Los roles globales de Microsoft Entra ID le permiten administrar los permisos y el acceso a las funcionalidades de todo Microsoft 365, lo que también incluye Microsoft Defender para Office 365. Sin embargo, si necesita limitar los permisos y las funcionalidades a las características de seguridad solo en Defender para Office 365, puede asignar permisos de colaboración Email & en el portal de Microsoft Defender.
Para administrar los permisos de Defender para Office 365 en el portal de Microsoft Defender, vaya a Permisos>Email & roles> de colaboraciónRoles o vaya directamente a https://security.microsoft.com/emailandcollabpermissions.
Debe ser miembro del rol Administrador* global en Microsoft Entra ID o miembro del grupo de roles Administración de la organización en Defender para Office 365 permisos. En concreto, el rol De administración de roles de Defender para Office 365 permite a los usuarios ver, crear y modificar Defender para Office 365 grupos de roles. De forma predeterminada, ese rol solo se asigna al grupo de roles Administración de la organización (y, por extensión, a los administradores globales).
Algunas características Defender para Office 365 requieren permisos adicionales en Exchange Online. Para obtener más información, consulte los permisos en Exchange Online.
Microsoft Defender XDR tiene su propio control de acceso basado en rol unificado (RBAC). Este modelo proporciona una única experiencia de administración de permisos en una ubicación central donde los administradores pueden controlar los permisos en diferentes soluciones de seguridad. Estos permisos son diferentes de los permisos descritos en este artículo. Para obtener más información, consulte Control de acceso basado en rol (RBAC) de Microsoft Defender XDR.
* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Relación de los miembros, los roles y los grupos de roles
Defender para Office 365 permisos en el portal de Microsoft Defender se basan en el modelo de permisos de control de acceso basado en rol (RBAC). RBAC es el mismo modelo de permisos que usan la mayoría de los servicios de Microsoft 365, por lo que si está familiarizado con la estructura de permisos de estos servicios, la concesión de permisos en el portal de Microsoft Defender debería ser familiar.
Un rol concede permisos para realizar un conjunto de tareas.
Un grupo de roles es un conjunto de roles que permite a los usuarios realizar sus trabajos en el portal de Microsoft Defender.
Defender para Office 365 permisos en el portal de Microsoft Defender incluye grupos de roles predeterminados para las tareas y funciones más comunes que necesita asignar. Por lo general, le recomendamos que simplemente agregue usuarios individuales como miembros a los grupos de roles predeterminados.
Roles y grupos de roles en el portal de Microsoft Defender
Microsoft Entra roles: puede ver los roles y los usuarios asignados, pero no puede administrarlos directamente en el portal de Microsoft Defender. Microsoft Entra roles son roles centrales que asignan permisos para todos los servicios de Microsoft 365.
Email & roles de colaboración: puede ver y administrar estos grupos de roles directamente en el portal de Microsoft Defender. Estos permisos son específicos del portal de Microsoft Defender y el portal de cumplimiento Microsoft Purview. Estos permisos no cubren todos los permisos que necesita en otras cargas de trabajo de Microsoft 365.
Microsoft Entra roles en el portal de Microsoft Defender
Al seleccionar un rol, se abre un control flotante de detalles que contiene la descripción del rol y las asignaciones de usuario. Pero para administrar esas asignaciones, debe seleccionar Administrar miembros en Microsoft Entra ID en la parte inferior del control flotante.
Acceso a todas las características administrativas en todos los servicios de Microsoft 365. Los administradores globales son los únicos que pueden asignar otros roles de administrador. Para más información, consulte Administrador global / Administrador de empresa.
Administrador de datos de cumplimiento
Realizar un seguimiento de los datos de su organización a través de Microsoft 365, asegurarse de que están protegidos y obtener información sobre los problemas para ayudar a reducir los riesgos. Para obtener más información, consulte Administrador de datos de cumplimiento.
Administrador de cumplimiento
Ayudar a que su organización cumpla con los requisitos normativos, administrar casos de eDiscovery y mantener directivas de gobierno de datos en todas las ubicaciones, identidades y aplicaciones de Microsoft 365. Para obtener más información, consulte Administrador de cumplimiento.
Operador de seguridad
Ver, investigar y responder a las amenazas activas a usuarios, dispositivos y contenido de Microsoft 365. Para obtener más información, vea Operador de seguridad de seguridad.
Lector de seguridad
Vea e investigue las amenazas activas para los usuarios, dispositivos y contenido de Microsoft 365, pero (a diferencia del operador de seguridad) no tienen permisos para responder realizando acciones. Para obtener más información, vea Lector de seguridad.
Administrador de seguridad
Controlar la seguridad global de la organización mediante la administración de directivas de seguridad, la revisión de análisis de seguridad y los informes en los productos de Microsoft 365, así como mantenerse al día con el panorama de amenazas. Para obtener más información, vea Administrador de seguridad.
Lector global
La versión de solo lectura del rol de Administrador global. Ver todas las configuraciones e información administrativa en Microsoft 365. Para más información, vea Lector global.
Administrador de simulación de ataques
Crea y administra todos los aspectos de la creación de simulación de ataques, el lanzamiento o la programación de la simulación y la revisión de los resultados de la misma. Para más información, consulte Administrador de simulación de ataque.
Autor de carga de ataque
Crea cargas de ataques pero no las inicia ni programa. Para más información, consulte Autor de carga de ataques.
