de Intune, Administrador de Teams, Administrador de SharePoint, etc. Los roles específicos del servicio son una de las categorías de los roles integrados de Microsoft Entra que se tratan en la sección siguiente.
Categorías de roles de Microsoft Entra
Los roles integrados de Microsoft Entra se diferencian según el lugar en el que se usan, el cual se puede dividir en tres categorías generales.
- Roles específicos de Microsoft Entra ID: estos roles conceden permisos para administrar recursos solo en Microsoft Entra. Por ejemplo, Administrador de usuarios, Administrador de aplicaciones, Administrador de grupos, todos conceden permisos para administrar recursos que residen en Microsoft Entra ID.
- Roles de servicio específico: en el caso de los principales servicios de Microsoft 365 (distintos de Azure AD), hemos creado roles de servicio específico que conceden permisos para administrar todas las características de ese servicio. Por ejemplo, los roles Administrador de Exchange, Administrador de Intune, Administrador de SharePoint y Administrador de Teams pueden administrar características de sus servicios respectivos. El Administrador de Exchange administra los buzones de correo, el Administrador de Intune administra las directivas de dispositivo, el Administrador de SharePoint administra las colecciones de sitios, el Administrador de Teams administra la calidad de las llamadas, etc.
- Roles multiservicios: hay algunos roles que abarcan varios servicios. Tenemos dos roles globales: Administrador global y Lector global. Estos dos roles abarcan todos los servicios de Microsoft 365. Además, hay algunos roles relacionados con la seguridad, como el Administrador de seguridad y el Lector de seguridad, que conceden acceso a varios servicios de seguridad en Microsoft 365. Por ejemplo, con los roles de Administrador de seguridad en Microsoft Entra ID puede administrar el portal de Microsoft 365 Defender, la Protección contra amenazas avanzada de Microsoft Defender y aplicaciones de Microsoft Defender for Cloud. Del mismo modo, en el rol Administrador de cumplimiento puede administrar la configuración relacionada con el cumplimiento en el Portal de cumplimiento, Exchange, etc.
La tabla siguiente se ofrece como ayuda para comprender estas categorías de rol. Las categorías tienen nombres asignados arbitrariamente y no pretenden incluir otras funcionalidades aparte de los permisos de rol de Microsoft Entra documentados.
| Category | Role |
|---|---|
| Roles específicos de Microsoft Entra ID | Administrador de aplicaciones Desarrollador de aplicaciones Administrador de autenticación Administrador de conjuntos de claves B2C con IEF Administrador de directivas B2C con IEF Administrador de aplicaciones en la nube Administrador de dispositivos en la nube Administrador de acceso condicional Administradores de dispositivos Lectores de directorios Cuentas de sincronización de directorios Escritores de directorios Administrador de flujos de usuarios con id. externo Administrador de atributos de flujos de usuarios con id. externo Administrador de proveedor de identidades externo Administrador de grupos Invitador de usuarios Administrador del departamento de soporte técnico Administrador de identidades híbridas Administrador de licencias Soporte para asociados de nivel 1 Soporte para asociados de nivel 2 Administrador de contraseñas Administrador de autenticación con privilegios Administrador de roles con privilegios Lector de informes Administrador de usuarios |
| Roles multiservicios | Administrador global Administrador de cumplimiento Administrador de datos de cumplimiento Lector global Administrador de seguridad Operador de seguridad Lector de seguridad Administrador del soporte técnico del servicio |
| Roles de servicio específico | Administrador de Azure DevOps Administrador de Azure Information Protection Administrador de facturación Administrador de servicios de CRM Aprobador del acceso a la Caja de seguridad del cliente Administrador de análisis de escritorio Administrador de servicios de Exchange Administrador de Insights Coordinador de Insights de la empresa Administrador de servicios de Intune Administrador de Kaizala Administrador de servicios de Lync Lector de privacidad del Centro de mensajes Lector del Centro de mensajes Administrador de comercio moderno Administrador de red Administrador de aplicaciones de Office Administrador de servicios de Power BI Administrador de Power Platform Administrador de impresoras Técnico de impresoras Administrador de búsqueda Editor de búsqueda Administrador de servicios de SharePoint Administrador de comunicaciones de Teams Ingeniero de soporte técnico de comunicaciones de Teams Especialista de soporte técnico de comunicaciones de Teams Administrador de dispositivos de Teams Administrador de Teams |