Roles integrados de Microsoft Entra
En Microsoft Entra ID, si otro administrador o no administrador necesita administrar recursos de Microsoft Entra, se le asignará un rol de Microsoft Entra que le proporcione los permisos que necesita. Por ejemplo, puede asignar roles para permitir la adición o modificación de usuarios, el restablecimiento de contraseñas de usuario, la administración de licencias de usuario o la administración de nombres de dominio.
En este artículo se enumeran los roles integrados de Microsoft Entra que puede asignar para permitir la administración de recursos de Microsoft Entra. Para obtener información sobre cómo asignar roles, vea Asignar roles de Microsoft Entra a los usuarios. Si busca roles para administrar recursos de Azure, consulte Roles integrados de Azure.
Todos los roles
| Rol | Descripción | Id. de plantilla |
|---|---|---|
| Administrador de aplicaciones | Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Desarrollador de aplicaciones | Puede crear registros de aplicación independientemente de la opción de configuración "Los usuarios pueden registrar aplicaciones". |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autor de la carga de ataque | Puede crear cargas de ataque que un administrador podrá iniciar más tarde. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administrador de simulación de ataque | Puede crear y administrar todos los aspectos de las campañas de simulación de ataques. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Administrador de asignaciones de atributos | Asignar valores y claves de atributos de seguridad personalizados a objetos de Microsoft Entra admitidos. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Lector de asignaciones de atributos | Lectura de valores y claves de atributos de seguridad personalizados para objetos de Microsoft Entra admitidos. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Administrador de definiciones de atributos | Definir y administrar la definición de atributos de seguridad personalizados. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Lector de definiciones de atributos | Leer la definición de atributos de seguridad personalizados. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Administrador del registro de atributos | Leer registros de auditoría y configurar valores de diagnóstico para eventos relacionados con atributos de seguridad personalizados. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Lector de registro de atributos | Leer los registros de auditoría relacionados con los atributos de seguridad personalizados. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Administrador de autenticación | Puede ver, configurar y restablecer la información de los métodos de autenticación de cualquier usuario que no sea administrador. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Administrador de extensibilidad de autenticación | Personalice las experiencias de inicio de sesión y registro para los usuarios mediante la creación y administración de extensiones de autenticación personalizadas. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| Administrador de directivas de autenticación | Puede crear y administrar la directiva de métodos de autenticación, la configuración de MFA para todo el inquilino, la directiva de protección de contraseñas y las credenciales verificables. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Administrador de Azure DevOps | Puede administrar la configuración y las directivas de Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Administrador de Azure Information Protection | Puede administrar todos los aspectos del producto Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Administrador de conjuntos de claves B2C con IEF | Puede administrar los secretos de federación y cifrado en Identity Experience Framework (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Administrador de directivas B2C con IEF | Puede crear y administrar las directivas relativas a los marcos de confianza en Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Administrador de facturación | Puede realizar tareas comunes relacionadas con la facturación como actualizar la información de pago. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Administrador de Cloud App Security | Puede administrar todos los aspectos del producto para aplicaciones Defender for Cloud. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Administrador de aplicaciones en la nube | Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales, excepto el proxy de aplicación. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Administrador de dispositivos en la nube | Acceso limitado para administrar dispositivos en Microsoft Entra id. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Administrador de cumplimiento | Puede leer y administrar la configuración y los informes de cumplimiento en Microsoft Entra ID y Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Administrador de datos de cumplimiento | Crea y administra el contenido de cumplimiento. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administrador de acceso condicional | Puede administrar las funcionalidades de acceso condicional. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Aprobador del acceso a la Caja de seguridad del cliente | Puede aprobar solicitudes de soporte técnico de Microsoft para acceder a datos de la organización del cliente. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Administrador de Análisis de escritorio | Puede acceder a servicios y herramientas de administración de escritorio, y administrarlos. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Lectores de directorio | Puede leer la información básica del directorio. Normalmente se usa para conceder acceso de lectura al directorio, a las aplicaciones e invitados. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Cuentas de sincronización de directorios | Solo lo usa el servicio Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Escritores de directorios | Puede leer y escribir información básica del directorio. Para conceder acceso a aplicaciones; no pensado para los usuarios. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Administrador de nombres de dominio | Puede administrar los nombres de dominio en la nube y en el entorno local. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Administrador de Dynamics 365 | Puede administrar todos los aspectos del producto Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Administrador de Dynamics 365 Business Central | Accede a todas las tareas administrativas y realízalas todas en entornos de Dynamics 365 Business Central. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Administrador de Edge | Administración de todos los aspectos de Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Administrador de Exchange | Puede administrar todos los aspectos del producto Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Administrador de destinatarios de Exchange | Puede crear o actualizar los destinatarios de Exchange Online dentro de la organización de Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Administrador de flujos de usuarios con identificador externo | Puede crear y administrar todos los aspectos de los flujos de usuario. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administrador de atributos de flujos de usuarios con identificador externo | Puede crear y administrar el esquema de atributos disponible para todos los flujos de usuario. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Administrador de proveedor de identidades externo | Puede configurar los proveedores de identidades para su uso en la federación directa. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Administrador de Fabric | Puede administrar todos los aspectos de los productos Fabric y Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Administrador global | Puede administrar todos los aspectos de Microsoft Entra ID y los servicios de Microsoft que usan identidades de Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
| Lector global | Puede leer los mismos elementos que un administrador global, pero no puede actualizar nada. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Administrador de Acceso seguro global | Cree y administre todos los aspectos de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra, incluida la administración del acceso a puntos de conexión públicos y privados. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Administrador de grupos | Los miembros de este rol pueden crear o administrar grupos, crear o administrar la configuración de grupos, como directivas de nomenclatura y expiración, y ver informes de actividad y auditoría de grupos. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Invitador de usuarios | Puede invitar a usuarios independientemente de la configuración "Members can invite guests" (Los miembros pueden invitar a usuarios). | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Administrador del departamento de soporte técnico | Puede restablecer contraseñas de usuarios que no son administradores y de administradores del departamento de soporte técnico. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Administrador de identidades híbridas | Puedes administrar el aprovisionamiento en la nube de Microsoft Entra Directory, Microsoft Entra Connect, la autenticación de paso a través (PTA), la sincronización de hash de contraseñas (PHS), el inicio de sesión único de conexión directa (SSO de conexión directa) y la configuración de federación. No tiene acceso para administrar Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Administrador de Identity Governance | Administrar el acceso mediante Microsoft Entra ID para escenarios de gobernanza de identidades. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Administrador de Insights | Tiene acceso administrativo en la aplicación Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Analista de Ideas | Acceda a las funcionalidades analíticas de Microsoft Viva Insights y ejecute consultas personalizadas. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Coordinador de Insights de la empresa | Puede ver y compartir paneles y conclusiones mediante la aplicación Insights de Microsoft 365. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Administrador de Intune | Puede administrar todos los aspectos del producto Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Administrador de Kaizala | Puede administrar la configuración de Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Administrador de conocimientos | Puede configurar el conocimiento, el aprendizaje y otras características inteligentes. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Administrador de conocimiento | Puede organizar, crear, administrar y promover temas y conocimientos. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Administrador de licencias | Puede administrar licencias de producto de usuarios y grupos. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Administrador de flujos de trabajo del ciclo de vida | Cree y administre todos los aspectos de los flujos de trabajo y las tareas asociados con los flujos de trabajo del ciclo de vida en Microsoft Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
| Lector de privacidad del Centro de mensajes | Puede leer los mensajes de seguridad y las actualizaciones solo en el Centro de mensajes de Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Lector del centro de mensajes | Puede leer los mensajes y las actualizaciones para su organización solo en el Centro de mensajes de Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Administrador de migración de Microsoft 365 | Realice toda la funcionalidad de migración para migrar contenido a Microsoft 365 mediante el Administrador de migración. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Administrador local de dispositivos unidos a Microsoft Entra | Los usuarios asignados a este rol se agregan al grupo de administradores locales en dispositivos unidos a Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Administrador de garantía de hardware de Microsoft | Puede crear y administrar todos los aspectos de las reclamaciones y derechos de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Especialista en garantía de hardware de Microsoft | Puede crear y leer reclamaciones de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Administrador de comercio moderno | Puede administrar las compras comerciales de una empresa, departamento o equipo. | d24aef57-1500-4070-84db-2666f29cf966 |
| Administrador de red | Puede administrar ubicaciones de red y revisar la información del diseño de las redes de empresa para aplicaciones de software como servicio de Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Administrador de aplicaciones de Office | Puede administrar los servicios en la nube de las aplicaciones de Office, incluida la administración de las directivas y la configuración. También puede administrar la posibilidad de seleccionar, anular la selección y publicar el contenido relativo a la característica "novedades" para los dispositivos del usuario final. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Administrador de personalización de marca de la organización | Administre todos los aspectos de la personalización de marca de la organización en un inquilino. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| Aprobador de mensajes organizativos | Revise, apruebe o rechace nuevos mensajes organizativos para su entrega en el Centro de administración de Microsoft 365 antes de enviarlos a los usuarios. | e48398e2-f4bb-4074-8f31-4586725e205b |
| Escritor de mensajes de la organización | Puede escribir, publicar, administrar y revisar los mensajes de la organización para los usuarios finales a través de las superficies de productos de Microsoft. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Soporte para asociados de nivel 1 | No lo use. No está pensado para el uso general. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Soporte para asociados de nivel 2 | No lo use. No está pensado para el uso general. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Administrador de contraseñas | Puede restablecer contraseñas para usuarios que no son administradores y para administradores de contraseñas. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Administrador de la administración de permisos | Administrar todos los aspectos de administración de permisos de Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Administrador de Power Platform | Puede crear y administrar todos los aspectos de Microsoft Dynamics 365, Power Apps y Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Administrador de impresoras | Puede administrar todos los aspectos de impresoras y conectores de impresora. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Técnico de impresoras | Puede registrar impresoras, así como anular dicho registro, y actualizar su estado. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Administrador de autenticación con privilegios | Puede ver, configurar y restablecer la información de los métodos de autenticación de cualquier usuario (administrador o no administrador). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administrador de roles con privilegios | Puede administrar las asignaciones de roles en Microsoft Entra ID y todos los aspectos de Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Lector de informes | Puede leer los informes de inicio de sesión y auditoría. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Administrador de búsqueda | Puede crear y administrar todos los aspectos de la configuración de Búsqueda de Microsoft. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Editor de búsqueda | Puede crear y administrar contenido editorial como marcadores, preguntas y respuestas, ubicaciones y plano de planta. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Administrador de seguridad | Puede leer información de seguridad e informes y administrar la configuración en Microsoft Entra ID y Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operador de seguridad | Crea y administra los eventos de seguridad. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Lector de seguridad | Puede leer información de seguridad e informes en Microsoft Entra ID y Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Administrador de soporte técnico de servicios | Puede leer la información de estado del servicio y administrar las incidencias de soporte técnico. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Administrador de SharePoint | Puede administrar todos los aspectos del servicio SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Administrador integrado de SharePoint | Administrar todos los aspectos de los contenedores de SharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
| Administrador de Skype Empresarial | Puede administrar todos los aspectos del producto Skype Empresarial. | 75941009-915a-4869-abe7-691bff18279e |
| Administrador de Teams | Puede administrar el servicio Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Administrador de comunicaciones de Teams | Puede administrar las características de llamadas y reuniones del servicio Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Ingeniero de soporte técnico de comunicaciones de Teams | Puede solucionar los problemas de comunicaciones dentro de Teams mediante herramientas avanzadas. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Especialista de soporte técnico de comunicaciones de Teams | Puede solucionar los problemas de comunicaciones dentro de Teams mediante herramientas básicas. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Administrador de dispositivos de Teams | Puede realizar tareas relacionadas con la administración en dispositivos certificados para Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Administrador de telefonía de Teams | Administre las características de voz y telefonía, y solucione problemas de comunicación del servicio Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
| Creador de inquilinos | Cree nuevos inquilinos de Microsoft Entra o Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Lector de informes de resumen de uso | Leer Informes de uso y Puntuación de adopción, pero no puede acceder a los detalles del usuario. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Administrador de usuarios | Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Administrador de Éxito de la experiencia del usuario | Ver los comentarios del producto, los resultados de la encuesta y los informes para encontrar oportunidades de entrenamiento y comunicación. | 27460883-1df1-4691-b032-3b79643e5e63 |
| Virtual Visits Administrator (Administrador de visitas virtuales) | Administrar y compartir métricas e información de visitas virtuales desde los centros de administración o la aplicación Visitas virtuales. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Administrador de Viva Goals | Administre y configure todos los aspectos de Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Administrador de Viva Pulse | Puede administrar toda la configuración de la aplicación Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Administrador de Windows 365 | Puede aprovisionar y administrar todos los aspectos de los PC en la nube. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Administrador de implementación de Windows Update | Puede crear y administrar todos los aspectos de las implementaciones de Windows Update a través del servicio de implementación de Windows Update para empresas. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Administrador de Yammer | Administre todos los aspectos del servicio de Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrador de aplicaciones
Se trata de un rol con privilegios. los usuarios con este rol pueden crear y administrar todos los aspectos de las aplicaciones empresariales, los registros de aplicaciones y la configuración del proxy de aplicación. Tenga en cuenta que los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.
Este rol también concede la posibilidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, a excepción de los permisos de aplicación para Microsoft Graph y Azure AD Graph.
Importante
Esta excepción significa que aún puede dar su consentimiento a los permisos de la aplicación para otras aplicaciones (por ejemplo, otras aplicaciones de Microsoft, aplicaciones de terceros o aplicaciones que haya registrado). Todavía puede solicitar estos permisos como parte del registro de la aplicación, pero conceder (es decir, dar su consentimiento a) estos permisos requiere un administrador con más privilegios, como El administrador de roles con privilegios.
Este rol concede la capacidad de administrar credenciales de la aplicación. Los usuarios asignados a este rol pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. Si a la identidad de la aplicación se le ha concedido acceso a un recurso, como la capacidad para crear o actualizar usuarios u otros objetos, un usuario asignado a este rol puede realizar esas acciones mientras suplanta la identidad de la aplicación. Esta capacidad de suplantar la identidad de la aplicación puede ser una elevación de privilegios sobre qué puede hacer el usuario mediante sus asignaciones de roles. Es importante saber que, al asignar a un usuario el rol de Administrador de aplicaciones, se le concede la capacidad de suplantar la identidad de la aplicación.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Administrar directivas de solicitud de consentimiento del administrador en Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID |
| microsoft.directory/applicationPolicies/basic/update | Actualizar las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applicationPolicies/create | Crear directivas de aplicación |
| microsoft.directory/applicationPolicies/delete | Eliminar directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/read | Leer los propietarios en directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/update | Actualizar la propiedad de propietario de las directivas de aplicación |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leer las directivas de aplicación aplicadas a la lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Leer las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applications/applicationProxyAuthentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/applicationProxy/read | Leer todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/applicationProxySslCertificate/update | Actualización de la configuración del certificado SSL para el proxy de aplicación |
| microsoft.directory/applications/applicationProxy/update | Actualizar todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Actualización de la configuración de la dirección URL para el proxy de aplicación |
| microsoft.directory/applications/appRoles/update | Actualizar la propiedad appRoles en todos los tipos de aplicaciones |
| microsoft.directory/applications/audience/update | Actualizar la propiedad de público para las aplicaciones |
| microsoft.directory/applications/authentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/basic/update | Actualizar las propiedades básicas de las aplicaciones |
| microsoft.directory/applications/create | Crear todos los tipos de aplicaciones |
| microsoft.directory/applications/credentials/update | Actualizar las credenciales de la aplicación |
| microsoft.directory/applications/delete | Eliminar todos los tipos de aplicaciones |
| microsoft.directory/applications/extensionProperties/update | Actualizar las propiedades de extensión en aplicaciones |
| microsoft.directory/applications/notes/update | Actualizar las notas de las aplicaciones |
| microsoft.directory/applications/owners/update | Actualizar los propietarios de las aplicaciones |
| microsoft.directory/applications/permissions/update | Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones |
| microsoft.directory/applications/policies/update | Actualizar las directivas de las aplicaciones |
| microsoft.directory/applications/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/applications/tag/update | Actualizar las etiquetas de las aplicaciones |
| microsoft.directory/applications/verification/update | Actualizar la propiedad applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación. |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/connectorGroups/allProperties/read | Leer todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectorGroups/allProperties/update | Actualizar todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectorGroups/create | Crear grupos de conectores de red privada |
| microsoft.directory/connectorGroups/delete | Eliminar grupos de conectores de red privada |
| microsoft.directory/connectors/allProperties/read | Leer todas las propiedades de los conectores de red privada |
| microsoft.directory/connectors/create | Crear conectores de red privada |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Crear y administrar extensiones de autenticación personalizadas |
| microsoft.directory/deletedItems.applications/delete | Eliminar permanente las aplicaciones, que ya no se pueden restaurar |
| microsoft.directory/deletedItems.applications/restore | Restaurar las aplicaciones eliminadas temporalmente a su estado original |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/servicePrincipals/audience/update | Actualizar las propiedades de público en las entidades de servicio |
| microsoft.directory/servicePrincipals/authentication/update | Actualizar las propiedades de autenticación en las entidades de servicio |
| microsoft.directory/servicePrincipals/basic/update | Actualizar las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/create | Creación de entidades de servicio |
| microsoft.directory/servicePrincipals/credentials/update | Actualizar las credenciales de las entidades de servicio |
| microsoft.directory/servicePrincipals/delete | Eliminar entidades de servicio |
| microsoft.directory/servicePrincipals/disable | Deshabilitar entidades de servicio |
| microsoft.directory/servicePrincipals/enable | Habilitación de entidades de servicio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Administrar las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Leer las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Conceder consentimiento para permisos de aplicación y permisos delegados en nombre de cualquier usuario o de todos los usuarios, excepto los permisos de aplicación para Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Actualizar las notas de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/update | Actualizar los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/permissions/update | Actualizar los permisos de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/update | Actualizar las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Administra las credenciales y los secretos de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/tag/update | Actualizar la propiedad de etiqueta de las entidades de servicio |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Desarrollador de aplicaciones
Se trata de un rol con privilegios. los usuarios con este rol pueden crear registros de aplicaciones cuando la opción "Los usuarios pueden registrar aplicaciones" está establecida en No. Esta función también concede permiso para dar consentimiento en nombre propio cuando la opción "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" está establecida en No. Los usuarios asignados a este rol se agregan como propietarios al crear nuevos registros de aplicaciones.
| Acciones | Descripción |
|---|---|
| microsoft.directory/applications/createAsOwner | Crear todos los tipos de aplicaciones y agregar el creador como primer propietario |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Crear concesiones de permisos de OAuth 2.0, con el creador como primer propietario |
| microsoft.directory/servicePrincipals/createAsOwner | Crear entidades de servicio, con el creador como primer propietario |
Autor de carga de ataque
Los usuarios de este rol pueden crear cargas de ataque, pero no iniciarlas ni programarlas. Las cargas de ataque están disponibles para todos los administradores del inquilino, que pueden usarlas para crear una simulación.
Para obtener más información, consulte Permisos de Microsoft Defender para Office 365 en el portal de Microsoft 365 Defender y Permisos en el portal de cumplimiento Microsoft Purview.
| Acciones | Descripción |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Crear y administrar cargas de ataque en el Simulador de ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado |
Administrador de simulación de ataque
Los usuarios de este rol pueden crear y administrar todos los aspectos de la creación de una simulación de ataque, iniciar o programar una simulación y revisar los resultados de la simulación. Los miembros de este rol tienen este acceso para todas las simulaciones del inquilino.
Para obtener más información, consulte Permisos de Microsoft Defender para Office 365 en el portal de Microsoft 365 Defender y Permisos en el portal de cumplimiento Microsoft Purview.
| Acciones | Descripción |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Crear y administrar cargas de ataque en el Simulador de ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Crear y administrar plantillas de simulaciones de ataques en el Simulador de ataques |
Administrador de asignaciones de atributos
Los usuarios con este rol pueden asignar y quitar claves y valores de atributo de seguridad personalizados para objetos admitidos de Microsoft Entra, como usuarios, entidades de servicio y dispositivos.
De manera predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados. Para trabajar con atributos de seguridad personalizados, debe tener asignado uno de los roles de atributos de seguridad personalizados.
Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Leer todas las propiedades de los conjuntos de atributos |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lectura de valores de atributos de seguridad personalizados para identidades administradas de Microsoft Entra |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Actualización de valores de atributos de seguridad personalizados para identidades administradas de Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leer todas las propiedades de las definiciones de atributos de seguridad personalizados |
| microsoft.directory/devices/customSecurityAttributes/read | Leer los valores de los atributos de seguridad personalizados para los dispositivos |
| microsoft.directory/devices/customSecurityAttributes/update | Actualizar los valores de los atributos de seguridad personalizados para los dispositivos |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Leer los valores de los atributos de seguridad personalizados para las entidades de servicio |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Actualizar los valores de los atributos de seguridad personalizados para las entidades de servicio |
| microsoft.directory/users/customSecurityAttributes/read | Leer los valores de los atributos de seguridad personalizados para los usuarios |
| microsoft.directory/users/customSecurityAttributes/update | Actualizar los valores de los atributos de seguridad personalizados para los usuarios |
Lector de asignaciones de atributos
Los usuarios con este rol pueden leer claves y valores de atributo de seguridad personalizados para los objetos Admitidos de Microsoft Entra.
De manera predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados. Para trabajar con atributos de seguridad personalizados, debe tener asignado uno de los roles de atributos de seguridad personalizados.
Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Leer todas las propiedades de los conjuntos de atributos |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lectura de valores de atributos de seguridad personalizados para identidades administradas de Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leer todas las propiedades de las definiciones de atributos de seguridad personalizados |
| microsoft.directory/devices/customSecurityAttributes/read | Leer los valores de los atributos de seguridad personalizados para los dispositivos |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Leer los valores de los atributos de seguridad personalizados para las entidades de servicio |
| microsoft.directory/users/customSecurityAttributes/read | Leer los valores de los atributos de seguridad personalizados para los usuarios |
Administrador de definiciones de atributos
Los usuarios con este rol pueden definir un conjunto válido de atributos de seguridad personalizados que se pueden asignar a objetos de Microsoft Entra admitidos. Este rol también puede activar y desactivar atributos de seguridad personalizados.
De manera predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados. Para trabajar con atributos de seguridad personalizados, debe tener asignado uno de los roles de atributos de seguridad personalizados.
Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Administrar todos los aspectos de los conjuntos de atributos |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Administrar todos los aspectos de las definiciones de atributos de seguridad personalizados |
Lector de definiciones de atributos
Los usuarios con este rol pueden leer la definición de los atributos de seguridad personalizados.
De manera predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados. Para trabajar con atributos de seguridad personalizados, debe tener asignado uno de los roles de atributos de seguridad personalizados.
Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Leer todas las propiedades de los conjuntos de atributos |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leer todas las propiedades de las definiciones de atributos de seguridad personalizados |
Administrador del registro de atributos
Asigne el rol Lector de registro de atributos a los usuarios que necesiten realizar las siguientes tareas:
- Leer de registros de auditoría para cambios de valor de atributos de seguridad personalizados
- Leer registros de auditoría para cambios y asignaciones de definiciones de atributos de seguridad personalizados
- Configuración de opciones de diagnóstico para atributos de seguridad personalizados
Los usuarios con este rol no pueden leer los registros de auditoría de otros eventos.
De manera predeterminada, el administrador global y otros roles de administrador no tienen permisos para leer los registros de auditoría de los atributos de seguridad personalizados. Para leer los registros de auditoría de los atributos de seguridad personalizados, debe tener asignado este rol o el rol Lector de registro de atributos.
Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Configuración de todos los aspectos de los valores de diagnóstico de atributos de seguridad personalizados |
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Leer los registros de auditoría relacionados con los atributos de seguridad personalizados |
Lector de registro de atributos
Asigne el rol Lector de registro de atributos a los usuarios que necesiten realizar las siguientes tareas:
- Leer de registros de auditoría para cambios de valor de atributos de seguridad personalizados
- Leer registros de auditoría para cambios y asignaciones de definiciones de atributos de seguridad personalizados
Los usuarios con este rol no pueden realizar las siguientes tareas:
- Configuración de opciones de diagnóstico para atributos de seguridad personalizados
- Leer registros de auditoría para otros eventos
De manera predeterminada, el administrador global y otros roles de administrador no tienen permisos para leer los registros de auditoría de los atributos de seguridad personalizados. Para leer los registros de auditoría de los atributos de seguridad personalizados, debe tener asignado este rol o el rol Administrador del registro de atributos.
Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Leer los registros de auditoría relacionados con los atributos de seguridad personalizados |
Administrador de autenticación
Se trata de un rol con privilegios. Asigne el rol Administrador de autenticación a los usuarios que necesiten realizar estas tareas:
- Establecer o restablecer cualquier método de autenticación (incluidas las contraseñas) para los usuarios que no son administradores y algunos otros roles. Para obtener una lista de los roles para los que un administrador de autenticación puede leer o actualizar sus métodos de autenticación, consulte Quién puede restablecer las contraseñas.
- Exigir que los usuarios que no son administradores o que tienen asignados algunos roles vuelvan a registrase con las credenciales existentes que no sean la contraseña (por ejemplo, MFA o FIDO) y también pueden revocar la opción recordar MFA en el dispositivo, que solicita MFA en el siguiente inicio de sesión.
- Administre la configuración de MFA en el Portal de administración de MFA heredado.
- Realizar acciones confidenciales para algunos usuarios. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
- Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden cambiar las credenciales ni restablecer la autenticación multifactor para los miembros y propietarios de un grupo al que se pueden asignar roles.
- No se pueden administrar tokens OATH de hardware.
En la tabla siguiente se comparan las funcionalidades de roles relacionados con la autenticación.
| Role | Administrar los métodos de autenticación del usuario | Administrar MFA por usuario | Administrar la configuración de MFA | Administrar la directiva del método de autenticación | Administrar la directiva de protección de contraseñas | Actualizar las propiedades confidenciales | Eliminar y restaurar usuarios |
|---|---|---|---|---|---|---|---|
| Administrador de autenticación | Sí, para algunos usuarios | Sí, para algunos usuarios | Sí | No | No | Sí, para algunos usuarios | Sí, para algunos usuarios |
| Administrador de autenticación con privilegios | Sí, para todos los usuarios | Sí, para todos los usuarios | No | N.º | No | Sí, para todos los usuarios | Sí, para todos los usuarios |
| Administrador de directivas de autenticación | No | Sí | Sí | Sí | Sí | No | No |
| Administrador de usuarios | No | N.º | N.º | N.º | No | Sí, para algunos usuarios | Sí, para algunos usuarios |
Importante
Los usuarios con este rol pueden cambiar las credenciales de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar las credenciales de un usuario puede significar la capacidad de asumir la identidad y los permisos de ese usuario. Por ejemplo:
- Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores de autenticación. Mediante esta ruta de acceso, un Administrador de autenticación puede asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
- Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
- Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
- Los administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
- Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/deletedItems.users/restore | Restauración de usuarios eliminados temporalmente al estado original |
| microsoft.directory/users/authenticationMethods/basic/update | Actualizar las propiedades básicas de los métodos de autenticación para los usuarios |
| microsoft.directory/users/authenticationMethods/create | Actualizar métodos de autenticación para usuarios |
| microsoft.directory/users/authenticationMethods/delete | Eliminar métodos de autenticación para los usuarios |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Leer las propiedades estándar de los métodos de autenticación que no incluyen información de identificación personal para los usuarios |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/delete | Eliminación de usuarios |
| microsoft.directory/users/disable | Deshabilita usuarios. |
| microsoft.directory/users/enable | Habilita usuarios. |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.directory/users/restore | Restaurar usuarios eliminados |
| microsoft.directory/users/userPrincipalName/update | Actualizar el nombre principal de usuario de los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de extensibilidad de autenticación
Se trata de un rol con privilegios. Asigne el rol Administrador de extensibilidad de autenticación a los usuarios que necesiten realizar las siguientes tareas:
- Crear y administrar todos los aspectos de las extensiones de autenticación personalizadas.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden asignar extensiones de autenticación personalizadas a las aplicaciones para modificar las experiencias de autenticación y no pueden dar su consentimiento a los permisos de aplicación ni crear registros de aplicaciones asociados a la extensión de autenticación personalizada. En su lugar, debe usar los roles Administrador de aplicaciones, Desarrollador de aplicaciones o Administrador de aplicaciones en la nube.
Una extensión de autenticación personalizada es un punto de conexión de API creado por un desarrollador para eventos de autenticación y se registra en Microsoft Entra ID. Los administradores de aplicaciones y los propietarios de aplicaciones pueden usar extensiones de autenticación personalizadas para personalizar las experiencias de autenticación de su aplicación, como el inicio de sesión y el registro, o el restablecimiento de contraseña.
| Acciones | Descripción |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Crear y administrar extensiones de autenticación personalizadas |
Administrador de directivas de autenticación
Asigne el rol Administrador de directiva de autenticación a los usuarios que necesiten realizar estas tareas:
- Configurar la directiva de métodos de autenticación, la configuración de MFA para todo el inquilino y la directiva de protección de contraseñas que determinan qué métodos puede registrar y usar cada usuario.
- Administrar la configuración de protección de contraseñas: configuraciones de bloqueo inteligente y actualización de la lista de contraseñas prohibidas personalizadas.
- Administre la configuración de MFA en el Portal de administración de MFA heredado.
- Crear y administrar credenciales verificables.
- Crea y administra incidencias de soporte técnico de Azure.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden actualizar las propiedades confidenciales. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
- No pueden eliminar ni restaurar usuarios. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
- No se pueden administrar tokens OATH de hardware.
En la tabla siguiente se comparan las funcionalidades de roles relacionados con la autenticación.
| Role | Administrar los métodos de autenticación del usuario | Administrar MFA por usuario | Administrar la configuración de MFA | Administrar la directiva del método de autenticación | Administrar la directiva de protección de contraseñas | Actualizar las propiedades confidenciales | Eliminar y restaurar usuarios |
|---|---|---|---|---|---|---|---|
| Administrador de autenticación | Sí, para algunos usuarios | Sí, para algunos usuarios | Sí | No | No | Sí, para algunos usuarios | Sí, para algunos usuarios |
| Administrador de autenticación con privilegios | Sí, para todos los usuarios | Sí, para todos los usuarios | No | N.º | No | Sí, para todos los usuarios | Sí, para todos los usuarios |
| Administrador de directivas de autenticación | No | Sí | Sí | Sí | Sí | No | No |
| Administrador de usuarios | No | N.º | N.º | N.º | No | Sí, para algunos usuarios | Sí, para algunos usuarios |
| Acciones | Descripción |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/organization/strongAuthentication/allTasks | Administrar todos los aspectos de las propiedades de autenticación sólida de una organización |
| microsoft.directory/userCredentialPolicies/basic/update | Actualizar las directivas básicas de los usuarios |
| microsoft.directory/userCredentialPolicies/create | Crear directivas de credenciales para los usuarios |
| microsoft.directory/userCredentialPolicies/delete | Eliminar directivas de credenciales para los usuarios |
| microsoft.directory/userCredentialPolicies/owners/read | Leer los propietarios de directivas de credenciales para los usuarios |
| microsoft.directory/userCredentialPolicies/owners/update | Actualizar los propietarios de directivas de credenciales para los usuarios |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Leer el vínculo de navegación policy.appliesTo |
| microsoft.directory/userCredentialPolicies/standard/read | Leer las propiedades estándar de las directivas de credenciales para los usuarios |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Actualizar la propiedad policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lea la configuración necesaria para crear y administrar credenciales verificables. |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuración de actualización necesaria para crear y administrar credenciales verificables |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lea un contrato de credencial verificable. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Actualice un contrato de credencial verificable |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lea una tarjeta de credencial verificable. |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Revoque una tarjeta de credencial verificable. |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Cree un contrato de credencial verificable |
| microsoft.directory/verifiableCredentials/configuration/create | Cree la configuración necesaria para crear y administrar credenciales verificables. |
| microsoft.directory/verifiableCredentials/configuration/delete | Elimine la configuración necesaria para crear y administrar credenciales verificables y elimine todas las credenciales verificables |
Administrador de Azure DevOps
Los usuarios con este rol pueden administrar todas las directivas empresariales de Azure DevOps, aplicables a todas las organizaciones de Azure DevOps respaldadas por Microsoft Entra ID. Los usuarios de este rol pueden administrar estas directivas; para ello, vaya a cualquier organización de Azure DevOps respaldada por Microsoft Entra ID de la empresa. Además, los usuarios de este rol pueden reclamar la propiedad de organizaciones huérfanas de Azure DevOps. Este rol no concede ningún otro permiso específico de Azure DevOps (por ejemplo, administradores de la colección de proyectos) en ninguna de las organizaciones de Azure DevOps respaldadas por la organización de Microsoft Entra de la empresa.
| Acciones | Descripción |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Leer y configurar Azure DevOps |
Administrador de Azure Information Protection
los usuarios con este rol tienen todos los permisos en el servicio Azure Information Protection. Este rol permite configurar las etiquetas de la directiva de Azure Information Protection, administrar plantillas de protección y activar la protección. Este rol no concede ningún permiso en Protección de Microsoft Entra ID, Privileged Identity Management, la supervisión del estado del servicio de Microsoft365, el portal de Microsoft 365 Defender o el portal de cumplimiento de Microsoft Purview.
| Acciones | Descripción |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Administrar todos los aspectos de Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de conjuntos de claves B2C con IEF
Se trata de un rol con privilegios. El usuario puede crear y administrar claves de directiva y secretos de cifrado de tokens, firmas de tokens y cifrado y descifrado de notificaciones. Al agregar nuevas claves a los contenedores de claves existentes, este administrador limitado puede rotar los secretos según sea necesario sin que ello afecte a las aplicaciones existentes. Este usuario puede ver todo el contenido de estos secretos y sus fechas de expiración incluso después de su creación.
Importante
Se trata de un rol confidencial. El rol Administrador del conjunto de claves se debe auditar y asignar con cuidado durante las fases de preproducción y producción.
| Acciones | Descripción |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Leer y configurar los conjuntos de claves en Azure Active Directory B2C |
Administrador de directivas B2C con IEF
Los usuarios con este rol tienen la posibilidad de crear, leer, actualizar y eliminar todas las directivas personalizadas de Azure AD B2C y, por tanto, tienen control total sobre Identity Experience Framework en la organización de Azure AD B2C pertinente. Mediante la edición de directivas, este usuario puede establecer la federación directa con proveedores de identidades externos, cambiar el esquema de directorios, cambiar todo el contenido al que pueden acceder los usuarios (HTML, CSS, JavaScript), cambiar los requisitos para realizar una autenticación, crear nuevos usuarios, enviar datos de usuario a sistemas externos incluyendo migraciones completas, y editar la información de todos los usuarios, incluidos los campos confidenciales como las contraseñas y los números de teléfono. Por el contrario, este rol no puede cambiar las claves de cifrado ni editar los secretos usados para la federación en la organización.
Importante
El rol de administrador de directivas B2C con IEF es un rol delicado que se debe asignar de manera muy limitada para las organizaciones de producción. Las actividades de estos usuarios se deben auditar estrechamente, en especial en las organizaciones de producción.
| Acciones | Descripción |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Leer y configurar las directivas personalizadas en Azure Active Directory B2C |
Administrador de facturación
hace compras, administra suscripciones, administra incidencias de soporte técnico y supervisa el estado del servicio.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Administrar todos los aspectos de la facturación de Office 365 |
| microsoft.directory/organization/basic/update | Actualizar las propiedades básicas de la organización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Cloud App Security
Los usuarios con este rol tienen permisos totales en Defender for Cloud para aplicaciones. Pueden agregar administradores, agregar directivas y configuraciones de Microsoft Defender for Cloud para aplicaciones, cargar registros y realizar acciones de gobernanza.
| Acciones | Descripción |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de aplicaciones en la nube
Se trata de un rol con privilegios. los usuarios con este rol tienen los mismos permisos que el rol de administrador de la aplicación, excluida la capacidad de administrar el proxy de aplicación. Este rol concede la capacidad de crear y administrar todos los aspectos de las aplicaciones empresariales y los registros de aplicaciones. Los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.
Este rol también concede la posibilidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, a excepción de los permisos de aplicación para Microsoft Graph y Azure AD Graph.
Importante
Esta excepción significa que aún puede dar su consentimiento a los permisos de la aplicación para otras aplicaciones (por ejemplo, otras aplicaciones de Microsoft, aplicaciones de terceros o aplicaciones que haya registrado). Todavía puede solicitar estos permisos como parte del registro de la aplicación, pero conceder (es decir, dar su consentimiento a) estos permisos requiere un administrador con más privilegios, como El administrador de roles con privilegios.
Este rol concede la capacidad de administrar credenciales de la aplicación. Los usuarios asignados a este rol pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. Si a la identidad de la aplicación se le ha concedido acceso a un recurso, como la capacidad para crear o actualizar usuarios u otros objetos, un usuario asignado a este rol puede realizar esas acciones mientras suplanta la identidad de la aplicación. Esta capacidad de suplantar la identidad de la aplicación puede ser una elevación de privilegios sobre qué puede hacer el usuario mediante sus asignaciones de roles. Es importante saber que, al asignar a un usuario el rol de Administrador de aplicaciones, se le concede la capacidad de suplantar la identidad de la aplicación.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Administrar directivas de solicitud de consentimiento del administrador en Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID |
| microsoft.directory/applicationPolicies/basic/update | Actualizar las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applicationPolicies/create | Crear directivas de aplicación |
| microsoft.directory/applicationPolicies/delete | Eliminar directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/read | Leer los propietarios en directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/update | Actualizar la propiedad de propietario de las directivas de aplicación |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leer las directivas de aplicación aplicadas a la lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Leer las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applications/appRoles/update | Actualizar la propiedad appRoles en todos los tipos de aplicaciones |
| microsoft.directory/applications/audience/update | Actualizar la propiedad de público para las aplicaciones |
| microsoft.directory/applications/authentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/basic/update | Actualizar las propiedades básicas de las aplicaciones |
| microsoft.directory/applications/create | Crear todos los tipos de aplicaciones |
| microsoft.directory/applications/credentials/update | Actualizar las credenciales de la aplicación |
| microsoft.directory/applications/delete | Eliminar todos los tipos de aplicaciones |
| microsoft.directory/applications/extensionProperties/update | Actualizar las propiedades de extensión en aplicaciones |
| microsoft.directory/applications/notes/update | Actualizar las notas de las aplicaciones |
| microsoft.directory/applications/owners/update | Actualizar los propietarios de las aplicaciones |
| microsoft.directory/applications/permissions/update | Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones |
| microsoft.directory/applications/policies/update | Actualizar las directivas de las aplicaciones |
| microsoft.directory/applications/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/applications/tag/update | Actualizar las etiquetas de las aplicaciones |
| microsoft.directory/applications/verification/update | Actualizar la propiedad applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación. |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/deletedItems.applications/delete | Eliminar permanente las aplicaciones, que ya no se pueden restaurar |
| microsoft.directory/deletedItems.applications/restore | Restaurar las aplicaciones eliminadas temporalmente a su estado original |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/servicePrincipals/audience/update | Actualizar las propiedades de público en las entidades de servicio |
| microsoft.directory/servicePrincipals/authentication/update | Actualizar las propiedades de autenticación en las entidades de servicio |
| microsoft.directory/servicePrincipals/basic/update | Actualizar las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/create | Creación de entidades de servicio |
| microsoft.directory/servicePrincipals/credentials/update | Actualizar las credenciales de las entidades de servicio |
| microsoft.directory/servicePrincipals/delete | Eliminar entidades de servicio |
| microsoft.directory/servicePrincipals/disable | Deshabilitar entidades de servicio |
| microsoft.directory/servicePrincipals/enable | Habilitación de entidades de servicio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Administrar las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Leer las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Conceder consentimiento para permisos de aplicación y permisos delegados en nombre de cualquier usuario o de todos los usuarios, excepto los permisos de aplicación para Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Actualizar las notas de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/update | Actualizar los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/permissions/update | Actualizar los permisos de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/update | Actualizar las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Administra las credenciales y los secretos de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/tag/update | Actualizar la propiedad de etiqueta de las entidades de servicio |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de dispositivos en la nube
Se trata de un rol con privilegios. Los usuarios de este rol pueden habilitar, deshabilitar y eliminar dispositivos en Microsoft Entra ID y leer las claves de BitLocker de Windows 10 (si están presentes) en Azure Portal. El rol no concede permisos para administrar otras propiedades en el dispositivo.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/deletedItems.devices/delete | Eliminar permanente los dispositivos que ya no se pueden restaurar |
| microsoft.directory/deletedItems.devices/restore | Restaurar los dispositivos eliminados temporalmente a su estado original |
| microsoft.directory/deviceLocalCredentials/password/read | Lectura de todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, incluida la contraseña |
| microsoft.directory/deviceManagementPolicies/basic/update | Actualización de las propiedades básicas en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceManagementPolicies/standard/read | Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Actualizar las propiedades básicas en las directivas de registro de dispositivos |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lectura de las propiedades estándar de las directivas de registro de dispositivos. |
| microsoft.directory/devices/delete | Eliminar los dispositivos de Microsoft Entra ID |
| microsoft.directory/devices/disable | Deshabilitar los dispositivos en Microsoft Entra ID |
| microsoft.directory/devices/enable | Habilitar los dispositivos en Microsoft Entra ID |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
Administrador de cumplimiento
Los usuarios con este rol tienen permisos para administrar las características relacionadas con el cumplimiento en el portal de cumplimiento de Microsoft Purview, el Centro de administración de Microsoft 365, Azure y el portal de Microsoft 365 Defender. Los usuarios asignados también pueden administrar todas las características dentro del Centro de administración de Exchange, así como crear incidencias de soporte técnico para Azure y Microsoft 365. Para obtener más información, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.
