Administradores de la suscripción clásica de Azure

Microsoft recomienda que administre el acceso a los recursos de Azure mediante el control de acceso basado en rol (RBAC) de Azure. Sin embargo, si aún utiliza el modelo de implementación clásico, deberá usar un rol de administrador de suscripciones clásicas: Administrador de servicios y coadministrador. Para más información, consulte Implementación de Azure Resource Manager frente a la implementación clásica.

En este artículo se describe cómo agregar o cambiar los roles de coadministrador y de administrador de servicios de Azure, y cómo ver el de administrador de cuenta.

Adición de un coadministrador

Sugerencia

Solo es necesario agregar un coadministrador si el usuario necesita administrar implementaciones clásicas de Azure mediante el módulo de PowerShell de Azure Service Management. Si el usuario solamente usa Azure Portal para administrar los recursos clásicos, no tendrá que agregar el administrador clásico para el usuario.

  1. Inicie sesión en Azure Portal como administrador de servicios o coadministrador.

  2. Abra Suscripciones y seleccione una suscripción.

    Solo se pueden asignar coadministradores en el ámbito de la suscripción.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Administradores clásicos.

    Captura de pantalla que abre la pestaña Administradores clásicos

  5. Haga clic en Agregar>Agregar coadministrador para abrir el panel correspondiente.

    Si la opción Agregar coadministrador está deshabilitada, no tendrá permisos.

  6. Seleccione el usuario que desea agregar y haga clic en Agregar.

    Captura de pantalla donde se agrega el coadministrador

Adición de un usuario invitado como coadministrador

Para agregar un usuario invitado como coadministrador, siga los mismos pasos que en la sección Adición de un coadministrador. El usuario invitado debe cumplir los siguientes criterios:

  • Debe tener una presencia en el directorio. Esto significa que se ha invitado al usuario al directorio y ha aceptado la invitación.

Para más información sobre cómo agregar usuarios invitados a su directorio, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.

Diferencias para los usuarios invitados

Es posible que los usuarios invitados a los que se haya asignado el rol de coadministrador observen algunas diferencias con respecto a los usuarios miembros con este mismo rol. Considere el caso siguiente:

  • El usuario A, con una cuenta de Azure AD (profesional o educativa), es el administrador de servicios de una suscripción de Azure.
  • El usuario B tiene una cuenta de Microsoft.
  • El usuario A asigna el rol de coadministrador al usuario B.
  • El usuario B puede hacer casi todo, pero no puede registrar las aplicaciones ni buscar usuarios en el directorio de Azure AD.

Sería de esperar que el usuario B pudiera administrarlo todo. Esta diferencia se debe a que la cuenta de Microsoft se agrega a la suscripción como usuario invitado y no como usuario miembro. En comparación con los usuarios miembros, los usuarios invitados tienen distintos permisos predeterminados en Azure AD. Por ejemplo, los usuarios miembros pueden leer otros usuarios en Azure AD y los usuarios invitados no. Los usuarios miembros pueden registrar a nuevas entidades de servicio en Azure AD y los usuarios invitados no.

Si un usuario invitado debe ser capaz de realizar estas tareas, una posible solución consiste en asignarle los roles de Azure AD que el usuario invitado necesita. Por ejemplo, en el escenario anterior, podría asignarle el rol Lectores de directorios para que pueda leer otros usuarios y asignarle el rol Desarrollador de aplicaciones para que pueda crear entidades de servicio. Para más información sobre los usuarios miembros e invitados y sus permisos, vea ¿Cuales son los permisos de usuario predeterminados en Azure Active Directory? Para obtener más información sobre cómo conceder acceso a los usuarios invitados, consulte Asignación de roles de Azure a usuarios invitados externos mediante Azure Portal.

Tenga en cuenta que los roles integrados de Azure son diferentes de los roles de Azure AD. Los roles integrados no conceden acceso a Azure AD. Para más información, vea Descripción de los distintos roles.

Para información donde se comparan los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Azure Active Directory?

Eliminación de un coadministrador

  1. Inicie sesión en Azure Portal como administrador de servicios o coadministrador.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Administradores clásicos.

