Directivas de asignación de roles en Exchange Online
Una directiva de asignación de roles es una colección de uno o varios roles de usuario final que permiten a los usuarios administrar la configuración del buzón y los grupos de distribución en Exchange Online. Los roles de los usuarios finales forman parte del modelo de permisos de control de acceso basado en roles (RBAC) en Exchange Online. Puede asignar diferentes directivas de asignación de roles a distintos usuarios para permitir o evitar características de autoadminedrador específicas en Exchange Online.
En Exchange Online, una directiva de asignación de roles predeterminada denominada Directiva de asignación del rol predeterminado se especifica mediante el plan de buzón de correo que se asignó a los usuarios cuando se autorizó el uso de su cuenta. Para obtener más información sobre los planes de buzón de correo, vea Planes de buzón en Exchange Online.
Las directivas de asignación de roles son cómo se asignan los roles de usuario final (en lugar de los roles de administración) a los usuarios de Exchange Online. Hay varias formas de utilizar las directivas de asignación de roles para asignar permisos a los usuarios:
Nuevos usuarios:
- Cambiar los roles de usuario final asignados a la directiva predeterminada de asignación de roles.
- Crear una directiva de asignación de roles y establecerla como predeterminada. Tenga en cuenta que este método solo afecta a los buzones que se crean sin especificar una directiva de asignación de roles ni asignar una licencia (la licencia especifica el plan de buzón, que especifica la directiva de asignación de roles).
- Especifique una directiva de asignación de roles personalizada en el plan de buzón de correo. Para obtener más información, consulte Uso de Exchange Online PowerShell para modificar los planes de buzón de correo.
Usuarios existentes:
- Asignar una licencia diferente al usuario. Esto aplicará la configuración del plan de buzón de correo diferente, que especifica la directiva de asignación de roles que se va a aplicar.
- Asigne manualmente una directiva de asignación de roles personalizada a los buzones.
Los roles de usuario final disponibles que puede asignar a los planes de buzón se describen en la tabla siguiente:
Role | ¿Asignado a la directiva de asignación de roles predeterminada de forma predeterminada? | Descripción |
---|---|---|
Mis aplicaciones personalizadas | Yes | Instale aplicaciones personalizadas. |
Mis aplicaciones del mercado | Yes | Instale aplicaciones de Marketplace. |
Mis aplicaciones ReadWriteMailbox | Sí | Instale aplicaciones con permisos ReadWriteMailbox. |
MyBaseOptions | Sí | Necesario para que los usuarios accedan a las opciones de Outlook en la web desde su propio buzón de correo. |
MyContactInformation | Sí | Edite su dirección y número de teléfono en la lista global de direcciones (GAL). Este rol contiene los siguientes roles secundarios:
Si cree que este rol proporciona demasiado poder a los usuarios, puede quitar el rol de la directiva de asignación de roles y asignar uno o varios de los roles secundarios. Para obtener instrucciones, consulte la sección Agregar o quitar roles de una directiva de asignación de roles de este tema. |
MyDistributionGroupMembership | Sí | Únase o deje grupos de distribución existentes (si el grupo está configurado para permitir que los miembros se unan o abandonen el grupo). |
MyDistributionGroups | Yes | Cree nuevos grupos de distribución, elimine los grupos de su propiedad, modifique los grupos de su propiedad y administre la pertenencia a grupos para los grupos de su propiedad. |
MyMailboxDelegation | No | Permite a los usuarios conceder permisos de envío en nombre de otros usuarios en su buzón. Los mensajes muestran claramente al remitente en el campo De (<Remitente> en nombre del <buzón>), pero las respuestas se entregan al buzón, no al remitente. |
MyMailSubscriptions | Yes | Las cuentas conectadas se quitaron de Outlook en la web en noviembre de 2018. Para obtener más información, vea Las cuentas conectadas ya no se admiten en Outlook en la web. |
MyProfileInformation | Yes | Edite el nombre, la inicial intermedia, el apellido y el nombre para mostrar en la GAL. Este rol contiene los siguientes roles secundarios:
Si cree que este rol proporciona demasiado poder a los usuarios, puede quitar el rol de la directiva de asignación de roles y asignar uno de los roles secundarios. Para obtener instrucciones, consulte la sección Agregar o quitar roles de una directiva de asignación de roles de este tema. |
MyRetentionPolicies | Yes | Permite a los usuarios agregar etiquetas personales que no forman parte de su directiva de retención asignada.* |
MyTeamMailboxes | Yes | Los buzones de sitio se descontinuaron en favor de los grupos de Microsoft 365 en septiembre de 2017. Para obtener más información, consulte Uso de grupos de Microsoft 365 en lugar de buzones de sitio. |
MyTextMessaging | Sí | Habilite las notificaciones de mensajes de texto para reuniones y nuevos mensajes de correo electrónico.* |
MyVoiceMail | Sí | Actualice la configuración del correo de voz.* |
*Esta característica no está disponible en todas las regiones u organizaciones.