| En | Puede hacer |
|---|---|
| Portal de cumplimiento de Microsoft Purview | Proteger y administrar los datos de la organización en los servicios de Microsoft 365 Administrar las alertas de cumplimiento |
| Administrador de cumplimiento de Microsoft Purview | Controlar, asignar y verificar las actividades de cumplimiento normativo de su organización |
| Portal de Microsoft 365 Defender | Administrar la gobernanza de datos Realizar investigaciones legales y de datos Administrar solicitudes de interesados de datos Este rol tiene los mismos permisos que el grupo de roles Administrador de cumplimiento en el control de acceso basado en roles del portal de Microsoft 365 Defender. |
| Intune | Ver todos los datos de auditoría de Intune |
| Microsoft Defender para aplicaciones en la nube | Tiene permisos de solo lectura y puede administrar alertas Puede crear y modificar las directivas de archivo y permitir acciones de gobernanza de archivos Puede ver todos los informes integrados en Administración de datos |
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/entitlementManagement/allProperties/read | Leer todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.office365.complianceManager/allEntities/allTasks | Administra todos los aspectos del Administrador de cumplimiento de Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de datos de cumplimiento
Los usuarios con este rol tienen permisos para realizar un seguimiento de los datos del Portal de cumplimiento de Microsoft Purview, el Centro de administración de Microsoft 365 y Azure. Los usuarios también pueden hacer un seguimiento de los datos de cumplimiento en el Centro de administración de Exchange, el Administrador de cumplimiento y el Centro de administración de Teams y Skype for Business, así como crear incidencias de soporte técnico para Azure y Microsoft 365. Para obtener más información sobre las diferencias entre el Administrador de cumplimiento y el Administrador de datos de cumplimiento, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y el cumplimiento de Microsoft Purview.
| En | Puede hacer |
|---|---|
| Portal de cumplimiento de Microsoft Purview | Supervisión de las directivas relacionadas con el cumplimiento en servicios de Microsoft 365 Administrar las alertas de cumplimiento |
| Administrador de cumplimiento de Microsoft Purview | Controlar, asignar y verificar las actividades de cumplimiento normativo de su organización |
| Portal de Microsoft 365 Defender | Administrar la gobernanza de datos Realizar investigaciones legales y de datos Administrar solicitudes de interesados de datos Este rol tiene los mismos permisos que el grupo de roles Administrador de datos de cumplimiento en el control de acceso basado en roles del portal de Microsoft 365 Defender. |
| Intune | Ver todos los datos de auditoría de Intune |
| Microsoft Defender para aplicaciones en la nube | Tiene permisos de solo lectura y puede administrar alertas Puede crear y modificar las directivas de archivo y permitir acciones de gobernanza de archivos Puede ver todos los informes integrados en Administración de datos |
| Acciones | Descripción |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Administrar todos los aspectos de Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones |
| microsoft.office365.complianceManager/allEntities/allTasks | Administra todos los aspectos del Administrador de cumplimiento de Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de acceso condicional
Se trata de un rol con privilegios. Los usuarios con este rol tienen la capacidad de administrar la configuración de acceso condicional de Microsoft Entra.
| Acciones | Descripción |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Actualizar las propiedades básicas de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Creación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/read | Leer los propietarios de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/update | Actualizar los propietarios de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leer la propiedad "applied to" para las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leer el acceso condicional de las directivas |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Actualizar el inquilino predeterminado de las directivas de acceso condicional |
| microsoft.directory/namedLocations/basic/update | Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/create | Cree reglas personalizadas que definan las ubicaciones de red |
| microsoft.directory/namedLocations/delete | Elimine las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/standard/read | Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365 |
Aprobador del acceso a la Caja de seguridad del cliente
Administra las solicitudes de la Caja de seguridad del cliente de Microsoft Purview en la organización. Reciben notificaciones por correo electrónico para las solicitudes de la Caja de seguridad del cliente y pueden aprobar y rechazar solicitudes del centro de administración de Microsoft 365. También pueden activar o desactivar la característica de la Caja de seguridad del cliente. Solo los Administradores globales pueden restablecer las contraseñas de las personas asignadas a este rol.
| Acciones | Descripción |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Administrar todos los aspectos de la Caja de seguridad del cliente |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de análisis de escritorio
Los usuarios con este rol pueden administrar el servicio de Análisis de escritorio. Esto incluye la posibilidad de ver el inventario de recursos, crear planes de implementación y ver la implementación y el estado de mantenimiento.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Administrar todos los aspectos del Análisis de escritorio |
Lectores de directorios
Los usuarios que tienen este rol pueden leer la información básica del directorio. Debe utilizarse para:
- Conceder acceso de lectura a un conjunto específico de usuarios invitados, en lugar de hacerlo para todos los usuarios invitados.
- Conceder acceso al centro de administración de Microsoft Entra a un conjunto específico de usuarios que no sean administradores cuando la opción "Restringir el acceso al Centro de administración Microsoft Entra" está establecida en "Sí".
- Conceder acceso a las entidades de servicio a aquellos directorios en los que Directory.Read.All no sea una opción.
| Acciones | Descripción |
|---|---|
| microsoft.directory/administrativeUnits/members/read | Leer los miembros de unidades administrativas |
| microsoft.directory/administrativeUnits/standard/read | Leer las propiedades básicas en unidades administrativas |
| microsoft.directory/applicationPolicies/standard/read | Leer las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applications/owners/read | Leer los propietarios de las aplicaciones |
| microsoft.directory/applications/policies/read | Leer las directivas de las aplicaciones |
| microsoft.directory/applications/standard/read | Leer las propiedades estándar de las aplicaciones |
| microsoft.directory/contacts/memberOf/read | Leer la pertenencia a grupos para todos los contactos de Microsoft Entra ID |
| microsoft.directory/contacts/standard/read | Leer las propiedades básicas de los contactos en Microsoft Entra ID |
| microsoft.directory/contracts/standard/read | Leer las propiedades básicas en los contratos de socios |
| microsoft.directory/devices/memberOf/read | Leer las pertenencias de dispositivos |
| microsoft.directory/devices/registeredOwners/read | Leer los propietarios registrados de los dispositivos |
| microsoft.directory/devices/registeredUsers/read | Leer los usuarios registrados de los dispositivos |
| microsoft.directory/devices/standard/read | Leer las propiedades básicas en los dispositivos |
| microsoft.directory/directoryRoles/eligibleMembers/read | Leer los miembros aptos de los roles de Microsoft Entra |
| microsoft.directory/directoryRoles/members/read | Leer todos los miembros de los roles de Microsoft Entra |
| microsoft.directory/directoryRoles/standard/read | Lectura de las propiedades básicas de los roles de Microsoft Entra |
| microsoft.directory/domains/standard/read | Leer las propiedades básicas en los dominios |
| microsoft.directory/groups/appRoleAssignments/read | Leer asignaciones de roles de aplicación de grupos |
| microsoft.directory/groupSettings/standard/read | Leer las propiedades básicas de la configuración de grupo |
| microsoft.directory/groupSettingTemplates/standard/read | Leer las propiedades básicas de las plantillas de configuración de grupo |
| microsoft.directory/groups/memberOf/read | Leer la propiedad memberOf de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/members/read | Leer los miembros de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/owners/read | Leer los propietarios de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/settings/read | Leer la configuración de los grupos |
| microsoft.directory/groups/standard/read | Leer las propiedades estándar de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Leer las propiedades básicas de las concesiones de permisos de OAuth 2.0 |
| microsoft.directory/organization/standard/read | Leer las propiedades básicas de una organización |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Leer las entidades de certificación de confianza para la autenticación sin contraseña |
| microsoft.directory/roleAssignments/standard/read | Leer las propiedades básicas de las asignaciones de roles |
| microsoft.directory/roleDefinitions/standard/read | Leer las propiedades básicas de las definiciones de roles |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leer las asignaciones de roles de la entidad de servicio |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Leer las asignaciones de roles asignadas a las entidades de servicio |
| microsoft.directory/servicePrincipals/memberOf/read | Leer las pertenencias a grupos en entidades de servicio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Leer las concesiones de permisos delegados de las entidades de servicio |
| microsoft.directory/servicePrincipals/ownedObjects/read | Leer los objetos de propiedad de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/read | Leer los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/read | Leer las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/standard/read | Leer las propiedades básicas de las entidades de servicio |
| microsoft.directory/subscribedSkus/standard/read | Lee las propiedades básicas de las suscripciones. |
| microsoft.directory/users/appRoleAssignments/read | Leer las asignaciones de roles de aplicación para los usuarios |
| microsoft.directory/users/deviceForResourceAccount/read | Leer deviceForResourceAccount de los usuarios |
| microsoft.directory/users/directReports/read | Leer los informes directos para los usuarios |
| microsoft.directory/users/invitedBy/read | Leer el usuario que ha invitado a un usuario externo a un inquilino |
| microsoft.directory/users/licenseDetails/read | Leer los detalles de las licencias de los usuarios |
| microsoft.directory/users/manager/read | Leer el administrador de usuarios |
| microsoft.directory/users/memberOf/read | Leer las pertenencias a grupos de los usuarios |
| microsoft.directory/users/oAuth2PermissionGrants/read | Leer las concesiones de permisos delegados en los usuarios |
| microsoft.directory/users/ownedDevices/read | Leer los dispositivos de propiedad de los usuarios |
| microsoft.directory/users/ownedObjects/read | Leer los objetos de propiedad de los usuarios |
| microsoft.directory/users/photo/read | Leer la foto de los usuarios |
| microsoft.directory/users/registeredDevices/read | Leer los dispositivos registrados de los usuarios |
| microsoft.directory/users/scopedRoleMemberOf/read | Leer la pertenencia de un usuario a un rol de Microsoft Entra, que está limitado a una unidad administrativa |
| microsoft.directory/users/sponsors/read | Leer los patrocinadores de los usuarios |
| microsoft.directory/users/standard/read | Leer las propiedades básicas en los usuarios |
Cuentas de sincronización de directorios
No utilice. Este rol se asigna automáticamente al servicio Microsoft Entra Connect y no está pensado ni es compatible con ningún otro uso.
| Acciones | Descripción |
|---|---|
| microsoft.directory/onPremisesSynchronization/standard/read | Leer y administrar objetos para habilitar la sincronización de directorios local. |
Escritores de directorios
Se trata de un rol con privilegios. Los usuarios con este rol pueden leer y actualizar información básica de usuarios, grupos y entidades de servicio.
| Acciones | Descripción |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Actualizar las propiedades de extensión en aplicaciones |
| microsoft.directory/contacts/create | Crear contactos |
| microsoft.directory/groups/assignLicense | Asignar las licencias de producto a grupos para las licencias basadas en grupos |
| microsoft.directory/groups/basic/update | Actualizar las propiedades básicas de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/classification/update | Actualizar la propiedad de clasificación de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/create | Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/dynamicMembershipRule/update | Actualizar la regla de membresía dinámica de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groupSettings/basic/update | Actualizar las propiedades básicas de la configuración de grupo |
| microsoft.directory/groupSettings/create | Creación de configuración de grupo |
| microsoft.directory/groupSettings/delete | Eliminación de la configuración de grupo |
| microsoft.directory/groups/groupType/update | Actualizar las propiedades que afectarían al tipo de grupo de los grupos de seguridad y los de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/members/update | Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/onPremWriteBack/update | Actualizar los grupos de Microsoft Entra para que se escriban en el entorno local con Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para las licencias basadas en grupo |
| microsoft.directory/groups/settings/update | Actualizar la configuración de los grupos |
| microsoft.directory/groups/visibility/update | Actualizar la propiedad de visibilidad de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Actualizar las concesiones de permisos de OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/create | Crear concesiones de permisos de OAuth 2.0 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Administre el inquilino en la nube a los secretos y las credenciales del aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Inicie, reinicie y pause el inquilino en la nube en los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Cree y administre el inquilino en la nube al esquema y los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Administra las credenciales y los secretos de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Crear y administrar esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/users/assignLicense | Administrar licencias de usuario |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/create | Agregar usuarios |
| microsoft.directory/users/disable | Deshabilita usuarios. |
| microsoft.directory/users/enable | Habilita usuarios. |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/inviteGuest | Invitar a usuarios externos |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/photo/update | Actualizar la foto de los usuarios |
| microsoft.directory/users/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para los usuarios |
| microsoft.directory/users/sponsors/update | Actualizar los patrocinadores de los usuarios |
| microsoft.directory/users/userPrincipalName/update | Actualizar el nombre principal de usuario de los usuarios |
Administrador de nombres de dominio
Se trata de un rol con privilegios. Los usuarios con este rol pueden administrar (leer, agregar, comprobar, actualizar y eliminar) los nombres de dominio. También pueden leer información de directorios sobre usuarios, grupos y aplicaciones, ya que estos objetos poseen dependencias de dominio. En entornos locales, los usuarios con este rol pueden configurar nombres de dominio para la federación, de modo que los usuarios asociados siempre se autentiquen de forma local. Estos usuarios pueden iniciar sesión en los servicios basados en Microsoft Entra con sus contraseñas locales a través del inicio de sesión único. La configuración de federación debe sincronizarse a través de Microsoft Entra Connect, por lo que los usuarios también tienen permisos para administrar Microsoft Entra Connect.
| Acciones | Descripción |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Crear y eliminar dominios, y leer y actualizar todas las propiedades |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Dynamics 365
los usuarios con este rol tienen permisos globales en Microsoft Dynamics 365 Online, cuando el servicio está presente, así como también la capacidad de administrar incidencias de soporte técnico y supervisar el estado del servicio. Para más información, consulte Uso de roles de administrador de servicios para administrar el inquilino.
Nota:
En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina administrador de servicios Dynamics 365. En Azure Portal, se denomina Administrador de Dynamics 365.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.dynamics365/allEntities/allTasks | Administrar todos los aspectos de Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Dynamics 365 Business Central
Asigne el rol Administrador de Dynamics 365 Business Central a los usuarios que necesiten realizar las siguientes tareas:
- Acceder a los entornos de Dynamics 365 Business Central
- Realizar todas las tareas administrativas en los entornos
- Administrar el ciclo de vida de los entornos del cliente
- Supervisar las extensiones instaladas en los entornos
- Controlar las actualizaciones de los entornos
- Realizar exportaciones de datos de los entornos
- Leer y configurar paneles de estado del servicio de Microsoft 365 y Azure
Este rol no proporciona ningún permiso para otros productos de Dynamics 365.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/domains/standard/read | Leer las propiedades básicas en los dominios |
| microsoft.directory/organization/standard/read | Leer las propiedades básicas de una organización |
| microsoft.directory/subscribedSkus/standard/read | Lee las propiedades básicas de las suscripciones. |
| microsoft.directory/users/standard/read | Leer las propiedades básicas en los usuarios |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Administrar todos los aspectos de Dynamics 365 Business Central |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Edge
Los usuarios con este rol pueden crear y administrar la lista de sitios de empresa necesaria para Internet Explorer en Microsoft Edge. Este rol concede permisos para crear, editar y publicar la lista de sitios y, además, permite el acceso para administrar incidencias de soporte técnico. Más información
| Acciones | Descripción |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Administrar todos los aspectos de Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Exchange
los usuarios con este rol tienen permisos globales en Microsoft Exchange Online, cuando el servicio está presente. También se ofrece la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar las incidencias de soporte técnico y supervisar el estado del servicio. Para más información, consulte Roles de administrador en el centro de administración de Microsoft 365.
Nota:
En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Exchange. En Azure Portal, se denomina Administrador de Exchange. En el Centro de administración de Exchange, se denomina Administrador de Exchange Online.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Crear y administrar la directiva de Exchange Online Protection en la Copia de seguridad Microsoft 365 |
| microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Leer y configurar la sesión de restauración para Exchange Online en la Copia de seguridad Microsoft 365 |
| microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Administrar todos los puntos de restauración asociados a los buzones de Exchange Online seleccionados en la Copia de seguridad Microsoft M365 |
| microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Administrar buzones agregados a la directiva de Exchange Online Protection en la Copia de seguridad Microsoft 365 |
| microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Administrar buzones agregados para la sesión de restauración de Exchange Online en la Copia de seguridad Microsoft 365 |
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups.unified/basic/update | Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/create | Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/delete | Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/members/update | Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/unified/owners/update | Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/restore | Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles |
| microsoft.office365.exchange/allEntities/basic/allTasks | Administrar todos los aspectos de Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de destinatarios de Exchange
Los usuarios con este rol tienen acceso de lectura a los destinatarios y acceso de escritura a los atributos de dichos destinatarios en Exchange Online. Para más información, consulte Destinatarios en Exchange Server.
| Acciones | Descripción |
|---|---|
| microsoft.office365.exchange/migration/allProperties/allTasks | Administrar todas las tareas relacionadas con la migración de destinatarios en Exchange Online. |
| microsoft.office365.exchange/recipients/allProperties/allTasks | Crear y eliminar todos los destinatarios, y leer y actualizar todas la propiedades de los destinatarios en Exchange Online. |
Administrador de flujos de usuarios con id. externo
Los usuarios con este rol pueden crear y administrar flujos de usuario (también conocidos como directivas "integradas") en Azure Portal. Estos usuarios pueden personalizar el contenido HTML/CSS/JavaScript, cambiar los requisitos de MFA, seleccionar notificaciones en el token, administrar conectores de API y sus credenciales, y configurar las opciones de sesión para todos los flujos de usuario de la organización de Microsoft Entra. Por otro lado, este rol no incluye la posibilidad de revisar los datos de usuario ni de realizar cambios en los atributos que están incluidos en el esquema de la organización. Los cambios en las directivas de Identity Experience Framework (también conocidas como directivas personalizadas) quedan igualmente fuera del ámbito de este rol.
| Acciones | Descripción |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Leer y configurar un flujo de usuario en Azure Active Directory B2C |
Administrador de atributos de flujos de usuarios con id. externo
Los usuarios con este rol agregan o eliminan atributos personalizados disponibles para todos los flujos de usuario de la organización de Microsoft Entra. En este sentido, pueden cambiar el esquema de usuario final o agregarle nuevos elementos e influir sobre el comportamiento de todos los flujos de usuario y que el resultado indirecto sean cambios en los datos que se pueden solicitar de los usuarios finales y, a la larga, enviarse como notificaciones a las aplicaciones. Este rol no puede editar flujos de usuario.
| Acciones | Descripción |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Leer y configurar un atributo de usuario en Azure Active Directory B2C |
Administrador de proveedor de identidades externo
Se trata de un rol con privilegios. Este administrador administra la federación entre las organizaciones de Microsoft Entra y los proveedores de identidades externos. Con este rol, los usuarios pueden agregar nuevos proveedores de identidades y configurar todos los valores disponibles (por ejemplo, la ruta de autenticación, el identificador de servicio o los contenedores de claves asignados). Este usuario puede permitir que la organización de Microsoft Entra confíe en las autenticaciones de proveedores de identidades externos. El efecto resultante en las experiencias del usuario final depende del tipo de organización:
- Organizaciones de Microsoft Entra para empleados y asociados: La adición de una federación (por ejemplo, con Gmail) afectará inmediatamente a todas las invitaciones de invitado que aún no se han canjeado. Consulte Incorporación de Google como proveedor de identidades para los usuarios invitados de B2B.