  5. Agregue una marca de verificación junto al coadministrador que desea quitar.

  6. Haga clic en Quitar.

  7. En el cuadro de mensaje que aparece, haga clic en .

    Captura de pantalla donde se quita el coadministrador

Cambiar el administrador de servicios

Solo el administrador de cuenta puede cambiar el administrador de servicios de una suscripción. De forma predeterminada, al registrarse en una suscripción de Azure, el administrador de servicios es también el administrador de cuenta.

El usuario con el rol Administrador de cuenta puede acceder a Azure Portal y administrar la facturación, pero no puede cancelar suscripciones. El usuario con el rol Administrador de servicios tiene acceso total a Azure Portal y puede cancelar suscripciones. El administrador de cuenta puede hacerse administrador de servicios.

Siga estos pasos para cambiar el administrador de servicios en Azure Portal.

  1. Asegúrese de que el escenario sea compatible mediante la comprobación de las limitaciones para cambiar de administrador de servicios.

  2. Inicie sesión en Azure Portal como administrador de la cuenta.

  3. Abra Cost Management + Billing y seleccione una suscripción.

  4. En el panel de navegación izquierdo, haga clic en Propiedades.

  5. Haga clic en Cambiar administrador del servicio.

    Captura de pantalla que muestra las propiedades de una suscripción en Azure Portal

  6. En la página Edit service admin (Editar administrador de servicios) escriba la dirección de correo electrónico del nuevo administrador de servicios.

    Captura de pantalla que muestra la página Edit service admin (Editar administrador de servicios)

  7. Haga clic en Aceptar para guardar el cambio.

Limitaciones para cambiar el administrador de servicios

Solo puede haber un administrador de servicios por suscripción de Azure. El cambio del administrador de servicios se comportará de forma diferente en función de si el administrador de la cuenta es un cuenta Microsoft o si se trata de una cuenta de Azure AD (cuenta profesional o educativa).

Cuenta de administrador de cuenta ¿Se puede cambiar el administrador de servicios por otra cuenta Microsoft diferente? ¿Se puede cambiar el administrador de servicios por una cuenta de Azure AD del mismo directorio? ¿Se puede cambiar el administrador de servicios por una cuenta de Azure AD de un directorio diferente?
Cuenta Microsoft No No
Cuenta de Azure AD No

Si el administrador de la cuenta es una cuenta de Azure AD, puede cambiar el administrador de servicios por una cuenta de Azure AD del mismo directorio, pero no de un directorio diferente. Por ejemplo, abby@contoso.com puede cambiar el administrador de servicios por bob@contoso.com, pero no puede cambiarlo por john@notcontoso.com a menos que john@notcontoso.com exista en el directorio contoso.com.

Para más información sobre las cuentas Microsoft y de Azure AD, consulte ¿Qué es Azure Active Directory?.

Eliminación del administrador de servicios

Es posible que quiera quitar el administrador de servicios, por ejemplo, si ya no pertenece a la empresa. Si quita el administrador de servicios, debe tener un usuario con el rol de Propietario asignado en el ámbito de la suscripción para evitar que la suscripción quede huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

  1. Inicie sesión en Azure Portal como propietario de la suscripción o coadministrador.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Administradores clásicos.

  5. Active la marca de verificación junto al administrador de servicios.

  6. Haga clic en Quitar.

  7. En el cuadro de mensaje que aparece, haga clic en .

    Captura de pantalla donde se quita el administrador de servicios.

Visualización del administrador de cuenta

El administrador de cuenta es el usuario que se registró inicialmente en la suscripción a Azure y es el responsable de la suscripción como propietario de la facturación. Para cambiar el administrador de cuenta de una suscripción, consulte Transferencia de la propiedad de una suscripción de Azure a otra cuenta.

Siga estos pasos para ver el administrador de cuenta.

  1. Inicie sesión en Azure Portal.

  2. Abra Cost Management + Billing y seleccione una suscripción.

  3. En el panel de navegación izquierdo, haga clic en Propiedades.

    El administrador de cuenta de la suscripción se muestra en el cuadro Administrador de cuenta.

    Captura de pantalla en la que aparece el administrador de cuenta

Pasos siguientes