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: menos de 5 minutos.
Los procedimientos de este tema requieren el rol RBAC de administración de roles en Exchange Online. Normalmente, obtiene este permiso mediante la pertenencia al grupo de roles Administración de la organización. Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.
Para abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en Exchange Online. Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.
Los cambios en los permisos surten efecto después de que el usuario cierra la sesión y vuelve a iniciar sesión.
Visualización de roles asignados a una directiva de asignación de roles
Uso del EAC para ver los roles asignados a una directiva de asignación de roles
En el EAC, haga clic en Roles>de administrador. Aquí se incluyen todos los grupos de roles en su organización.
Seleccione un grupo de roles. El panel de detalles muestra el nombre, la descripción y agregar los permisos del grupo de roles.
Uso de Exchange Online PowerShell para ver los roles asignados a una directiva de asignación de roles
Para ver los roles asignados a una directiva de asignación de roles, use la sintaxis siguiente:
Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto
En este ejemplo se devuelven los roles asignados a la directiva denominada Directiva de asignación de roles predeterminada.
Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Get-ManagementRoleAssignment.
Nota: Para devolver una lista de todos los roles de usuario final disponibles, ejecute el siguiente comando:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent
Adición o eliminación de roles de una directiva de asignación de roles
Uso del EAC para agregar o quitar roles de una directiva de asignación de roles
En el EAC, haga clic en Roles Roles>de usuario, seleccione la directiva de asignación de roles y, a continuación, haga clic en
En la ventana de propiedades de la directiva que se abre, siga uno de estos pasos:
Para agregar un rol, active la casilla situada junto al rol.
Para quitar un rol que ya está asignado, desactive la casilla.
Si activa la casilla de verificación de un rol con roles secundarios, las casillas de los roles secundarios también se activarán. Si desactiva la casilla del rol primario, también se desactivan las casillas de los roles secundarios. Puede seleccionar un rol secundario desactivando la casilla del rol primario y, a continuación, seleccionando el rol secundario individual.
Cuando haya terminado, haga clic en Guardar.
Uso de Exchange Online PowerShell para agregar roles a una directiva de asignación de roles
Al agregar un rol a una directiva de asignación de roles, se crea una nueva asignación de roles con un nombre único que es una combinación de los nombres del rol y la directiva de asignación de roles.
Para agregar roles a una directiva de asignación de roles, use la sintaxis siguiente:
New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"
En este ejemplo se agrega el rol MyMailboxDelegation a la directiva de asignación de roles denominada Directiva de asignación de roles predeterminada.
New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Uso de Exchange Online PowerShell para quitar roles de una directiva de asignación de roles
Use el procedimiento de la sección Usar PowerShell de Exchange Online para ver los roles asignados a una directiva de asignación de roles anteriormente en este tema para buscar el nombre de la asignación de roles para el rol que desea quitar (es una combinación de los nombres del rol y la directiva de asignación de roles).
Para quitar el rol de la directiva de asignación de roles, use esta sintaxis:
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
En este ejemplo se quita el rol MyDistributionGroups de la directiva de asignación de roles denominada Directiva de asignación de roles predeterminada.
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Remove-ManagementRoleAssignment.
Creación de directivas de asignación de roles
Uso del EAC para crear directivas de asignación de roles
En el EAC, vaya a Roles>de administrador de roles y, a continuación, haga clic en Agregar grupo de roles.
En la ventana Agregar grupo de roles , haga clic en Configurar los aspectos básicos , configure los siguientes valores y haga clic en Siguiente:
Nombre: escriba un nombre único para el grupo de roles.
Descripción: escriba una descripción opcional para el grupo de roles.
Seleccione los roles que quiere asignar a la directiva.
En la sección Agregar permisos , seleccione los roles y haga clic en Siguiente. Los roles definen el ámbito de las tareas que los miembros asignados a este grupo de roles tienen permiso para administrar.
En la sección Asignar administradores , seleccione los usuarios que se van a asignar a este grupo de roles y haga clic en Siguiente. Tendrán permisos para administrar los roles asignados.
En la sección Revisar grupo de roles y finalizar , compruebe todos los detalles y, a continuación, haga clic en Agregar grupo de roles.
Haga clic en Listo.
Uso de PowerShell de Exchange Online para crear directivas de asignación de roles
Para crear una directiva de asignación de roles, use la sintaxis siguiente:
New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]
En este ejemplo se crea una nueva directiva de asignación de roles denominada Contoso Contractors que incluye los roles de usuario final especificados.
New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-RoleAssignmentPolicy.
Modificar directivas de asignación de roles
Puede usar el EAC o Exchange PowerShell para agregar o quitar roles de una directiva de asignación de roles.