- Organizaciones de Azure Active Directory B2C: La adición de una federación (por ejemplo, con Facebook o con otra organización de Microsoft Entra) no afecta inmediatamente a los flujos de usuario final hasta que el proveedor de identidades se agrega como una opción en un flujo de usuario (también denominado directiva integrada). Consulte Configuración de una cuenta Microsoft como proveedor de identidades para ver un ejemplo. Para cambiar los flujos de usuario, se requiere el rol limitado de "Administrador de flujos de usuario B2C".
| Acciones | Descripción |
|---|---|
| microsoft.directory/domains/federation/update | Actualizar la propiedad de federación de los dominios |
| microsoft.directory/identityProviders/allProperties/allTasks | Leer y configurar los proveedores de identidades en Azure Active Directory B2C |
Administrador de Fabric
los usuarios con este rol tienen permisos globales en Microsoft Fabric y Power BI, cuando existe el servicio, así como también la posibilidad de administrar incidencias de soporte técnico y supervisar el mantenimiento del servicio. Para más información, consulte Descripción de los roles de administrador de Fabric.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Administrar todos los aspectos de Fabric y Power BI |
Administrador global
Se trata de un rol con privilegios. Los usuarios con este rol tienen acceso a todas las características administrativas de Microsoft Entra ID, así como a los servicios que usan identidades de Microsoft Entra, como el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview, Exchange Online, SharePoint Online y Skype Empresarial Online. Los administradores globales pueden ver los registros de actividad de directorio. Además, los Administradores globales pueden elevar el acceso para administrar todas las suscripciones y los grupos de administración de Azure. Esto permite a los administradores globales obtener acceso completo a todos los recursos de Azure mediante el inquilino correspondiente de Microsoft Entra. La persona que se suscribe a la organización de Microsoft Entra se convierte en administrador global. Puede haber más de un Administrador global en su empresa. Los Administradores globales pueden restablecer la contraseña de todos los usuarios y de todos los demás administradores. Un Administrador global no puede quitar su propia asignación de Administrador global. Esto es para evitar una situación en la que una organización no tenga ningún Administrador global.
Nota:
Como procedimiento recomendado, Microsoft recomienda que se asigne el rol Administrador global a menos de cinco personas de la organización. Para obtener más información, consulte Procedimientos recomendados para los roles de Microsoft Entra.
| Acciones | Descripción |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Administrar todos los aspectos de Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Administrar todos los aspectos de Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.backup/allEntities/allProperties/allTasks | Administrar todos los aspectos de la Copia de seguridad Microsoft 365 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Administrar todos los aspectos de Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Administrar todos los aspectos de la facturación de Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Leer los servicios de compra en el Centro de administración de M365 |
| microsoft.directory/accessReviews/allProperties/allTasks | (En desuso) Crear y eliminar revisiones de acceso, leer y actualizar todas las propiedades de las revisiones de acceso y administrar las revisiones de acceso de grupos en Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Administrar las revisiones de acceso de todos los recursos revisables en Microsoft Entra ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Administrar directivas de solicitud de consentimiento del administrador en Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Crea y administra unidades administrativas (incluidos los miembros). |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID |
| microsoft.directory/applications/allProperties/allTasks | Crear y eliminar aplicaciones, y leer y actualizar todas las propiedades |
| microsoft.directory/applications/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/applicationTemplates/instantiate | Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación. |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Administrar todos los aspectos de una directiva de autorización |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Actualizar todas las propiedades de las directivas de acceso condicional |
| microsoft.directory/connectorGroups/allProperties/read | Leer todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectorGroups/allProperties/update | Actualizar todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectorGroups/create | Crear grupos de conectores de red privada |
| microsoft.directory/connectorGroups/delete | Eliminar grupos de conectores de red privada |
| microsoft.directory/connectors/allProperties/read | Leer todas las propiedades de los conectores de red privada |
| microsoft.directory/connectors/create | Crear conectores de red privada |
| microsoft.directory/contacts/allProperties/allTasks | Crear y eliminar contactos, y leer y actualizar todas las propiedades |
| microsoft.directory/contracts/allProperties/allTasks | Crear y eliminar contratos de asociados, y leer y actualizar todas las propiedades |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Actualizar la configuración básica de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Actualización de la configuración de colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Actualización de la configuración de conexión directa de Microsoft Entra B2B de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crear una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminar una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Actualizar la configuración básica de la directiva de sincronización entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Crear una directiva de sincronización entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Leer las propiedades básicas de la directiva de sincronización entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Actualización de plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Restablecer la plantilla de directiva de sincronización entre inquilinos para la organización multiinquilino a la configuración predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino. |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Actualización de plantillas de directiva de acceso entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Restablecer la plantilla de directiva de acceso entre inquilinos para la organización multiinquilino a la configuración predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Crear y administrar extensiones de autenticación personalizadas |
| microsoft.directory/deletedItems/delete | Eliminar permanente los objetos, que ya no se pueden restaurar |
| microsoft.directory/deletedItems/restore | Restaurar los objetos eliminados temporalmente a su estado original |
| microsoft.directory/deviceLocalCredentials/password/read | Lectura de todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, incluida la contraseña |
| microsoft.directory/deviceManagementPolicies/basic/update | Actualización de las propiedades básicas en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceManagementPolicies/standard/read | Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Actualizar las propiedades básicas en las directivas de registro de dispositivos |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lectura de las propiedades estándar de las directivas de registro de dispositivos. |
| microsoft.directory/devices/allProperties/allTasks | Crear y eliminar dispositivos, y leer y actualizar todas las propiedades |
| microsoft.directory/directoryRoles/allProperties/allTasks | Crear y eliminar roles de directorio, y leer y actualizar todas las propiedades |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Crear y eliminar plantillas de rol de Microsoft Entra y leer y actualizar todas las propiedades |
| microsoft.directory/domains/allProperties/allTasks | Crear y eliminar dominios, y leer y actualizar todas las propiedades |
| microsoft.directory/domains/federationConfiguration/basic/update | Actualiza la configuración de federación básica de los dominios. |
| microsoft.directory/domains/federationConfiguration/create | Crea la configuración de federación de los dominios. |
| microsoft.directory/domains/federationConfiguration/delete | Elimina la configuración de federación de los dominios. |
| microsoft.directory/domains/federationConfiguration/standard/read | Lee las propiedades estándar de la configuración de federación de los dominios. |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Crear y eliminar recursos y leer y actualizar todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.directory/externalUserProfiles/basic/update | Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/externalUserProfiles/delete | Eliminar perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/externalUserProfiles/standard/read | Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/groups/allProperties/allTasks | Crear y eliminar grupos, y leer y actualizar todas las propiedades |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Actualizar grupos asignables de roles |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Asignación de una licencia a grupos a los que se pueden asignar roles |
| microsoft.directory/groupsAssignableToRoles/create | Creación de grupos a los que se pueden asignar roles |
| microsoft.directory/groupsAssignableToRoles/delete | Eliminar grupos asignables de roles |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencias a grupos a los que se pueden asignar roles |
| microsoft.directory/groupsAssignableToRoles/restore | Restaurar de grupos asignables de roles |
| microsoft.directory/groupSettings/allProperties/allTasks | Crear y eliminar la configuración de grupos, y leer y actualizar todas las propiedades |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Crear y eliminar plantillas de configuración de grupos, y leer y actualizar todas las propiedades |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Administrar la directiva de autenticación híbrida en Microsoft Entra ID |
| microsoft.directory/identityProtection/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Protección de Microsoft Entra ID. |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Administrar todos los aspectos de los flujos de trabajo y las tareas del ciclo de vida en Microsoft Entra ID |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Crear y eliminar loginTenantBranding, y leer y actualizar todas las propiedades |
| microsoft.directory/multiTenantOrganization/basic/update | Actualización de las propiedades básicas de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/create | Creación de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Únase a una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Leer las propiedades de una solicitud de unión a una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/standard/read | Leer las propiedades básicas de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/create | Creación de un inquilino en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/delete | Eliminación de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Actualización de las propiedades básicas de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/namedLocations/basic/update | Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/create | Cree reglas personalizadas que definan las ubicaciones de red |
| microsoft.directory/namedLocations/delete | Elimine las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/standard/read | Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/onPremisesSynchronization/basic/update | Actualización de la información básica de sincronización de directorios en el entorno local |
| microsoft.directory/onPremisesSynchronization/standard/read | Leer la información estándar de sincronización de directorios en el entorno local |
| microsoft.directory/organization/allProperties/allTasks | Leer y actualizar todas las propiedades de una organización |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Administrar todos los aspectos de la sincronización de hash de contraseñas (PHS) en Microsoft Entra ID |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Crear perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Eliminar perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/permissionGrantPolicies/basic/update | Actualizar las propiedades básicas de las directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/create | Crear directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/delete | Eliminar directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/standard/read | Lear las propiedades estándar de las directivas de concesión de permisos |
| microsoft.directory/policies/allProperties/allTasks | Crear y eliminar directivas, y leer y actualizar todas las propiedades |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leer todos los recursos de Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365 |
| microsoft.directory/roleAssignments/allProperties/allTasks | Crea y elimina asignaciones de roles, y lee y actualiza todas las propiedades de asignación de roles. |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Crea y elimina definiciones de roles, y lee y actualiza todas las propiedades. |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Crea y elimina la propiedad scopedRoleMemberships, y lee y actualiza todas las propiedades. |
| microsoft.directory/serviceAction/activateService | Poder realizar la acción "activar servicio" para un servicio |
| microsoft.directory/serviceAction/disableDirectoryFeature | Poder realizar la acción de servicio "deshabilitar la característica de directorio" |
| microsoft.directory/serviceAction/enableDirectoryFeature | Poder realizar la acción de servicio "habilitar la característica de directorio" |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Poder realizar la acción de servicio getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Actualizar las propiedades estándar de las directivas de creación de entidades de servicio |
| microsoft.directory/servicePrincipalCreationPolicies/create | Crear directivas de creación de entidad de servicio |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Eliminar directivas de creación de entidad de servicio |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Leer las propiedades estándar de las directivas de creación de entidades de servicio |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Crear y eliminar entidades de servicio, y leer y actualizar todas las propiedades |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Conceder consentimiento para cualquier permiso a cualquier aplicación |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Administre el inquilino en la nube a los secretos y las credenciales del aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Inicie, reinicie y pause el inquilino en la nube en los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Cree y administre el inquilino en la nube al esquema y los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Administra las credenciales y los secretos de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Comprar y administrar suscripciones, y eliminar suscripciones |
| microsoft.directory/tenantManagement/tenants/create | Creación de nuevos inquilinos en Microsoft Entra ID |
| microsoft.directory/users/allProperties/allTasks | Crear y eliminar usuarios, y leer y actualizar todas las propiedades |
| microsoft.directory/users/authenticationMethods/basic/update | Actualizar las propiedades básicas de los métodos de autenticación para los usuarios |
| microsoft.directory/users/authenticationMethods/create | Actualizar métodos de autenticación para usuarios |
| microsoft.directory/users/authenticationMethods/delete | Eliminar métodos de autenticación para los usuarios |
| microsoft.directory/users/authenticationMethods/standard/read | Leer las propiedades básicas de los métodos de autenticación para los usuarios |
| microsoft.directory/users/convertExternalToInternalMemberUser | Conversión de usuario externo en usuario interno |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lea la configuración necesaria para crear y administrar credenciales verificables. |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuración de actualización necesaria para crear y administrar credenciales verificables |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lea un contrato de credencial verificable. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Actualice un contrato de credencial verificable |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lea una tarjeta de credencial verificable. |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Revoque una tarjeta de credencial verificable. |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Cree un contrato de credencial verificable |
| microsoft.directory/verifiableCredentials/configuration/create | Cree la configuración necesaria para crear y administrar credenciales verificables. |
| microsoft.directory/verifiableCredentials/configuration/delete | Elimine la configuración necesaria para crear y administrar credenciales verificables y elimine todas las credenciales verificables |
| microsoft.dynamics365/allEntities/allTasks | Administrar todos los aspectos de Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Administrar todos los aspectos de Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Administrar todos los aspectos de Power Automate |
| microsoft.graph.dataConnect/allEntities/allProperties/allTasks | Administración de aspectos de Microsoft Graph Data Connect |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Crear, leer, actualizar y eliminar direcciones de envío para reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío creadas por otros usuarios |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Crear y administrar todos los aspectos de las reclamaciones de garantía de hardware de Microsoft |
| microsoft.insights/allEntities/allProperties/allTasks | Administrar todos los aspectos de la aplicación de información |
| microsoft.intune/allEntities/allTasks | Administrar todos los aspectos de Microsoft Intune |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Administrar todos los aspectos de Microsoft Entra Network Access |
| microsoft.office365.complianceManager/allEntities/allTasks | Administra todos los aspectos del Administrador de cumplimiento de Office 365 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Administrar todos los aspectos del Análisis de escritorio |
| microsoft.office365.exchange/allEntities/basic/allTasks | Administrar todos los aspectos de Exchange Online |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Administre todos los aspectos de los contenedores de SharePoint Embedded |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lea y actualice todas las propiedades de la descripción del contenido en el centro de administración de Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lea los informes de análisis relativos a la comprensión de contenidos en el centro de administración de Microsoft 365. |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lea y actualice todas las propiedades de la red de conocimiento en el centro de administración de Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Administre la visibilidad de los temas en la red de conocimientos en el centro de administración de Microsoft 365. |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Administre los orígenes de aprendizaje y todas sus propiedades en Learning App. |
| microsoft.office365.lockbox/allEntities/allTasks | Administrar todos los aspectos de la Caja de seguridad del cliente |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.messageCenter/securityMessages/read | Leer los mensajes de seguridad del centro de mensajes del centro de administración de Microsoft 365 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Administración de todos los aspectos de las migraciones de Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Puede administrar todos los aspectos de creación de mensajes de la organización de Microsoft 365. |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Administre todos los aspectos del Centro de seguridad y Cumplimiento |
| microsoft.office365.search/content/manage | Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar del Centro de seguridad y cumplimiento de Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leer y actualizar la visibilidad de los mensajes sobre novedades |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Administrar todos los aspectos de Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Administrar todos los aspectos de administración de permisos de Microsoft Entra |
| microsoft.powerApps/allEntities/allTasks | Administrar todos los aspectos de Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Administrar todos los aspectos de Fabric y Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Administrar todos los recursos de Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Administración y uso compartido de métricas y información de visitas virtuales desde los centros de administración o la aplicación Visitas virtuales |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Administrar todos los aspectos de los Microsoft Viva Goals |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Administración de todos los aspectos de Microsoft Viva Pulse |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Administrar todos los aspectos de Microsoft Defender para punto de conexión |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leer y configurar todos los aspectos del servicio Windows Update |
Lector global
Se trata de un rol con privilegios. Los usuarios de este rol pueden leer la configuración y la información administrativa en los servicios de Microsoft 365, pero no pueden llevar a cabo acciones de administración. El rol Lector global es la contrapartida de solo lectura del Administrador global. Asigne el rol Lector global en lugar del rol Administrador global para planeamiento, auditoría o investigación. Use el rol Lector global en combinación con otros roles de administrador limitados, como el de administrador de Exchange, para facilitar que se lleve a cabo el trabajo sin asignar el rol de administrador global. Lector global funciona con el Centro de administración de Microsoft 365, el Centro de administración de Exchange, el Centro de administración de SharePoint, el Centro de administración de Teams, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview, Azure Portal y el Centro de administración de dispositivos.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden acceder al área Servicios de compra del Centro de administración de Microsoft 365.
Nota
El rol Lector global tiene las siguientes limitaciones:
- Centro de administración de OneDrive: el centro de administración de OneDrive no admite el rol Lector global.
- Portal de Microsoft 365 Defender: el rol Lector global no puede leer los registros de auditoría de SCC, realizar búsqueda de contenido ni consultar la puntuación de seguridad.
- Centro de administración de Teams: el rol Lector global no puede leer Ciclo de vida de Teams, Análisis e informes, Administración de dispositivos de teléfono IP ni Catálogo de aplicaciones. Para más información, consulte Uso de roles Administrador de Microsoft Teams para administrar Teams.
- Privileged Access Management no admite el rol de Lector global.
- Azure Information Protection: Se admite el lector global solo para informes centrales y cuando la organización de Microsoft Entra no está en la plataforma de etiquetado unificado.
- SharePoint: el lector global tiene acceso de lectura a las API de lectura y a los cmdlets de PowerShell de SharePoint Online.
- Centro de administración de Power Platform : el lector global aún no se admite en el Centro de administración de Power Platform.
- Microsoft Purview no admite el rol de Lector global.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.backup/allEntities/allProperties/read | Leer todos los aspectos de la Copia de seguridad Microsoft 365 |
| microsoft.cloudPC/allEntities/allProperties/read | Leer todos los aspectos de Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Leer todos los recursos de facturación de Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Leer los servicios de compra en el Centro de administración de M365 |
| microsoft.directory/accessReviews/allProperties/read | (En desuso) Leer todas las propiedades de las revisiones de acceso |
| microsoft.directory/accessReviews/definitions/allProperties/read | Leer todas las propiedades de las revisiones de acceso de todos los recursos revisables en Microsoft Entra ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Leer todas las propiedades de las directivas de solicitud de consentimiento del administrador en Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/read | Leer todas las propiedades de las unidades administrativas, incluidos los miembros |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID |
| microsoft.directory/applications/allProperties/read | Leer todas las propiedades (incluidas las propiedades con privilegios) en todos los tipos de aplicaciones |
| microsoft.directory/applications/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/cloudAppSecurity/allProperties/read | Leer todas las propiedades de Defender for Cloud para aplicaciones |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Leer todas las propiedades de las directivas de acceso condicional |
| microsoft.directory/connectorGroups/allProperties/read | Leer todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectors/allProperties/read | Leer todas las propiedades de los conectores de red privada |
| microsoft.directory/contacts/allProperties/read | Leer todas las propiedades de los contactos |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Leer las propiedades básicas de la directiva de sincronización entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino. |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Leer extensiones de autenticación personalizadas |
| microsoft.directory/deviceLocalCredentials/standard/read | Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña |
| microsoft.directory/deviceManagementPolicies/standard/read | Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lectura de las propiedades estándar de las directivas de registro de dispositivos. |
| microsoft.directory/devices/allProperties/read | Leer todas las propiedades de los dispositivos |
| microsoft.directory/directoryRoles/allProperties/read | Leer todas las propiedades de los roles de directorio |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Leer todas las propiedades de las plantillas de roles de directorio |
| microsoft.directory/domains/allProperties/read | Leer todas las propiedades de los dominios |
| microsoft.directory/domains/federationConfiguration/standard/read | Lee las propiedades estándar de la configuración de federación de los dominios. |
| microsoft.directory/entitlementManagement/allProperties/read | Leer todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.directory/externalUserProfiles/standard/read | Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/groups/allProperties/read | Lea todas las propiedades (incluidas las propiedades con privilegios) de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groupSettings/allProperties/read | Leer todas las propiedades de la configuración del grupo |
| microsoft.directory/groupSettingTemplates/allProperties/read | Leer todas las propiedades de las plantillas de configuración del grupo |
| microsoft.directory/identityProtection/allProperties/read | Leer todos los recursos de Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Leer todas las propiedades de los flujos de trabajo y las tareas del ciclo de vida en Microsoft Entra ID |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Leer todas las propiedades de la página de inicio de sesión con marca de la organización |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Leer las propiedades de una solicitud de unión a una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/standard/read | Leer las propiedades básicas de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/namedLocations/standard/read | Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Leer todas las propiedades de las concesiones de permisos de OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Leer todas las propiedades de una organización |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Lear las propiedades estándar de las directivas de concesión de permisos |
| microsoft.directory/policies/allProperties/read | Leer todas las propiedades de las directivas |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leer todos los recursos de Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |
| microsoft.directory/roleAssignments/allProperties/read | Leer todas las propiedades de las asignaciones de roles |
| microsoft.directory/roleDefinitions/allProperties/read | Leer todas las propiedades de las definiciones de roles |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Ver los miembros de las unidades administrativas |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Poder realizar la acción de servicio getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Leer las propiedades estándar de las directivas de creación de entidades de servicio |
| microsoft.directory/servicePrincipals/allProperties/read | Leer todas las propiedades, incluidas las propiedades con privilegios, en servicePrincipals |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.directory/subscribedSkus/allProperties/read | Leer todas las propiedades de las suscripciones de productos |
| microsoft.directory/users/allProperties/read | Leer todas las propiedades de los usuarios |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Leer las propiedades estándar de los métodos de autenticación que no incluyen información de identificación personal para los usuarios |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lea la configuración necesaria para crear y administrar credenciales verificables |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lea un contrato de credencial verificable |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lea una tarjeta de credencial verificable |
| microsoft.edge/allEntities/allProperties/read | Leer todos los aspectos de Microsoft Edge |
| microsoft.graph.dataConnect/allEntities/allProperties/read | Leer aspectos de Microsoft Graph Data Connect |
| microsoft.hardware.support/shippingAddress/allProperties/read | Leer las direcciones de envío de las reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío existentes creadas por otros usuarios |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Leer las reclamaciones de garantía de hardware de Microsoft |
| microsoft.insights/allEntities/allProperties/read | Leer todos los aspectos de Viva Insights |
| microsoft.networkAccess/allEntities/allProperties/read | Leer todos los aspectos de Microsoft Entra Network Access |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/read | Lectura de entidades y permisos de contenedores de SharePoint Embedded |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.messageCenter/securityMessages/read | Leer los mensajes de seguridad del centro de mensajes del centro de administración de Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365. |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Leer todas las propiedades de los Centros de seguridad y Cumplimiento |
| microsoft.office365.securityComplianceCenter/allEntities/read | Leer las propiedades estándar en el Centro de seguridad y cumplimiento de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Leer todos los aspectos de Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Leer todos los aspectos de administración de permisos de Microsoft Entra |
| microsoft.teams/allEntities/allProperties/read | Leer todas las propiedades de Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Leer todos los aspectos de las visitas virtuales |
| microsoft.viva.goals/allEntities/allProperties/read | Leer todos los aspectos de Microsoft Viva Goals |
| microsoft.viva.pulse/allEntities/allProperties/read | Leer todos los aspectos de Microsoft Viva Pulse |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Leer todos los aspectos del servicio Windows Update |
Administrador de Acceso seguro global
Asigne el rol de Administrador de Acceso seguro global a los usuarios que necesiten hacer lo siguiente:
- Crear y administrar todos los aspectos de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra
- Administración del acceso a puntos de conexión públicos y privados
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No se pueden administrar aplicaciones empresariales, registros de aplicaciones, acceso condicional o configuración de proxy de aplicación
| Acciones | Descripción |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/applicationPolicies/standard/read | Leer las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applications/applicationProxy/read | Leer todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/owners/read | Leer los propietarios de las aplicaciones |
| microsoft.directory/applications/policies/read | Leer las directivas de las aplicaciones |
| microsoft.directory/applications/standard/read | Leer las propiedades estándar de las aplicaciones |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leer el acceso condicional de las directivas |
| microsoft.directory/connectorGroups/allProperties/read | Leer todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectors/allProperties/read | Leer todas las propiedades de los conectores de red privada |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos |
| microsoft.directory/namedLocations/standard/read | Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Administrar todos los aspectos de Microsoft Entra Network Access |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de grupos
Los usuarios de este rol pueden crear y administrar grupos y su configuración como directivas de nomenclatura y expiración. Es importante comprender que la asignación de un usuario a este rol les permite administrar todos los grupos de la organización en varias cargas de trabajo, como Teams, SharePoint, Yammer y Outlook. Además, el usuario podrá administrar la configuración de varios grupos en varios portales de administración, como el centro de administración de Microsoft, Azure Portal, así como los específicos de cargas de trabajo, como Teams y los centros de administración de SharePoint.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/deletedItems.groups/delete | Eliminar de manera permanente los grupos que ya no se pueden restaurar |
| microsoft.directory/deletedItems.groups/restore | Restaurar los grupos eliminados temporalmente a su estado original |
| microsoft.directory/groups/assignLicense | Asignar las licencias de producto a grupos para las licencias basadas en grupos |
| microsoft.directory/groups/basic/update | Actualizar las propiedades básicas de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/classification/update | Actualizar la propiedad de clasificación de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/create | Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/delete | Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/dynamicMembershipRule/update | Actualizar la regla de membresía dinámica de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/groupType/update | Actualizar las propiedades que afectarían al tipo de grupo de los grupos de seguridad y los de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/members/update | Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/onPremWriteBack/update | Actualizar los grupos de Microsoft Entra para que se escriban en el entorno local con Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para las licencias basadas en grupo |
| microsoft.directory/groups/restore | Restaurar grupos desde un contenedor eliminado temporalmente |
| microsoft.directory/groups/settings/update | Actualizar la configuración de los grupos |
| microsoft.directory/groups/visibility/update | Actualizar la propiedad de visibilidad de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Invitador de usuarios
Los usuarios de este rol pueden administrar las invitaciones de usuario invitado de Microsoft Entra B2B cuando losmiembros pueden invitar a configuración de usuario está establecida en No. Más información sobre la colaboración B2B en Acerca de la colaboración B2B de Microsoft Entra. No incluye otros permisos.
| Acciones | Descripción |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | Leer las asignaciones de roles de aplicación para los usuarios |
| microsoft.directory/users/deviceForResourceAccount/read | Leer deviceForResourceAccount de los usuarios |
| microsoft.directory/users/directReports/read | Leer los informes directos para los usuarios |
| microsoft.directory/users/invitedBy/read | Leer el usuario que ha invitado a un usuario externo a un inquilino |
| microsoft.directory/users/inviteGuest | Invitar a usuarios externos |
| microsoft.directory/users/licenseDetails/read | Leer los detalles de las licencias de los usuarios |
| microsoft.directory/users/manager/read | Leer el administrador de usuarios |
| microsoft.directory/users/memberOf/read | Leer las pertenencias a grupos de los usuarios |
| microsoft.directory/users/oAuth2PermissionGrants/read | Leer las concesiones de permisos delegados en los usuarios |
| microsoft.directory/users/ownedDevices/read | Leer los dispositivos de propiedad de los usuarios |
| microsoft.directory/users/ownedObjects/read | Leer los objetos de propiedad de los usuarios |
| microsoft.directory/users/photo/read | Leer la foto de los usuarios |
| microsoft.directory/users/registeredDevices/read | Leer los dispositivos registrados de los usuarios |
| microsoft.directory/users/scopedRoleMemberOf/read | Leer la pertenencia de un usuario a un rol de Microsoft Entra, que está limitado a una unidad administrativa |
| microsoft.directory/users/sponsors/read | Leer los patrocinadores de los usuarios |
| microsoft.directory/users/standard/read | Leer las propiedades básicas en los usuarios |
Administrador del departamento de soporte técnico
Se trata de un rol con privilegios. Los usuarios con este rol pueden cambiar contraseñas, invalidar tokens de actualización, crear y administrar solicitudes de soporte técnico con Microsoft para Azure y los servicios de Microsoft 365 y supervisar el estado del servicio. Si invalida un token de actualización, obligará al usuario a iniciar sesión de nuevo. El hecho de que un Administrador de del departamento de soporte técnico pueda restablecer la contraseña de un usuario e invalidar los tokens de actualización depende del rol que tenga asignado el usuario. Para obtener una lista de los roles para los que un administrador del departamento de soporte técnico puede restablecer las contraseñas e invalidar los tokens de actualización, consulte Quién puede restablecer las contraseñas.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden cambiar las credenciales ni restablecer la autenticación multifactor para los miembros y propietarios de un grupo al que se pueden asignar roles.
Importante
Los usuarios con este rol pueden cambiar las contraseñas de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar la contraseña de un usuario puede significar la capacidad de asumir la identidad y los permisos del usuario. Por ejemplo:
- Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores del departamento de soporte técnico. Mediante esta ruta de acceso, un administrador del departamento de soporte técnico puede ser capaz de asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
- Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
- Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
- Los administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
- Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
Delegar permisos administrativos en subconjuntos de usuarios y aplicar directivas a uno de estos subconjuntos es posible con Unidades administrativas.
Este rol se llamaba anteriormente Administrador de contraseñas en Azure Portal. Se cambió el nombre al administrador del departamento de soporte técnico para alinearse con el nombre existente en Microsoft Graph API y Microsoft Graph PowerShell.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/deviceLocalCredentials/standard/read | Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de identidades híbridas
Se trata de un rol con privilegios. Los usuarios de este rol pueden crear, administrar e implementar la configuración de aprovisionamiento desde Active Directory a Microsoft Entra ID mediante el aprovisionamiento en la nube, así como administrar Microsoft Entra Connect, autenticación de paso a través (PTA), sincronización de hash de contraseña (PHS), inicio de sesión único de conexión directa (SSO de conexión directa) y configuración de federación. No tiene acceso para administrar Microsoft Entra Connect Health. Los usuarios también pueden solucionar problemas y supervisar los registros mediante este rol.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/applications/appRoles/update | Actualizar la propiedad appRoles en todos los tipos de aplicaciones |
| microsoft.directory/applications/audience/update | Actualizar la propiedad de público para las aplicaciones |
| microsoft.directory/applications/authentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/basic/update | Actualizar las propiedades básicas de las aplicaciones |
| microsoft.directory/applications/create | Crear todos los tipos de aplicaciones |
| microsoft.directory/applications/delete | Eliminar todos los tipos de aplicaciones |
| microsoft.directory/applications/notes/update | Actualizar las notas de las aplicaciones |
| microsoft.directory/applications/owners/update | Actualizar los propietarios de las aplicaciones |
| microsoft.directory/applications/permissions/update | Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones |
| microsoft.directory/applications/policies/update | Actualizar las directivas de las aplicaciones |
| microsoft.directory/applications/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/applications/tag/update | Actualizar las etiquetas de las aplicaciones |
| microsoft.directory/applicationTemplates/instantiate | Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación. |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Lea y configure todas las propiedades del servicio de aprovisionamiento en la nube de Microsoft Entra. |
| microsoft.directory/deletedItems.applications/delete | Eliminar permanente las aplicaciones, que ya no se pueden restaurar |
| microsoft.directory/deletedItems.applications/restore | Restaurar las aplicaciones eliminadas temporalmente a su estado original |
| microsoft.directory/domains/allProperties/read | Leer todas las propiedades de los dominios |
| microsoft.directory/domains/federationConfiguration/basic/update | Actualiza la configuración de federación básica de los dominios. |
| microsoft.directory/domains/federationConfiguration/create | Crea la configuración de federación de los dominios. |
| microsoft.directory/domains/federationConfiguration/delete | Elimina la configuración de federación de los dominios. |
| microsoft.directory/domains/federationConfiguration/standard/read | Lee las propiedades estándar de la configuración de federación de los dominios. |
| microsoft.directory/domains/federation/update | Actualizar la propiedad de federación de los dominios |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Administrar la directiva de autenticación híbrida en Microsoft Entra ID |
| microsoft.directory/onPremisesSynchronization/basic/update | Actualización de la información básica de sincronización de directorios en el entorno local |
| microsoft.directory/onPremisesSynchronization/standard/read | Leer la información estándar de sincronización de directorios en el entorno local |
| microsoft.directory/organization/dirSync/update | Actualizar la propiedad de sincronización de los directorios de la organización |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Administrar todos los aspectos de la sincronización de hash de contraseñas (PHS) en Microsoft Entra ID |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/servicePrincipals/audience/update | Actualizar las propiedades de público en las entidades de servicio |
| microsoft.directory/servicePrincipals/authentication/update | Actualizar las propiedades de autenticación en las entidades de servicio |
| microsoft.directory/servicePrincipals/basic/update | Actualizar las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/create | Creación de entidades de servicio |
| microsoft.directory/servicePrincipals/delete | Eliminar entidades de servicio |
| microsoft.directory/servicePrincipals/disable | Deshabilitar entidades de servicio |
| microsoft.directory/servicePrincipals/enable | Habilitación de entidades de servicio |
| microsoft.directory/servicePrincipals/notes/update | Actualizar las notas de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/update | Actualizar los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/permissions/update | Actualizar los permisos de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/update | Actualizar las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Administre el inquilino en la nube a los secretos y las credenciales del aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Inicie, reinicie y pause el inquilino en la nube en los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Cree y administre el inquilino en la nube al esquema y los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Administra las credenciales y los secretos de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/tag/update | Actualizar la propiedad de etiqueta de las entidades de servicio |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.directory/users/authorizationInfo/update | Actualizar la propiedad de id. de usuario de certificado multivalor de los usuarios |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Identity Governance
Los usuarios con este rol pueden administrar la configuración de gobernanza de Microsoft Entra ID, incluidos los paquetes de acceso, las revisiones de acceso, los catálogos y las directivas, lo que garantiza que el acceso se aprueba y revisa y se quitan los usuarios invitados que ya no necesitan acceso.
| Acciones | Descripción |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (En desuso) Crear y eliminar revisiones de acceso, leer y actualizar todas las propiedades de las revisiones de acceso y administrar las revisiones de acceso de grupos en Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Administrar las revisiones de acceso de las asignaciones de roles de aplicación en Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Administrar las revisiones de acceso para las asignaciones de los paquetes de acceso en la administración de derechos |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leer todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Actualizar todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, a excepción de los grupos a los que se pueden asignar roles. |
| microsoft.directory/accessReviews/definitions.groups/create | Crear revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Eliminar revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365. |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Crear y eliminar recursos y leer y actualizar todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.directory/groups/members/update | Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
Administrador de Insights
Los usuarios con este rol pueden acceder al conjunto completo de funcionalidades administrativas de la aplicación Microsoft Viva Insights. Este rol tiene la capacidad de leer información de directorios, supervisar el mantenimiento del servicio, presentar vales de soporte técnico y acceder a aspectos de configuración del administrador de Insights.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.insights/allEntities/allProperties/allTasks | Administrar todos los aspectos de la aplicación de información |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Analista de Ideas
Asigne el rol de Analista de Ideas a usuarios que necesiten hacer lo siguiente:
- Analizar datos en la aplicación Microsoft Viva Insights, pero no puede gestionar ninguna configuración
- Crear, administrar y ejecutar consultas
- Vea propiedades básicas e informes de uso en el Centro de administración de Microsoft 365
- Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365
| Acciones | Descripción |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Ejecución y gestión de consultas en Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Coordinador de Insights de la empresa
Los usuarios con este rol pueden acceder a un conjunto de paneles y conclusiones mediante la aplicación Microsoft Viva Insights. Esto incluye el acceso completo a todos los paneles y la funcionalidad de exploración de datos y conclusiones presentadas. Los usuarios con este rol no tienen acceso a las opciones de configuración del producto, que es responsabilidad del rol de administrador de Insights.
| Acciones | Descripción |
|---|---|
| microsoft.insights/programs/allProperties/update | Implementar y administrar programas en la aplicación de información |
| microsoft.insights/reports/allProperties/read | Consultar los informes y el panel en la aplicación de información |
Administrador de Intune
Se trata de un rol con privilegios. los usuarios con este rol tienen permisos globales en Microsoft Intune Online, cuando existe el servicio. Además, este rol contiene la capacidad de administrar usuarios y dispositivos para asociar una directiva, así como también para crear y administrar grupos. Para obtener más información, vea Control de administración basada en roles (RBAC) con Microsoft Intune.
Este rol puede crear y administrar todos los grupos de seguridad. Sin embargo, el administrador de Intune no tiene derechos de administrador sobre grupos de Office. Esto significa que el administrador no puede actualizar propietarios o pertenencias de todos los grupos de Office de la organización. Sin embargo, puede administrar el grupo de Office que crea y que forma parte de sus privilegios de usuario final. Por lo tanto, cualquier grupo de Office (no un grupo de seguridad) que cree debe contar con su cuota de 250.
Nota:
En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Intune. En Azure Portal, se denomina Administrador de Intune.
| Acciones | Descripción |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Administrar todos los aspectos de Windows 365 |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/contacts/basic/update | Actualizar las propiedades básicas en los contactos |
| microsoft.directory/contacts/create | Crear contactos |
| microsoft.directory/contacts/delete | Eliminar contactos |
| microsoft.directory/deletedItems.devices/delete | Eliminar permanente los dispositivos que ya no se pueden restaurar |
| microsoft.directory/deletedItems.devices/restore | Restaurar los dispositivos eliminados temporalmente a su estado original |
| microsoft.directory/deviceLocalCredentials/password/read | Lectura de todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, incluida la contraseña |
| microsoft.directory/deviceManagementPolicies/standard/read | Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lectura de las propiedades estándar de las directivas de registro de dispositivos. |
| microsoft.directory/devices/basic/update | Actualizar las propiedades básicas en los dispositivos |
| microsoft.directory/devices/create | Crear dispositivos (inscribirse en Microsoft Entra ID) |
| microsoft.directory/devices/delete | Eliminar los dispositivos de Microsoft Entra ID |
| microsoft.directory/devices/disable | Deshabilitar los dispositivos en Microsoft Entra ID |
| microsoft.directory/devices/enable | Habilitar los dispositivos en Microsoft Entra ID |
| microsoft.directory/devices/extensionAttributeSet1/update | Actualizar las propiedades de extensionAttribute1 a extensionAttribute5 en los dispositivos |
| microsoft.directory/devices/extensionAttributeSet2/update | Actualizar las propiedades de extensionAttribute6 a extensionAttribute10 en los dispositivos |
| microsoft.directory/devices/extensionAttributeSet3/update | Actualizar las propiedades de extensionAttribute11 a extensionAttribute15 en los dispositivos |
| microsoft.directory/devices/registeredOwners/update | Actualizar los propietarios registrados de los dispositivos |
| microsoft.directory/devices/registeredUsers/update | Actualizar los usuarios registrados de los dispositivos |
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups.security/basic/update | Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/classification/update | Actualizar la propiedad de clasificación de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/create | Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/delete | Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Actualizar la regla de pertenencia dinámica de grupos de seguridad, excepto los grupos a los que se pueden asignar roles. |
| microsoft.directory/groups.security/members/update | Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/owners/update | Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/visibility/update | Actualizar la propiedad de visibilidad de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/photo/update | Actualizar la foto de los usuarios |
| microsoft.intune/allEntities/allTasks | Administrar todos los aspectos de Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365. |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Kaizala
los usuarios con este rol tienen permisos globales para administrar la configuración en Microsoft Kaizala, cuando existe el servicio, así como también la posibilidad de administrar incidencias de soporte técnico y supervisar el mantenimiento del servicio. Además, el usuario puede acceder a informes relacionados con la adopción y el uso de Kaizala por parte de miembros de la organización, y a los informes empresariales que generan las acciones de Kaizala.
| Acciones | Descripción |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de conocimientos
Los usuarios en este rol tienen acceso completo a toda la configuración de conocimientos, aprendizaje y características inteligentes en el centro de administración de Microsoft 365. Tienen una descripción general del conjunto de productos, detalles de licencia y tienen la responsabilidad de controlar el acceso. El administrador del conocimiento puede crear y administrar contenido, como temas, acrónimos y recursos de aprendizaje. Además, estos usuarios pueden crear centros de contenido, supervisar el estado del servicio y crear solicitudes de servicio.
| Acciones | Descripción |
|---|---|
| microsoft.directory/groups.security/basic/update | Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/create | Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/createAsOwner | Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles El creador se agrega como primer propietario. |
| microsoft.directory/groups.security/delete | Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/members/update | Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/owners/update | Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lea y actualice todas las propiedades de la descripción del contenido en el centro de administración de Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lea y actualice todas las propiedades de la red de conocimiento en el centro de administración de Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Administre los orígenes de aprendizaje y todas sus propiedades en Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Leer todas las propiedades de las etiquetas de confidencialidad en los Centros de seguridad y cumplimiento |
| microsoft.office365.sharePoint/allEntities/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de conocimientos
Los usuarios con este rol pueden crear y administrar contenido, como temas, acrónimos y contenido de aprendizaje. Estos usuarios son responsables principalmente de la calidad y la estructura del conocimiento. Este usuario tiene derechos completos sobre las acciones de administración de los temas para confirmar un tema, eliminarlo o aprobar modificaciones. Este rol también puede administrar taxonomías como parte de la herramienta de administración del almacén de términos y crear centros de contenido.
| Acciones | Descripción |
|---|---|
| microsoft.directory/groups.security/basic/update | Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/create | Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/createAsOwner | Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles El creador se agrega como primer propietario. |
| microsoft.directory/groups.security/delete | Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/members/update | Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/owners/update | Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lea los informes de análisis relativos a la comprensión de contenidos en el centro de administración de Microsoft 365. |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Administre la visibilidad de los temas en la red de conocimientos en el centro de administración de Microsoft 365. |
| microsoft.office365.sharePoint/allEntities/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de licencias
Los usuarios con este rol pueden leer, agregar, quitar y actualizar las asignaciones de licencias de usuarios y grupos (mediante licencias basadas en grupo) y administrar la ubicación de uso de los usuarios. El rol no otorga la posibilidad de adquirir o administrar suscripciones, crear o administrar grupos o crear o administrar usuarios más allá de la ubicación de uso. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/groups/assignLicense | Asignar las licencias de producto a grupos para las licencias basadas en grupos |
| microsoft.directory/groups/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para las licencias basadas en grupo |
| microsoft.directory/users/assignLicense | Administrar licencias de usuario |
| microsoft.directory/users/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para los usuarios |
| microsoft.directory/users/usageLocation/update | Actualizar la ubicación de uso de los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de flujos de trabajo del ciclo de vida
Se trata de un rol con privilegios. Asigne el rol Administrador de flujos de trabajo de ciclo de vida a los usuarios que necesiten realizar estas tareas:
- Crear y administrar todos los aspectos de los flujos de trabajo y las tareas asociados con los flujos de trabajo del ciclo de vida en Microsoft Entra ID
- Comprobación de la ejecución de flujos de trabajo programados
- Inicio de ejecuciones de flujo de trabajo a petición
- Inspección de los registros de ejecución de flujos de trabajo
| Acciones | Descripción |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Administrar todos los aspectos de los flujos de trabajo y las tareas del ciclo de vida en Microsoft Entra ID |
| microsoft.directory/organization/strongAuthentication/read | Leer las propiedades de autenticación segura de una organización |
| microsoft.directory/users/lifeCycleInfo/read | Leer información del ciclo de vida de los usuarios, como employeeLeaveDateTime |
Lector de privacidad del Centro de mensajes
los usuarios con este rol pueden supervisar todas las notificaciones del Centro de mensajes, incluidos los mensajes de privacidad de datos. Los lectores de privacidad del Centro de mensajes reciben notificaciones por correo electrónico, incluidas las relacionadas con la privacidad de los datos, y pueden cancelar la suscripción mediante las preferencias del Centro de mensajes. Solo el administrador global y el lector de privacidad del Centro de mensajes pueden leer los mensajes de privacidad de los datos. Además, este rol incluye la posibilidad de ver los grupos, dominios y suscripciones. Este rol no tiene permiso para ver, crear o administrar solicitudes de servicio.