Solo puede usar Exchange Online PowerShell para especificar la directiva de asignación de roles predeterminada que se aplica a los nuevos buzones que no tienen asignada una licencia o una directiva de asignación de roles cuando se crean.
De lo contrario, todo lo que puede hacer en el EAC o Exchange Online PowerShell es modificar el nombre y la descripción de la directiva de asignación de roles.
Uso de Exchange Online PowerShell para especificar la directiva de asignación de roles predeterminada
Para especificar la directiva de asignación de roles predeterminada, use la sintaxis siguiente:
Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault
En este ejemplo se configura Contoso Users como la directiva de asignación de roles predeterminada.
Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault
Nota: El modificador IsDefault también está disponible en los cmdlets New-RoleAssignmentPolicy .
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-RoleAssignmentPolicy.
Eliminación de directivas de asignación de roles
No puede quitar la directiva de asignación de roles que se ha especificado actualmente como predeterminada. Primero debe especificar otra directiva de asignación de roles como predeterminada para poder eliminarla.
No puede quitar una directiva de asignación de roles que se haya asignado a los buzones. Use los procedimientos descritos en la sección Uso de PowerShell de Exchange Online para modificar las asignaciones de directivas de asignación de roles en buzones de correo para reemplazar la directiva de asignación de roles asignada a los buzones.
Uso del EAC para quitar directivas de asignación de roles
En el EAC, vaya a Roles>de administrador de roles.
Seleccione el grupo de roles y haga clic en Eliminar.
Haga clic en Confirmar en la ventana de confirmación.
Uso de PowerShell de Exchange Online para quitar directivas de asignación de roles
Para quitar una directiva de asignación de roles, use la sintaxis siguiente:
Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"
En este ejemplo se quita la directiva de asignación de roles denominada Administradores de Contoso.
Remove-RoleAssignmentPolicy -Identity "Contoso Managers"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Remove-RoleAssignmentPolicy.
Visualización de asignaciones de directivas de asignación de roles en buzones
Uso del EAC para ver las asignaciones de directivas de asignación de roles en buzones
En el EAC, vaya a Buzones de destinatarios>, seleccione el buzón y haga clic en .
En la ventana de propiedades del buzón que se abre, haga clic en Características del buzón. La directiva de asignación de roles se muestra en el campo Directiva de asignación de roles .
Cuando haya terminado, haga clic en Guardar.
Uso de PowerShell de Exchange Online para ver las asignaciones de directivas de asignación de roles en buzones
Para ver la asignación de directivas de asignación de roles en un buzón específico, use la sintaxis siguiente:
Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy
En este ejemplo se devuelve la directiva de asignación de roles para el buzón denominado Pedro Pizarro.
Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy
Para devolver todos los buzones que tienen asignada una directiva de asignación de roles específica, use la sintaxis siguiente:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}
En este ejemplo se devuelven todos los buzones que tienen asignada la directiva de asignación de roles denominada Administradores de Contoso.
$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}
Modificación de asignaciones de directivas de asignación de roles en buzones
Un buzón puede tener solamente una directiva de asignación de roles asignada. La directiva de asignación de roles que asigne al buzón reemplazará a la directiva de asignación de roles existente asignada.
Uso del EAC para modificar las asignaciones de directivas de asignación de roles en buzones
En el EAC, haga clic enBuzones dedestinatarios> y realice uno de los pasos siguientes:
Buzones individuales: seleccione el buzón>. > Haga clic en Características del buzón en la ventana que se abre>, haga clic en la lista desplegable situada junto a Directiva de asignación> de roles, seleccione una nueva directiva > de asignación de roles y haga clic en Guardar.
Varios buzones: seleccione varios buzones del mismo tipo (por ejemplo, Usuario) seleccionando un buzón, manteniendo presionada la tecla Mayús y seleccionando otro buzón más abajo en la lista o manteniendo presionada la tecla Ctrl mientras selecciona cada buzón. En el panel de detalles (que ahora se denomina Edición masiva): haga clic en Más opciones> , haga clic en Actualizar. En la sección Directiva de asignación de roles, seleccione la directiva de asignación de roles en la ventana que aparece > y haga clic en Guardar.
Uso de PowerShell de Exchange Online para modificar las asignaciones de directivas de asignación de roles en buzones
Para cambiar la asignación de directivas de asignación de roles en un buzón específico, use esta sintaxis:
Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
En este ejemplo se aplica la directiva de asignación de roles denominada Administradores de Contoso al buzón denominado Pedro Pizarro.
Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
Para cambiar la asignación de todos los buzones que tienen asignada una directiva de asignación de roles específica, use la sintaxis siguiente:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'
En este ejemplo se cambia la directiva de asignación de roles de Directiva de asignación de roles predeterminada a Personal de Contoso para todos los buzones que actualmente tienen asignada la directiva de asignación de roles predeterminada.
$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'