| Acciones | Descripción |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.messageCenter/securityMessages/read | Leer los mensajes de seguridad del centro de mensajes del centro de administración de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Lector del Centro de mensajes
Los usuarios con este rol pueden supervisar las notificaciones y las actualizaciones de estado de advertencia en el centro de mensajes de su organización en los servicios configurados, como Exchange, Intune y Microsoft Teams. Los lectores del centro de mensajes reciben resúmenes semanales por correo electrónico de publicaciones y actualizaciones y pueden compartir entradas del centro de mensajes en Microsoft 365. En Microsoft Entra ID, los usuarios asignados a este rol solamente tienen acceso de solo lectura en los servicios de Microsoft Entra, como usuarios y grupos. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.
| Acciones | Descripción |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de migración de Microsoft 365
Asigne el rol Administrador de migración de Microsoft 365 a usuarios que necesiten realizar las siguientes tareas:
- Use el Administrador de migración en el Centro de administración de Microsoft 365 para administrar la migración de contenido a Microsoft 365, incluidos los sitios de Teams, OneDrive para empresas y SharePoint, desde Google Drive, Dropbox, Box y Egnyte
- Selección de orígenes de migración, creación de inventarios de migración (como listas de usuarios de Google Drive), programación y ejecución de migraciones y descarga de informes
- Creación de nuevos sitios de SharePoint si los sitios de destino aún no existen, creación de listas de SharePoint en los sitios de administración de SharePoint y creación y actualización de elementos en listas de SharePoint
- Administración de la configuración del proyecto de migración y el ciclo de vida de la migración para tareas
- Administración de asignaciones de permisos de origen a destino
Nota:
Este rol no permite migrar desde orígenes de recursos compartidos de archivos mediante el Centro de administración de SharePoint. Puede usar el rol Administrador de SharePoint para migrar desde orígenes de recursos compartidos de archivos.
| Acciones | Descripción |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Administración de todos los aspectos de las migraciones de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador local de dispositivos unidos a Microsoft Entra
este rol está disponible solo para la asignación como un administrador local adicional en la Configuración del dispositivo. Los usuarios con este rol se convierten en administradores de máquinas locales en todos los dispositivos Windows 10 que están unidos a Microsoft Entra ID. No tienen la capacidad de administrar objetos de dispositivos en Microsoft Entra ID.
| Acciones | Descripción |
|---|---|
| microsoft.directory/groupSettings/standard/read | Leer las propiedades básicas de la configuración de grupo |
| microsoft.directory/groupSettingTemplates/standard/read | Leer las propiedades básicas de las plantillas de configuración de grupo |
Administrador de garantía de hardware de Microsoft
Asigne el rol Administrador de garantía de hardware de Microsoft a usuarios que necesiten realizar las siguientes tareas:
- Crear reclamaciones de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens
- Buscar y leer reclamaciones de garantía abiertas o cerradas
- Buscar y leer reclamaciones de garantía por número de serie
- Crear, leer, actualizar y eliminar direcciones de envío
- Leer el estado del envío de las reclamaciones de garantía abiertas
- Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365
- Leer anuncios del centro de mensajes en el Centro de administración de Microsoft 365
Una reclamación de garantía es una solicitud de reparación o sustitución del hardware de acuerdo con los términos de la garantía. Para obtener más información, vea Autoservicio de solicitudes de servicio y garantía de Surface.
| Acciones | Descripción |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Crear, leer, actualizar y eliminar direcciones de envío para reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío creadas por otros usuarios |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Crear y administrar todos los aspectos de las reclamaciones de garantía de hardware de Microsoft |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Especialista en garantía de hardware de Microsoft
Asigne el rol Especialista en garantía de hardware de Microsoft a usuarios que necesiten realizar las siguientes tareas:
- Crear reclamaciones de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens
- Leer las reclamaciones de garantía que han creado
- Leer y actualizar las direcciones de envío existentes
- Leer el estado del envío de las reclamaciones de garantía abiertas que han creado
- Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365
Una reclamación de garantía es una solicitud de reparación o sustitución del hardware de acuerdo con los términos de la garantía. Para obtener más información, vea Autoservicio de solicitudes de servicio y garantía de Surface.
| Acciones | Descripción |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Leer las direcciones de envío de las reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío existentes creadas por otros usuarios |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Crear reclamaciones de garantía de hardware de Microsoft en las que el creador sea el propietario |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Leer las reclamaciones de garantía de hardware de Microsoft |
Administrador de comercio moderno
No debe usarse. Este rol se asigna automáticamente al servicio desde el comercio y no está previsto ni se admite para ningún otro uso. Vea los detalles a continuación.
El rol de administrador de comercio moderno concede a ciertos usuarios permiso para acceder al centro de administración de Microsoft 365 y ver las entradas de navegación izquierda para Inicio, Facturación y Soporte. El contenido disponible en estas áreas se controla mediante roles específicos de comercio asignados a los usuarios para administrar los productos que han comprado para ellos mismos o para su organización. Esto puede incluir tareas como el pago de facturas o el acceso a cuentas de facturación y perfiles de facturación.
Normalmente, los usuarios con el rol de administrador de comercio moderno tienen permisos administrativos en otros sistemas de adquisición de Microsoft, pero no tienen roles de Administrador global o de Administrador de facturación usados para acceder al centro de administración.
¿Cuándo se asigna el rol de administrador de comercio moderno?
- Compra de autoservicio en el centro de administración de Microsoft 365: la compra de autoservicio proporciona a los usuarios la oportunidad de probar nuevos productos comprando o suscribiéndose ellos mismos. Estos productos se administran en el centro de administración. A los usuarios que realizan una compra de autoservicio se les asigna un rol en el sistema de comercio y el rol de administrador de comercio moderno para que puedan administrar sus compras en el centro de administración. Los administradores pueden bloquear las compras de autoservicio (para Fabric, Power BI, Power Apps, Power Automatic) mediante PowerShell. Para más información, consulte preguntas más frecuentes sobre compras de autoservicio.
- Compras de Marketplace comercial de Microsoft: similar a la compra de autoservicio, cuando un usuario adquiere un producto o servicio de Microsoft AppSource o de Azure Marketplace, se asigna el rol de administrador de comercio moderno si no tiene el rol administrador global o administrador de facturación. En algunos casos, es posible que los usuarios no puedan realizar estas compras. Para más información, consulte Marketplace comercial de Microsoft.
- Propuestas de Microsoft: Una propuesta es una oferta formal de Microsoft para que su organización compre productos y servicios de Microsoft. Cuando la persona que acepta la propuesta no tiene un rol de administrador global o administrador de facturación en Microsoft Entra ID, se les asigna un rol específico del comercio para completar la propuesta y el rol administrador de comercio moderno para acceder al centro de administración. Cuando acceden al centro de administración, solo pueden usar características autorizadas por su rol específico de comercio.
- Roles específicos de comercio: a algunos usuarios se les asignan roles específicos de comercio. Si un usuario no tiene el rol de Administrador global o Administrador de facturación, obtiene el rol de administrador de comercio moderno para que pueda acceder al centro de administración.
Si el rol de administrador de comercio moderno no está asignado a un usuario, pierde el acceso al centro de administración de Microsoft 365. Si estuvieran administrando cualquier producto, ya sea por sí mismos o para su organización, no podrán administrarlos. Esto puede incluir la asignación de licencias, el cambio de métodos de pago, el pago de facturas u otras tareas para administrar las suscripciones.
| Acciones | Descripción |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Administrar todos los aspectos del centro de servicios de licencias por volumen |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de red
Los usuarios de este rol pueden revisar las recomendaciones de la arquitectura de perímetro de red de Microsoft que se basan en la telemetría de red desde sus ubicaciones de usuario. El rendimiento de red de Microsoft 365 se basa en una cuidadosa arquitectura de perímetro de red de cliente empresarial que suele ser específica de la ubicación del usuario. Este rol permite la edición de ubicaciones de usuario detectadas y la configuración de parámetros de red para esas ubicaciones con el fin de facilitar la mejora de las medidas de telemetría y las recomendaciones de diseño.
| Acciones | Descripción |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Administrar todos los aspectos de las ubicaciones de red |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de aplicaciones de Office
Los usuarios con este rol pueden administrar la configuración de la nube de las aplicaciones de Microsoft 365. Esto incluye la administración de directivas en la nube, la administración de la descarga de autoservicio y la capacidad de ver el informe relacionado con las aplicaciones de Office. Este rol además ofrece la capacidad de crear y administrar las incidencias de soporte técnico y supervisar el estado del servicio. Los usuarios asignados a este rol también pueden administrar la comunicación de las nuevas características de las aplicaciones de Office.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leer y actualizar la visibilidad de los mensajes sobre novedades |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de personalización de marca organizativa
Asigne el rol Administrador de personalización de marca organizativa a los usuarios que necesiten realizar las tareas siguientes:
- Administración de todos los aspectos de la personalización de marca organizativa en un inquilino
- Leer, crear, actualizar y eliminar temas de personalización de marca
- Administrar el tema de personalización de marca predeterminado y todos los temas de localización de personalización de marca
| Acciones | Descripción |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Crear y eliminar loginTenantBranding, y leer y actualizar todas las propiedades |
Aprobador de mensajes organizativos
Asigne el rol Aprobador de mensajes organizativos a los usuarios que necesiten realizar las siguientes tareas:
- Revise, apruebe o rechace nuevos mensajes organizativos para su entrega en el Centro de administración de Microsoft 365 antes de que se envíen a los usuarios mediante la plataforma Mensajes organizativos de Microsoft 365
- Leer todos los aspectos de los mensajes organizativos
- Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
| Acciones | Descripción |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365. |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | Aprobar o rechazar nuevos mensajes organizativos para su entrega en el Centro de administración de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Escritor de mensajes de la organización
Asigne el rol Escritor de mensajes de la organización a los usuarios que necesiten realizar las siguientes tareas:
- Escribir, publicar y eliminar mensajes de la organización mediante el Centro de administración de Microsoft 365 o Microsoft Intune
- Administrar las opciones de entrega de mensajes de la organización mediante el Centro de administración de Microsoft 365 o Microsoft Intune
- Leer los resultados de entrega de mensajes de la organización mediante el Centro de administración de Microsoft 365 o Microsoft Intune
- Ver informes de uso y la mayoría de las opciones de configuración en el Centro de administración de Microsoft 365, pero no realizar cambios
| Acciones | Descripción |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Puede administrar todos los aspectos de creación de mensajes de la organización de Microsoft 365. |
| microsoft.office365.usageReports/allEntities/standard/read | Leer informes de uso de Office 365 agregados de nivel de inquilino |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Soporte para asociados de nivel 1
Se trata de un rol con privilegios. No utilice. Este rol ha quedado en desuso y se quitará del Microsoft Entra ID en el futuro. Este rol está diseñado para que lo usen un pequeño número de asociados de reventa de Microsoft, no para un uso general.
Importante
Este rol puede restablecer las contraseñas e invalidar los tokens de actualización solo para los usuarios que no sean administradores. Este rol no debe usarse porque está en desuso.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/applications/appRoles/update | Actualizar la propiedad appRoles en todos los tipos de aplicaciones |
| microsoft.directory/applications/audience/update | Actualizar la propiedad de público para las aplicaciones |
| microsoft.directory/applications/authentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/basic/update | Actualizar las propiedades básicas de las aplicaciones |
| microsoft.directory/applications/credentials/update | Actualizar las credenciales de la aplicación |
| microsoft.directory/applications/notes/update | Actualizar las notas de las aplicaciones |
| microsoft.directory/applications/owners/update | Actualizar los propietarios de las aplicaciones |
| microsoft.directory/applications/permissions/update | Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones |
| microsoft.directory/applications/policies/update | Actualizar las directivas de las aplicaciones |
| microsoft.directory/applications/tag/update | Actualizar las etiquetas de las aplicaciones |
| microsoft.directory/contacts/basic/update | Actualizar las propiedades básicas en los contactos |
| microsoft.directory/contacts/create | Crear contactos |
| microsoft.directory/contacts/delete | Eliminar contactos |
| microsoft.directory/deletedItems.groups/restore | Restaurar los grupos eliminados temporalmente a su estado original |
| microsoft.directory/deletedItems.users/restore | Restauración de usuarios eliminados temporalmente al estado original |
| microsoft.directory/groups/create | Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/delete | Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/members/update | Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/owners/update | Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/restore | Restaurar grupos desde un contenedor eliminado temporalmente |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/users/assignLicense | Administrar licencias de usuario |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/create | Agregar usuarios |
| microsoft.directory/users/delete | Eliminación de usuarios |
| microsoft.directory/users/disable | Deshabilita usuarios. |
| microsoft.directory/users/enable | Habilita usuarios. |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.directory/users/photo/update | Actualizar la foto de los usuarios |
| microsoft.directory/users/restore | Restaurar usuarios eliminados |
| microsoft.directory/users/userPrincipalName/update | Actualizar el nombre principal de usuario de los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Soporte para asociados de nivel 2
Se trata de un rol con privilegios. No utilice. Este rol ha quedado en desuso y se quitará del Microsoft Entra ID en el futuro. Este rol está diseñado para que lo usen un pequeño número de asociados de reventa de Microsoft, no para un uso general.
Importante
Este rol puede restablecer las contraseñas e invalidar los tokens de actualización para todos los no administradores y los administradores (incluidos los administradores globales). Este rol no debe usarse porque está en desuso.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/applications/appRoles/update | Actualizar la propiedad appRoles en todos los tipos de aplicaciones |
| microsoft.directory/applications/audience/update | Actualizar la propiedad de público para las aplicaciones |
| microsoft.directory/applications/authentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/basic/update | Actualizar las propiedades básicas de las aplicaciones |
| microsoft.directory/applications/credentials/update | Actualizar las credenciales de la aplicación |
| microsoft.directory/applications/notes/update | Actualizar las notas de las aplicaciones |
| microsoft.directory/applications/owners/update | Actualizar los propietarios de las aplicaciones |
| microsoft.directory/applications/permissions/update | Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones |
| microsoft.directory/applications/policies/update | Actualizar las directivas de las aplicaciones |
| microsoft.directory/applications/tag/update | Actualizar las etiquetas de las aplicaciones |
| microsoft.directory/contacts/basic/update | Actualizar las propiedades básicas en los contactos |
| microsoft.directory/contacts/create | Crear contactos |
| microsoft.directory/contacts/delete | Eliminar contactos |
| microsoft.directory/deletedItems.groups/restore | Restaurar los grupos eliminados temporalmente a su estado original |
| microsoft.directory/deletedItems.users/restore | Restauración de usuarios eliminados temporalmente al estado original |
| microsoft.directory/domains/allProperties/allTasks | Crear y eliminar dominios, y leer y actualizar todas las propiedades |
| microsoft.directory/groups/create | Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/delete | Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/members/update | Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/owners/update | Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/restore | Restaurar grupos desde un contenedor eliminado temporalmente |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/organization/basic/update | Actualizar las propiedades básicas de la organización |
| microsoft.directory/roleAssignments/allProperties/allTasks | Crea y elimina asignaciones de roles, y lee y actualiza todas las propiedades de asignación de roles. |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Crea y elimina definiciones de roles, y lee y actualiza todas las propiedades. |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Crea y elimina la propiedad scopedRoleMemberships, y lee y actualiza todas las propiedades. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/subscribedSkus/standard/read | Lee las propiedades básicas de las suscripciones. |
| microsoft.directory/users/assignLicense | Administrar licencias de usuario |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/create | Agregar usuarios |
| microsoft.directory/users/delete | Eliminación de usuarios |
| microsoft.directory/users/disable | Deshabilita usuarios. |
| microsoft.directory/users/enable | Habilita usuarios. |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.directory/users/photo/update | Actualizar la foto de los usuarios |
| microsoft.directory/users/restore | Restaurar usuarios eliminados |
| microsoft.directory/users/userPrincipalName/update | Actualizar el nombre principal de usuario de los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de contraseñas
Se trata de un rol con privilegios. los usuarios con este rol tienen una capacidad limitada para administrar las contraseñas. Este rol no concede la capacidad de administrar solicitudes de servicio ni supervisar el estado del servicio. El hecho de que un Administrador de contraseñas pueda restablecer la contraseña de un usuario depende del rol que tenga asignado el usuario. Para obtener una lista de los roles para los que un administrador de contraseñas puede restablecer las contraseñas, consulte Quién puede restablecer las contraseñas.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden cambiar las credenciales ni restablecer la autenticación multifactor para los miembros y propietarios de un grupo al que se pueden asignar roles.
| Acciones | Descripción |
|---|---|
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de la administración de permisos
Asigne el rol Administrador de administración de permisos a los usuarios que necesiten realizar estas tareas:
- Administrar todos los aspectos de administración de permisos de Microsoft Entra, cuando el servicio está presente
Obtenga más información sobre los roles y directivas de administración de permisos en Ver información sobre roles y directivas.
| Acciones | Descripción |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Administrar todos los aspectos de administración de permisos de Microsoft Entra |
Administrador de Power Platform
Los usuarios de este rol pueden crear y administrar todos los aspectos de las directivas de entornos, Power Apps, flujos y prevención de pérdida de datos. Además, los usuarios con este rol tienen la capacidad de administrar incidencias de soporte técnico y supervisar el estado del servicio.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.dynamics365/allEntities/allTasks | Administrar todos los aspectos de Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Administrar todos los aspectos de Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Administrar todos los aspectos de Power Apps |
Administrador de impresoras
Los usuarios de este rol pueden registrar impresoras y administrar todos los aspectos de todas las configuraciones de impresora de la solución de impresión universal de Microsoft, incluida la configuración del conector de impresión universal. Pueden dar su consentimiento a todas las solicitudes de permiso de impresión delegada. Los administradores de impresoras también tienen acceso a los informes de impresión.
| Acciones | Descripción |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Crear y eliminar impresoras y conectores, y leer y actualizar todas las propiedades de la impresión de Microsoft |
Técnico de impresoras
Los usuarios con este rol pueden registrar impresoras y administrar el estado de la impresora en la solución de impresión universal de Microsoft. También pueden leer toda la información del conector. Una tarea clave que un técnico de impresora no puede realizar es establecer permisos de usuario en impresoras y compartir impresoras.
| Acciones | Descripción |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Leer todas las propiedades de los conectores de la impresión de Microsoft |
| microsoft.azure.print/printers/allProperties/read | Leer todas las propiedades de las impresoras de la impresión de Microsoft |
| microsoft.azure.print/printers/basic/update | Actualizar las propiedades básicas de las impresoras de la impresión de Microsoft |
| microsoft.azure.print/printers/register | Registrar impresoras en la impresión de Microsoft |
| microsoft.azure.print/printers/unregister | Anular el registro de las impresoras en la impresión de Microsoft |
Administrador de autenticación con privilegios
Se trata de un rol con privilegios. Asignar el rol Administrador de autenticación con privilegios a los usuarios que necesiten realizar estas tareas:
- Establecer o restablecer cualquier método de autenticación (incluidas las contraseñas) para cualquier usuario, incluidos Administradores globales.
- Eliminar o restaurar los usuarios, incluidos los Administradores globales. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
- Obligar a los usuarios a que vuelvan a registrarse con las credenciales existentes que no sean la contraseña (por ejemplo, MFA, FIDO) y revocar la opción recordar MFA en el dispositivo, por lo que se solicitará MFA en el siguiente inicio de sesión de todos los usuarios.
- Actualice las propiedades confidenciales para todos los usuarios. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
- Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365.
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden administrar MFA por usuario en el portal de administración de MFA heredado.
En la tabla siguiente se comparan las funcionalidades de roles relacionados con la autenticación.
| Role | Administrar los métodos de autenticación del usuario | Administrar MFA por usuario | Administrar la configuración de MFA | Administrar la directiva del método de autenticación | Administrar la directiva de protección de contraseñas | Actualizar las propiedades confidenciales | Eliminar y restaurar usuarios |
|---|---|---|---|---|---|---|---|
| Administrador de autenticación | Sí, para algunos usuarios | Sí, para algunos usuarios | Sí | No | No | Sí, para algunos usuarios | Sí, para algunos usuarios |
| Administrador de autenticación con privilegios | Sí, para todos los usuarios | Sí, para todos los usuarios | No | N.º | No | Sí, para todos los usuarios | Sí, para todos los usuarios |
| Administrador de directivas de autenticación | No | Sí | Sí | Sí | Sí | No | No |
| Administrador de usuarios | No | N.º | N.º | N.º | No | Sí, para algunos usuarios | Sí, para algunos usuarios |
Importante
Los usuarios con este rol pueden cambiar las credenciales de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar las credenciales de un usuario puede significar la capacidad de asumir la identidad y los permisos de ese usuario. Por ejemplo:
- Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores de autenticación. Mediante esta ruta de acceso, un Administrador de autenticación puede asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
- Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
- Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
- Administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
- Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/deletedItems.users/restore | Restauración de usuarios eliminados temporalmente al estado original |
| microsoft.directory/users/authenticationMethods/basic/update | Actualizar las propiedades básicas de los métodos de autenticación para los usuarios |
| microsoft.directory/users/authenticationMethods/create | Actualizar métodos de autenticación para usuarios |
| microsoft.directory/users/authenticationMethods/delete | Eliminar métodos de autenticación para los usuarios |
| microsoft.directory/users/authenticationMethods/standard/read | Leer las propiedades básicas de los métodos de autenticación para los usuarios |
| microsoft.directory/users/authorizationInfo/update | Actualizar la propiedad de id. de usuario de certificado multivalor de los usuarios |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/delete | Eliminación de usuarios |
| microsoft.directory/users/disable | Deshabilita usuarios. |
| microsoft.directory/users/enable | Habilita usuarios. |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.directory/users/restore | Restaurar usuarios eliminados |
| microsoft.directory/users/userPrincipalName/update | Actualizar el nombre principal de usuario de los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de roles con privilegios
Se trata de un rol con privilegios. Los usuarios con este rol pueden administrar las asignaciones de roles en Microsoft Entra ID, así como en Microsoft Entra Privileged Identity Management. Pueden crear y administrar grupos que se pueden asignar a roles de Microsoft Entra. Además, este rol permite administrar todos los aspectos de Privileged Identity Management y de las unidades administrativas.
Importante
Este rol concede la capacidad de administrar asignaciones para todos los roles de Microsoft Entra, incluido el rol de administrador global. Este rol no incluye ninguna otra capacidad con privilegios en Microsoft Entra ID, como crear o actualizar usuarios. Sin embargo, los usuarios asignados a este rol pueden concederse a sí mismos o a otros usuarios privilegios adicionales mediante la asignación de roles adicionales.
| Acciones | Descripción |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Leer todas las propiedades de las revisiones de acceso de las asignaciones de roles de aplicación en Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Administrar revisiones de acceso para asignaciones de roles de Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leer todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Actualizar todas las propiedades de las revisiones de acceso para la pertenencia a grupos que se pueden asignar a roles de Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Crear revisiones de acceso para la pertenencia a grupos que se pueden asignar a roles de Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Eliminación de revisiones de acceso para la pertenencia a grupos que se pueden asignar a roles de Microsoft Entra |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Crea y administra unidades administrativas (incluidos los miembros). |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Administrar todos los aspectos de una directiva de autorización |
| microsoft.directory/directoryRoles/allProperties/allTasks | Crear y eliminar roles de directorio, y leer y actualizar todas las propiedades |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Actualizar grupos asignables de roles |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Asignación de una licencia a grupos a los que se pueden asignar roles |
| microsoft.directory/groupsAssignableToRoles/create | Creación de grupos a los que se pueden asignar roles |
| microsoft.directory/groupsAssignableToRoles/delete | Eliminar grupos asignables de roles |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencias a grupos a los que se pueden asignar roles |
| microsoft.directory/groupsAssignableToRoles/restore | Restaurar de grupos asignables de roles |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Lectura de todas las propiedades de las directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Actualice todas las propiedades de las directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/create | Crear directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/delete | Eliminar directivas de concesión de permisos |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Crea y elimina asignaciones de roles, y lee y actualiza todas las propiedades de asignación de roles. |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Crea y elimina definiciones de roles, y lee y actualiza todas las propiedades. |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Crea y elimina la propiedad scopedRoleMemberships, y lee y actualiza todas las propiedades. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Conceder consentimiento para cualquier permiso a cualquier aplicación |
| microsoft.directory/servicePrincipals/permissions/update | Actualizar los permisos de las entidades de servicio |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Lector de informes
los usuarios con este rol pueden ver datos de informes de uso y el panel de informes en el centro de administración de Microsoft 365 y el paquete del contexto de adopción en Fabric y Power BI. Además, el rol proporciona acceso a todos los registros de inicio de sesión, registros de auditoría e informes de actividad de Microsoft Entra ID y a los datos devueltos por la API de informes de Microsoft Graph. Un usuario asignado al rol de lector de informes puede acceder solo a métricas de uso y adopción pertinentes. No tienen permisos de administrador para configurar valores ni acceder a los centros de administración específicos de productos como Exchange. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de búsqueda
los usuarios con este rol tienen acceso total a las características de administración de Búsqueda de Microsoft en el centro de administración de Microsoft 365. Además, estos usuarios pueden ver el Centro de mensajes, supervisar el estado del servicio y crear solicitudes de servicio.
| Acciones | Descripción |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.search/content/manage | Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Editor de búsqueda
los usuarios con este rol pueden crear, administrar y eliminar contenido de Búsqueda de Microsoft en el centro de administración de Microsoft 365, incluidos los marcadores, las preguntas y respuestas y las ubicaciones.
| Acciones | Descripción |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.search/content/manage | Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de seguridad
Se trata de un rol con privilegios. Los usuarios con este rol tienen permisos para administrar características relacionadas con la seguridad en el portal de Microsoft 365 Defender, Protección de Microsoft Entra ID, Autenticación de Microsoft Entra, Azure Information Protection y portal de cumplimiento de Microsoft Purview. Para obtener más información sobre los permisos de Office 365, consulta Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.
| En | Puedes hacer |
|---|---|
| Portal de Microsoft 365 Defender | Supervisar las directivas relacionadas con la seguridad en servicios de Microsoft 365 Administrar alertas y amenazas de seguridad Ver informes |
| Microsoft Entra ID Protection | Todos los permisos del rol Lector de seguridad Realizar todas las operaciones de Protección de id., excepto la de restablecer contraseñas |
| Privileged Identity Management | Todos los permisos del rol Lector de seguridad No se puede administrar las asignaciones o configuraciones de roles de Microsoft Entra |
| Portal de cumplimiento de Microsoft Purview | Administrar directivas de seguridad Ver e investigar amenazas de seguridad y responder a ellas Ver informes |
| Azure Advanced Threat Protection | Supervisar la actividad sospechosa de seguridad y responder a ella |
| Microsoft Defender para punto de conexión | Asignación de roles Administración de grupos de máquinas Configurar la detección de amenazas de punto de conexión y la corrección automatizada Ver e investigar alertas y responder a ellas Visualizar el inventario de máquinas o dispositivos |
| Intune | Se asigna al rol de administrador de seguridad de puntos de conexión de Intune |
| Microsoft Defender para aplicaciones en la nube | Agregar administradores, agregar directivas y configuraciones, cargar registros y realizar acciones de gobernanza |
| Estado del servicio de Microsoft 365 | Vea el estado de los servicios de Microsoft 365. |
| Bloqueo inteligente | Definir el umbral y la duración de los bloqueos cuando se produzcan eventos de inicio de sesión erróneos. |
| Protección con contraseña | Configurar la lista personalizada de contraseñas prohibidas o la protección de contraseña local. |
| Sincronización entre inquilinos | Configurar las opciones de acceso entre inquilinos para los usuarios de otro inquilino. Los administradores de seguridad no pueden crear y eliminar usuarios directamente, pero pueden crear y eliminar indirectamente usuarios sincronizados de otro inquilino cuando ambos inquilinos están configurados para la sincronización entre inquilinos, que es un permiso con privilegios. |
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/applications/policies/update | Actualizar las directivas de las aplicaciones |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/conditionalAccessPolicies/basic/update | Actualizar las propiedades básicas de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Creación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/read | Leer los propietarios de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/update | Actualizar los propietarios de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leer la propiedad "applied to" para las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leer el acceso condicional de las directivas |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Actualizar el inquilino predeterminado de las directivas de acceso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Actualizar la configuración básica de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Actualización de la configuración de colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Actualización de la configuración de conexión directa de Microsoft Entra B2B de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crear una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminar una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Actualizar la configuración básica de la directiva de sincronización entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Crear una directiva de sincronización entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Leer las propiedades básicas de la directiva de sincronización entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Actualización de plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Restablecer la plantilla de directiva de sincronización entre inquilinos para la organización multiinquilino a la configuración predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino. |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Actualización de plantillas de directiva de acceso entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Restablecer la plantilla de directiva de acceso entre inquilinos para la organización multiinquilino a la configuración predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos |
| microsoft.directory/deviceLocalCredentials/standard/read | Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña |
| microsoft.directory/domains/federationConfiguration/basic/update | Actualiza la configuración de federación básica de los dominios. |
| microsoft.directory/domains/federationConfiguration/create | Crea la configuración de federación de los dominios. |
| microsoft.directory/domains/federationConfiguration/delete | Elimina la configuración de federación de los dominios. |
| microsoft.directory/domains/federationConfiguration/standard/read | Lee las propiedades estándar de la configuración de federación de los dominios. |
| microsoft.directory/domains/federation/update | Actualizar la propiedad de federación de los dominios |
| microsoft.directory/entitlementManagement/allProperties/read | Leer todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Leer todos los recursos de Microsoft Entra ID Protection |
| microsoft.directory/identityProtection/allProperties/update | Actualizar todos los recursos de Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/basic/update | Actualización de las propiedades básicas de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/create | Creación de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Únase a una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Leer las propiedades de una solicitud de unión a una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/standard/read | Leer las propiedades básicas de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/create | Creación de un inquilino en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/delete | Eliminación de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Actualización de las propiedades básicas de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/namedLocations/basic/update | Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/create | Cree reglas personalizadas que definan las ubicaciones de red |
| microsoft.directory/namedLocations/delete | Elimine las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/standard/read | Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/policies/basic/update | Actualizar las propiedades básicas en las directivas |
| microsoft.directory/policies/create | Creación de directivas en Microsoft Entra ID |
| microsoft.directory/policies/delete | Eliminar directivas en Microsoft Entra ID. |
| microsoft.directory/policies/owners/update | Actualizar los propietarios de las directivas |
| microsoft.directory/policies/tenantDefault/update | Actualizar las directivas de organización predeterminadas |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leer todos los recursos de Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365 |
| microsoft.directory/servicePrincipals/policies/update | Actualizar las directivas de las entidades de servicio |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Administrar todos los aspectos de Microsoft Entra Network Access |
| microsoft.office365.protectionCenter/allEntities/basic/update | Actualización de las propiedades básicas de todos los recursos de los Centros de seguridad y Cumplimiento |
| microsoft.office365.protectionCenter/allEntities/standard/read | Lea las propiedades estándar de todos los recursos de los Centros de seguridad y Cumplimiento |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Crear y administrar cargas de ataque en el Simulador de ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Crear y administrar plantillas de simulaciones de ataques en el Simulador de ataques |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Operador de seguridad
Se trata de un rol con privilegios. Los usuarios con este rol pueden administrar alertas y tener acceso global de solo lectura en características relacionadas con la seguridad, incluida toda la información en el portal de Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management y portal de cumplimiento de Microsoft Purview. Para obtener más información sobre los permisos de Office 365, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.
| En | Puedes hacer |
|---|---|
| Portal de Microsoft 365 Defender | Todos los permisos del rol Lector de seguridad Ver e investigar amenazas de seguridad y responder a ellas Administración de la configuración de seguridad en el portal de Microsoft 365 Defender |
| Microsoft Entra ID Protection | Todos los permisos del rol Lector de seguridad Realizar todas las operaciones de Protección de id., excepto las de configurar o cambiar directivas basadas en riesgos, restablecer contraseñas y configurar correos electrónicos de alerta. |
| Privileged Identity Management | Todos los permisos del rol Lector de seguridad |
| Portal de cumplimiento de Microsoft Purview | Todos los permisos del rol Lector de seguridad Ver e investigar amenazas de seguridad y responder a ellas |
| Microsoft Defender para punto de conexión | Todos los permisos del rol Lector de seguridad Ver e investigar amenazas de seguridad y responder a ellas Al activar el control de acceso basado en rol en Microsoft Defender para punto de conexión, los usuarios con permisos de solo lectura, como el rol Lector de seguridad, pierden el acceso hasta que se les asigne un rol de Microsoft Defender para punto de conexión. |
| Intune | Todos los permisos del rol Lector de seguridad |
| Microsoft Defender para aplicaciones en la nube | Todos los permisos del rol Lector de seguridad Ver e investigar amenazas de seguridad y responder a ellas |
| Estado del servicio de Microsoft 365 | Vea el estado de los servicios de Microsoft 365. |
| Acciones | Descripción |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Administrar todos los aspectos de Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones |
| microsoft.directory/identityProtection/allProperties/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Protección de Microsoft Entra ID. |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leer todos los recursos de Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.intune/allEntities/read | Leer todos los recursos de Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar del Centro de seguridad y cumplimiento de Office 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Administrar todos los aspectos de Microsoft Defender para punto de conexión |
Lector de seguridad
Se trata de un rol con privilegios. Los usuarios con este rol tienen acceso de solo lectura global en la característica relacionada con la seguridad, incluida toda la información en el portal de Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management, así como la capacidad de leer informes de inicio de sesión y registros de auditoría de Microsoft Entra, y en el portal de cumplimiento de Microsoft Purview. Para obtener más información sobre los permisos de Office 365, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.
| En | Puedes hacer |
|---|---|
| Portal de Microsoft 365 Defender | Ver las directivas relacionadas con la seguridad en los servicios de Microsoft 365 Ver las alertas y amenazas de seguridad Ver informes |
| Microsoft Entra ID Protection | Ver la información general y todos los informes de Identity Protection |
| Privileged Identity Management | Tiene acceso de solo lectura a toda la información expuesta en Microsoft Entra Privileged Identity Management: Directivas e informes para asignaciones de roles y revisiones de seguridad de Microsoft Entra. No se puede suscribirse a Microsoft Entra Privileged Identity Management ni realizar cambios en él. En el portal de Privileged Identity Management o a través de PowerShell, alguien en este rol puede activar roles adicionales (por ejemplo, Administrador de roles con privilegios), si el usuario es apto para ellos. |
| Portal de cumplimiento de Microsoft Purview | Visualización de directivas de seguridad Ver e investigar las amenazas de seguridad Ver informes |
| Microsoft Defender para punto de conexión | Ver e investigar alertas Al activar el control de acceso basado en rol en Microsoft Defender para punto de conexión, los usuarios con permisos de solo lectura, como el rol Lector de seguridad, pierden el acceso hasta que se les asigne un rol de Microsoft Defender para punto de conexión. |
| Intune | Ver información sobre usuarios, dispositivos, inscripciones, configuración y aplicaciones No se pueden realizar cambios en Intune |
| Microsoft Defender para aplicaciones en la nube | Tiene permisos de lectura. |
| Estado del servicio de Microsoft 365 | Vea el estado de los servicios de Microsoft 365. |
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/accessReviews/definitions/allProperties/read | Leer todas las propiedades de las revisiones de acceso de todos los recursos revisables en Microsoft Entra ID |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/bitlockerKeys/key/read | Leer los metadatos y la clave de BitLocker en los dispositivos |
| microsoft.directory/conditionalAccessPolicies/owners/read | Leer los propietarios de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leer la propiedad "applied to" para las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leer el acceso condicional de las directivas |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino. |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino |
| microsoft.directory/deviceLocalCredentials/standard/read | Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña |
| microsoft.directory/domains/federationConfiguration/standard/read | Lee las propiedades estándar de la configuración de federación de los dominios. |
| microsoft.directory/entitlementManagement/allProperties/read | Leer todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Leer todos los recursos de Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Leer las propiedades de una solicitud de unión a una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/standard/read | Leer las propiedades básicas de una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino |
| microsoft.directory/namedLocations/standard/read | Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/policies/owners/read | Leer los propietarios de las directivas |
| microsoft.directory/policies/policyAppliedTo/read | Leer la propiedad policies.policyAppliedTo |
| microsoft.directory/policies/standard/read | Leer las propiedades básicas en las directivas |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leer todos los recursos de Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.networkAccess/allEntities/allProperties/read | Leer todos los aspectos de Microsoft Entra Network Access |
| microsoft.office365.protectionCenter/allEntities/standard/read | Lea las propiedades estándar de todos los recursos de los Centros de seguridad y Cumplimiento |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Leer todas las propiedades de las cargas de ataque en el Simulador de ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Leer todas las propiedades de las plantillas de simulación de ataque en el Simulador de ataques |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador del soporte técnico del servicio
Los usuarios con este rol pueden crear y administrar solicitudes de soporte técnico con Microsoft relativas a servicios de Azure y Microsoft 365, y consultar el centro de mensajes y el panel de servicios de Azure Portal y el Centro de administración de Microsoft 365. Para más información, consulte Roles de administrador en el centro de administración de Microsoft 365.
Nota
Antes, este rol se llamaba Administrador de servicios en Azure Portal y en el Centro de administración de Microsoft 365. Se ha cambiado el nombre al administrador de soporte técnico del servicio para que se alinee con el nombre existente en Microsoft Graph API y Microsoft Graph PowerShell.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de SharePoint
Los usuarios con este rol tienen permisos globales en Microsoft SharePoint Online, cuando existe el servicio, así como también la posibilidad de crear y administrar todos los grupos de Microsoft 365, administrar las incidencias de soporte técnico y supervisar el mantenimiento del servicio. Para más información, consulte Roles de administrador en el centro de administración de Microsoft 365.
Nota:
En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de SharePoint. En Azure Portal se denomina Administrador de SharePoint.
Nota:
Este rol también concede permisos de ámbito a Microsoft Graph API para Microsoft Intune, lo que facilita la administración y configuración de directivas relacionadas con los recursos de SharePoint y OneDrive.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Crear y administrar la directiva de protección de OneDrive en la Copia de seguridad Microsoft 365 |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Leer y configurar la sesión de restauración para OneDrive en la Copia de seguridad Microsoft 365 |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | Administrar todos los puntos de restauración asociados a sitios de SharePoint seleccionados en la Copia de seguridad M365 |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Administrar todos los puntos de restauración asociados a cuentas de OneDrive seleccionadas en la Copia de seguridad M365 |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Crear y administrar la directiva de protección de SharePoint en la Copia de seguridad Microsoft 365 |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Leer y configurar la sesión de restauración para SharePoint en la Copia de seguridad Microsoft 365 |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | Administrar sitios agregados a la directiva de protección de SharePoint en la Copia de seguridad Microsoft 365 |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Administrar sitios agregados para restaurar la sesión de SharePoint en la Copia de seguridad Microsoft 365 |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Administrar cuentas agregadas a la directiva de protección de OneDrive en la Copia de seguridad Microsoft 365 |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Administrar cuentas agregadas para restaurar la sesión de OneDrive en la Copia de seguridad Microsoft 365 |
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups.unified/basic/update | Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/create | Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/delete | Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/members/update | Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/unified/owners/update | Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/restore | Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Administración de todos los aspectos de las migraciones de Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador integrado de SharePoint
Asigne el rol Administrador incrustado de SharePoint a los usuarios que necesiten realizar las siguientes tareas:
- Realizar todas las tareas con PowerShell, API de Microsoft Graph o el Centro de administración de SharePoint
- Administrar, configurar y mantener contenedores integrados de SharePoint
- Enumerar y administrar contenedores integrados de SharePoint
- Enumerar y administrar permisos para contenedores integrados de SharePoint
- Administrar el almacenamiento de contenedores integrados de SharePoint en un inquilino
- Asignar políticas de seguridad y cumplimiento en contenedores integrados de SharePoint
- Aplicar políticas de seguridad y cumplimiento en contenedores integrados de SharePoint en un inquilino
| Acciones | Descripción |
|---|---|
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Administre todos los aspectos de los contenedores de SharePoint Embedded |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Skype Empresarial
Los usuarios con este rol tienen permisos globales dentro de Microsoft Skype Empresarial, cuando el servicio está presente, así como administrar atributos de usuario específicos de Skype en Microsoft Entra ID. Además, este rol concede la posibilidad de administrar incidencias de soporte técnico, supervisar el estado del servicio y acceder al centro de administración de Teams y de Skype Empresarial. La cuenta también debe tener licencia para Teams o no podrá ejecutar los cmdlets de PowerShell de Teams. Para más información, consulte Administración online de Skype Empresarial y la información de licencias de Teams en Licencias de complementos para Skype Empresarial.
Nota:
En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Lync. En Azure Portal, se denomina Administrador de Skype Empresarial.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de Teams
los usuarios con este rol pueden administrar todos los aspectos de la carga de trabajo de Microsoft Teams a través del centro de administración de Microsoft Teams y Skype Empresarial y los módulos de PowerShell correspondientes. Esto incluye, entre otras áreas, todas las herramientas de administración relacionadas con telefonía, mensajería, reuniones y los propios equipos. Este rol además ofrece la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar las incidencias de soporte técnico y supervisar el estado del servicio.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crear una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leer las propiedades básicas de la directiva de acceso entre inquilinos |
| microsoft.directory/externalUserProfiles/basic/update | Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/externalUserProfiles/delete | Eliminar perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/externalUserProfiles/standard/read | Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups.unified/basic/update | Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/create | Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/delete | Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/members/update | Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/unified/owners/update | Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/restore | Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Crear perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Eliminar perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Lear las propiedades estándar de las directivas de concesión de permisos |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Administrar todos los recursos de Teams |
Administrador de comunicaciones de Teams
los usuarios con este rol pueden administrar aspectos de la carga de trabajo de Microsoft Teams relacionados con la voz y la telefonía. Esto incluye las herramientas de administración para la asignación de números de teléfono, directivas de voz y reunión, y acceso total al conjunto de herramientas de análisis de llamada.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leer todos los datos del Panel de calidad de llamadas (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Administrar reuniones, incluidas sus directivas, configuraciones y puentes de conferencia |
| microsoft.teams/voice/allProperties/allTasks | Administrar los servicios de voz, como las directivas de llamada y el inventario y la asignación de números de teléfono |
Ingeniero de soporte técnico de comunicaciones de Teams
los usuarios con este rol pueden solucionar problemas de comunicación de Microsoft Teams y Skype Empresarial mediante las herramientas de solución de problemas de llamadas del usuario del centro de administración de Microsoft Teams y Skype Empresarial. Los usuarios con este rol pueden ver la información completa de registro de llamadas de todos los participantes implicados. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leer todos los datos del Panel de calidad de llamadas (CQD) |
Especialista de soporte técnico de comunicaciones de Teams
los usuarios con este rol pueden solucionar problemas de comunicación de Microsoft Teams y Skype Empresarial mediante las herramientas de solución de problemas de llamadas del usuario del centro de administración de Microsoft Teams y Skype Empresarial. Los usuarios con este rol solo pueden ver los detalles del usuario en la llamada al usuario específico que han buscado. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Leer los datos básicos del Panel de calidad de llamadas (CQD) |
Administrador de dispositivos de Teams
Los usuarios con este rol pueden administrar dispositivos certificados para Teams desde el centro de administración de Teams. Este rol permite ver todos los dispositivos de un solo vistazo, con la posibilidad de buscar y filtrar dispositivos. El usuario puede comprobar los detalles de cada dispositivo, por ejemplo, la cuenta con la que se ha iniciado sesión, la marca y el modelo del dispositivo. El usuario puede cambiar la configuración en el dispositivo y actualizar las versiones de software. Este rol no concede permisos para comprobar la actividad de Teams ni la calidad de las llamadas del dispositivo.
| Acciones | Descripción |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.teams/devices/standard/read | Administrar todos los aspectos de los dispositivos certificados para Teams, incluidas las directivas de configuración |
Administrador de telefonía de Teams
Asigne el rol Administrador de telefonía de Teams a los usuarios que necesiten realizar estas tareas:
- Administrar la voz y la telefonía, incluidas las directivas de llamada, la administración y asignación de números de teléfono y las aplicaciones de voz
- Acceder solo a informes de uso de la red telefónica conmutada (RTC) pública desde el Centro de administración de Teams
- Ver la página de perfil de usuario
- Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leer las propiedades estándar de la directiva de autorización |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Administra todos los aspectos de Skype Empresarial Online. |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leer todos los datos del Panel de calidad de llamadas (CQD) |
| microsoft.teams/voice/allProperties/allTasks | Administrar los servicios de voz, como las directivas de llamada y el inventario y la asignación de números de teléfono |
Creador de inquilinos
Asigne el rol Creador de inquilinos a los usuarios que necesiten realizar estas tareas:
- Cree inquilinos de Microsoft Entra y Azure Active Directory B2C incluso si el botón de alternancia de creación de inquilinos está desactivado en la configuración de usuario
Nota:
A los creadores de inquilinos se les asignará el rol de administrador global en los nuevos inquilinos que crean.
| Acciones | Descripción |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Creación de nuevos inquilinos en Microsoft Entra ID |
Resumen de uso de Lector de informes
Asigne el rol Lector de informes de resumen de uso a los usuarios que necesiten realizar las siguientes tareas en el Centro de administración de Microsoft 365:
- Visualización de los Informes de uso y la Puntuación de adopción
- Leer información de la organización, pero no información de identificación personal (PII) de los usuarios
Este rol solo permite a los usuarios ver los datos de nivel organizativo con las excepciones siguientes:
- Los usuarios miembros pueden ver los datos y la configuración de administración de usuarios.
- Los usuarios invitados asignados a este rol no pueden ver los datos y la configuración de administración de usuarios.
| Acciones | Descripción |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leer informes de uso de Office 365 agregados de nivel de inquilino |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de usuarios
Se trata de un rol con privilegios. Asignar el rol Administrador de usuarios a los usuarios que necesiten realizar estas tareas:
| Permiso | Más información |
|---|---|
| Creación de usuarios | |
| Actualizar la mayoría de las propiedades de usuario para todos los usuarios, incluidos todos los administradores | Quién puede realizar acciones confidenciales |
| Actualizar las propiedades confidenciales (incluido el nombre principal de usuario) para algunos usuarios | Quién puede realizar acciones confidenciales |
| Deshabilitar o habilitar algunos usuarios | Quién puede realizar acciones confidenciales |
| Eliminar o restaurar algunos usuarios | Quién puede realizar acciones confidenciales |
| Crear y administrar vistas de usuario | |
| Crear y administrar todos los grupos | |
| Asignar y leer licencias para todos los usuarios, incluidos todos los administradores | |
| Restablecimiento de contraseñas | Quién puede restablecer contraseñas |
| Invalide los tokens de actualización. | Quién puede restablecer contraseñas |
| Actualizar las claves de dispositivo (FIDO) | |
| Actualización de directivas de expiración de contraseñas | |
| Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365 | |
| Supervisar el estado del servicio |
Los usuarios con este rol no pueden realizar las siguientes tareas:
- No pueden administrar MFA.
- No pueden cambiar las credenciales ni restablecer la autenticación multifactor para los miembros y propietarios de un grupo al que se pueden asignar roles.
- No pueden administrar buzones compartidos.
- No se pueden modificar las preguntas de seguridad para la operación de restablecimiento de contraseña.
Importante
Los usuarios con este rol pueden cambiar las contraseñas de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar la contraseña de un usuario puede significar la capacidad de asumir la identidad y los permisos del usuario. Por ejemplo:
- Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores de usuarios. Mediante esta ruta de acceso, un administrador de usuarios puede ser capaz de asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
- Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
- Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
- Los administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
- Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
| Acciones | Descripción |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leer y configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Administrar las revisiones de acceso de las asignaciones de roles de aplicación en Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Leer todas las propiedades de las revisiones de acceso para las asignaciones de roles de Microsoft Entra |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Administrar las revisiones de acceso para las asignaciones de los paquetes de acceso en la administración de derechos |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leer todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Actualizar todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, a excepción de los grupos a los que se pueden asignar roles. |
| microsoft.directory/accessReviews/definitions.groups/create | Crear revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Eliminar revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365. |
| microsoft.directory/contacts/basic/update | Actualizar las propiedades básicas en los contactos |
| microsoft.directory/contacts/create | Crear contactos |
| microsoft.directory/contacts/delete | Eliminar contactos |
| microsoft.directory/deletedItems.groups/restore | Restaurar los grupos eliminados temporalmente a su estado original |
| microsoft.directory/deletedItems.users/restore | Restauración de usuarios eliminados temporalmente al estado original |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Crear y eliminar recursos y leer y actualizar todas las propiedades de la administración de derechos de Microsoft Entra |
| microsoft.directory/groups/assignLicense | Asignar las licencias de producto a grupos para las licencias basadas en grupos |
| microsoft.directory/groups/basic/update | Actualizar las propiedades básicas de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/classification/update | Actualizar la propiedad de clasificación de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/create | Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/delete | Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/dynamicMembershipRule/update | Actualizar la regla de membresía dinámica de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/groupType/update | Actualizar las propiedades que afectarían al tipo de grupo de los grupos de seguridad y los de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/members/update | Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/onPremWriteBack/update | Actualizar los grupos de Microsoft Entra para que se escriban en el entorno local con Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/groups/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para las licencias basadas en grupo |
| microsoft.directory/groups/restore | Restaurar grupos desde un contenedor eliminado temporalmente |
| microsoft.directory/groups/settings/update | Actualizar la configuración de los grupos |
| microsoft.directory/groups/visibility/update | Actualizar la propiedad de visibilidad de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades. |
| microsoft.directory/policies/standard/read | Leer las propiedades básicas en las directivas |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/users/assignLicense | Administrar licencias de usuario |
| microsoft.directory/users/basic/update | Actualizar las propiedades básicas en los usuarios |
| microsoft.directory/users/convertExternalToInternalMemberUser | Conversión de usuario externo en usuario interno |
| microsoft.directory/users/create | Agregar usuarios |
| microsoft.directory/users/delete | Eliminación de usuarios |
| microsoft.directory/users/disable | Deshabilita usuarios. |
| microsoft.directory/users/enable | Habilita usuarios. |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios |
| microsoft.directory/users/inviteGuest | Invitar a usuarios externos |
| microsoft.directory/users/manager/update | Actualizar el administrador de los usuarios |
| microsoft.directory/users/password/update | Restablecer las contraseñas para todos los usuarios |
| microsoft.directory/users/photo/update | Actualizar la foto de los usuarios |
| microsoft.directory/users/reprocessLicenseAssignment | Volver a procesar las asignaciones de licencia para los usuarios |
| microsoft.directory/users/restore | Restaurar usuarios eliminados |
| microsoft.directory/users/sponsors/update | Actualizar los patrocinadores de los usuarios |
| microsoft.directory/users/usageLocation/update | Actualizar la ubicación de uso de los usuarios |
| microsoft.directory/users/userPrincipalName/update | Actualizar el nombre principal de usuario de los usuarios |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de éxito de la experiencia del usuario
Asigne el rol Administrador de éxito de la experiencia del usuario a los usuarios que necesiten realizar las siguientes tareas:
- Lea los informes de uso de nivel organizativo para aplicaciones y servicios de Microsoft 365, pero no los detalles del usuario
- Vea los comentarios del producto de la organización, los resultados de la encuesta de Net Promoter Score (NPS) y las vistas del artículo para identificar las oportunidades de comunicación y aprendizaje
- Leer entradas del centro de mensajes y datos de estado del servicio
| Acciones | Descripción |
|---|---|
| microsoft.commerce.billing/purchases/standard/read | Leer los servicios de compra en el Centro de administración de M365 |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365. |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leer informes de uso de Office 365 agregados de nivel de inquilino |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Virtual Visits Administrator (Administrador de visitas virtuales)
Los usuarios con este rol pueden realizar las tareas siguientes:
- Administrar y configurar todos los aspectos de las visitas virtuales en Bookings en el Centro de administración de Microsoft 365 y en el conector de EHR de Teams.
- Ver informes de uso de visitas virtuales en el Centro de administración de Teams, el Centro de administración de Microsoft 365, Fabric y Power BI
- Ver características y configuraciones en el Centro de administración de Microsoft 365, pero no editar ninguna configuración.
Las visitas virtuales son una manera sencilla de programar y administrar citas en línea y de vídeo para el personal y los asistentes. Por ejemplo, los informes de uso pueden mostrar cómo enviar mensajes de texto SMS antes de que las citas puedan reducir el número de personas que no aparecen para las citas.
| Acciones | Descripción |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Administración y uso compartido de métricas y información de visitas virtuales desde los centros de administración o la aplicación Visitas virtuales |
Administrador de Viva Goals
Asigne el rol Administrador de Viva Goals a los usuarios que necesiten realizar estas tareas:
- Administrar y configurar todos los aspectos de la aplicación Microsoft Viva Goals.
- Configurar las opciones de administrador de Microsoft Viva Goals.
- Leer la información del inquilino de Microsoft Entra
- Supervisar el estado del inquilino de Microsoft 365.
- Crear y administrar las solicitudes de servicio de Microsoft 365
Para más información, consulte Roles y permisos en Viva Goals e Introducción a Microsoft Viva Goals.
| Acciones | Descripción |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Administrar todos los aspectos de los Microsoft Viva Goals |
Administrador de Viva Pulse
Asigne el rol Administrador de Viva Pulse a los usuarios que necesiten realizar estas tareas:
- Leer y configurar todas las opciones de Viva Pulse
- Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
- Leer y configurar Azure Service Health
- Crear y administrar incidencias de Soporte técnico de Azure
- Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
- Leer informes de uso en el Centro de administración de Microsoft 365
Para obtener más información, vea Asignar un administrador de Viva Pulse en el Centro de administración de Microsoft 365.
| Acciones | Descripción |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Administración de todos los aspectos de Microsoft Viva Pulse |
Administrador de Windows 365
Los usuarios con este rol tienen permisos globales en los recursos de Windows 365, cuando existe el servicio. Además, este rol contiene la capacidad de administrar usuarios y dispositivos para asociar una directiva, así como también para crear y administrar grupos.
Este rol puede crear y administrar grupos de seguridad, pero no tiene derechos de administrador sobre grupos de Microsoft 365. Esto significa que los administradores no pueden actualizar los propietarios ni las pertenencias de los grupos de Microsoft 365 en la organización. Sin embargo, pueden administrar el grupo de Microsoft 365 que crean, el que forma parte de sus privilegios de usuario final. Por lo tanto, cualquier grupo de Microsoft 365 (no grupo de seguridad) que creen se tiene en cuenta en la cuota de 250.
Asigne el rol Administrador de Windows 365 a los usuarios que necesiten realizar estas tareas:
- Administración de equipos en la nube de Windows 365 en Microsoft Intune
- Inscribir y administrar dispositivos en el Microsoft Entra ID, incluida la asignación de usuarios y directivas
- Crear y administrar grupos de seguridad, pero no grupos a los que se pueden asignar roles
- Ver propiedades básicas en el Centro de administración de Microsoft 365
- Leer informes de uso en el Centro de administración de Microsoft 365
- Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365
| Acciones | Descripción |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Crear y administrar incidencias de Soporte técnico de Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Administrar todos los aspectos de Windows 365 |
| microsoft.directory/deletedItems.devices/delete | Eliminar permanente los dispositivos que ya no se pueden restaurar |
| microsoft.directory/deletedItems.devices/restore | Restaurar los dispositivos eliminados temporalmente a su estado original |
| microsoft.directory/deviceManagementPolicies/standard/read | Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lectura de las propiedades estándar de las directivas de registro de dispositivos. |
| microsoft.directory/devices/basic/update | Actualizar las propiedades básicas en los dispositivos |
| microsoft.directory/devices/create | Crear dispositivos (inscribirse en Microsoft Entra ID) |
| microsoft.directory/devices/delete | Eliminar los dispositivos de Microsoft Entra ID |
| microsoft.directory/devices/disable | Deshabilitar los dispositivos en Microsoft Entra ID |
| microsoft.directory/devices/enable | Habilitar los dispositivos en Microsoft Entra ID |
| microsoft.directory/devices/extensionAttributeSet1/update | Actualizar las propiedades de extensionAttribute1 a extensionAttribute5 en los dispositivos |
| microsoft.directory/devices/extensionAttributeSet2/update | Actualizar las propiedades de extensionAttribute6 a extensionAttribute10 en los dispositivos |
| microsoft.directory/devices/extensionAttributeSet3/update | Actualizar las propiedades de extensionAttribute11 a extensionAttribute15 en los dispositivos |
| microsoft.directory/devices/registeredOwners/update | Actualizar los propietarios registrados de los dispositivos |
| microsoft.directory/devices/registeredUsers/update | Actualizar los usuarios registrados de los dispositivos |
| microsoft.directory/groups.security/basic/update | Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/classification/update | Actualizar la propiedad de clasificación de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/create | Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/delete | Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Actualizar la regla de pertenencia dinámica de grupos de seguridad, excepto los grupos a los que se pueden asignar roles. |
| microsoft.directory/groups.security/members/update | Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/owners/update | Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.security/visibility/update | Actualizar la propiedad de visibilidad de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
Administrador de implementación de Windows Update
Los usuarios con este rol pueden crear y administrar todos los aspectos de las implementaciones de Windows Update mediante el servicio de implementación Windows Update para empresas. El servicio de implementación permite a los usuarios definir la configuración de cuándo y cómo se implementan las actualizaciones, y especificar qué actualizaciones se ofrecen a los grupos de dispositivos de su inquilino. También permite a los usuarios supervisar el progreso de actualización.
| Acciones | Descripción |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leer y configurar todos los aspectos del servicio Windows Update |
Administrador de Yammer
Asigne el rol Administrador de Yammer a los usuarios que necesiten realizar estas tareas:
- Administrar todos los aspectos de Yammer
- Crear, administrar y restaurar Grupos de Microsoft 365, pero no grupos a los que se pueden asignar roles
- Consultar los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles
- Leer informes de uso en el Centro de administración de Microsoft 365
- Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365
- Ver anuncios en el Centro de mensajes, pero no anuncios de seguridad
- Vista del estado del servicio
| Acciones | Descripción |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles |
| microsoft.directory/groups.unified/basic/update | Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/create | Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/delete | Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/members/update | Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups/unified/owners/update | Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles |
| microsoft.directory/groups.unified/restore | Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles |
| microsoft.office365.messageCenter/messages/read | Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad |
| microsoft.office365.network/performance/allProperties/read | Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leer y configurar Service Health en el centro de administración de Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Crear y administrar las solicitudes de servicio de Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leer los informes de uso de Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Administrar todos los aspectos de Yammer |
Roles en desuso
Los siguientes roles no deben usarse. Han quedado en desuso y se quitarán del Microsoft Entra ID en el futuro.
- Administrador de licencias ad hoc
- Combinación de dispositivos
- Administradores de dispositivos
- Usuarios de dispositivos
- Creador de usuarios comprobados de correo electrónico
- Administrador de buzones de correo
- Combinación de dispositivos de área de trabajo
Roles no mostrados en el portal
No todos los roles devueltos por PowerShell o MS Graph API están visibles en Azure Portal. En la tabla siguiente se organizan esas diferencias.
| Nombre de la API | Nombre de Azure Portal | Notas |
|---|---|---|
| Combinación de dispositivos | Obsoleto | Documentación de roles en desuso |
| Administradores de dispositivos | Obsoleto | Documentación de roles en desuso |
| Usuarios de dispositivos | Obsoleto | Documentación de roles en desuso |
| Cuentas de sincronización de directorios | No se muestra porque no debe usarse | Documentación de cuentas de sincronización de directorios |
| Usuario invitado | No se muestra porque no se puede usar | N/D |
| Soporte técnico de asociado de nivel 1 | No se muestra porque no debe usarse | Documentación de soporte técnico para asociados de nivel 1 |
| Soporte técnico de asociado de nivel 2 | No se muestra porque no debe usarse | Documentación de soporte técnico para asociados de nivel 2 |
| Usuario invitado restringido | No se muestra porque no se puede usar | N/D |
| Usuario | No se muestra porque no se puede usar | N/D |
| Combinación de dispositivos de área de trabajo | Obsoleto | Documentación de roles en desuso |