Email & roles de colaboración en el portal de Microsoft Defender
Los mismos roles y grupos de roles están disponibles en el portal de Defender y en el portal de cumplimiento de Purview:
Defender para Office 365 datos disponibles en el portal de Microsoft Defender no se ven afectados por los ámbitos adaptables configurados en el portal de cumplimiento Microsoft Purview. Para obtener más información sobre los ámbitos adaptables, vea Ámbitos adaptables.
Las siguientes acciones están disponibles para Email & grupos de roles de colaboración en el portal de Defender:
En la página Permisos , seleccione Crear para iniciar el asistente para nuevo grupo de roles.
En la página Nombre del grupo de roles , escriba la siguiente información:
Nombre: escriba un nombre único para el grupo de roles.
Descripción: escriba una descripción opcional para el grupo de roles.
Cuando haya terminado en la página Nombre del grupo de roles , seleccione Siguiente.
En la página Elegir roles , seleccione Elegir roles.
En el control flotante Elegir roles que se abre, seleccione Agregar en la parte superior del control flotante.
En el nuevo control flotante Elegir roles que se abre, seleccione uno o varios roles. Seleccione el encabezado de columna Nombre para ordenar la lista por nombre o use el cuadro Buscar para buscar el rol.
Después de seleccionar uno o varios roles para agregar, seleccione Agregar en la parte inferior del control flotante.
De nuevo en el control flotante Elegir roles original, los roles que agregó aparecen en la página. Para agregar más roles, repita el paso anterior. Los roles que ya ha seleccionado están atenuados.
Para quitar roles, seleccione Quitar. En el nuevo control flotante Elegir roles que se abre, seleccione uno o varios roles y, a continuación, seleccione Quitar.
Cuando haya terminado en el control flotante Elegir roles original, seleccione Listo.
De nuevo en la página Elegir roles , los roles se muestran en la sección Roles seleccionados .
Cuando haya terminado en la página Elegir roles , seleccione Siguiente.
En la página Elegir miembros , seleccione Elegir miembros.
En el control flotante Elegir miembros que se abre, seleccione Agregar en la parte superior del control flotante.
En el nuevo control flotante Elegir miembros que se abre, seleccione uno o varios usuarios. Seleccione un encabezado de columna para ordenar la lista por Nombre o Email dirección, o use el cuadro Buscar para buscar al usuario.
Después de seleccionar uno o varios usuarios para agregar, seleccione Agregar en la parte inferior del control flotante.
De nuevo en el control flotante Elegir miembros original, los miembros que agregó aparecen en la página. Para agregar más miembros, repita el paso anterior. Los miembros que ya ha seleccionado están atenuados.
Para quitar miembros, seleccione Quitar. En el nuevo control flotante Elegir miembros que se abre, seleccione uno o varios miembros y, a continuación, seleccione Quitar.
Cuando haya terminado en el control flotante Elegir roles original, seleccione Listo.
De nuevo en la página Elegir miembros , los miembros se muestran en la sección Miembros seleccionados .
Cuando haya terminado en la página Elegir miembros , seleccione Siguiente.
En la página Revisar la configuración , revise la configuración. Puede seleccionar Editar en cada sección para modificar la configuración dentro de la sección. O bien, puede seleccionar Atrás o la página específica en el asistente.
Cuando haya terminado en la página Revisar la configuración , seleccione Crear grupo de roles.
De nuevo en la página Permisos , se muestra el nuevo grupo de roles.
Copia Email & grupos de roles de colaboración en el portal de Microsoft Defender
En la página Permisos , seleccione el grupo de roles de la lista. Use el encabezado de columna Nombre para ordenar la lista por nombre o el cuadro Buscar para buscar el grupo de roles.
En el control flotante de detalles del grupo de roles que se abre, seleccione Copiar grupo de roles en la parte superior del control flotante.
En la página Permisos , seleccione el grupo de roles de la lista. Use el encabezado de columna Nombre para ordenar la lista por nombre o el cuadro Buscar para buscar el grupo de roles.
En el control flotante de detalles del grupo de roles que se abre, realice uno de los pasos siguientes:
Seleccione Editar grupo de roles en la parte superior del control flotante. En el asistente para editar grupos de roles que se abre, seleccione la pestaña Elegir miembros .
En la sección Miembros del control flotante, seleccione Editar.
En la pestaña Elegir miembros del Asistente para editar grupos de roles que se abre, realice uno de los pasos siguientes:
Si no hay miembros del grupo de roles, seleccione Elegir miembros.
Si hay miembros del grupo de roles existentes, seleccione Editar.
En el control flotante Elegir miembros que se abre, realice uno de los pasos siguientes:
Agregar miembros: seleccione Agregar en la parte superior del control flotante. En el nuevo control flotante Elegir miembros que se abre, seleccione uno o varios usuarios. Seleccione un encabezado de columna para ordenar la lista por Nombre o Email dirección, o use el cuadro Buscar para buscar al usuario.
Después de seleccionar uno o varios usuarios para agregar, seleccione Agregar en la parte inferior del control flotante.
De nuevo en el control flotante Elegir miembros original, los usuarios agregados se muestran en la sección Miembros .
Quitar miembros: seleccione Quitar en la parte superior del control flotante. En el nuevo control flotante Elegir miembros que se abre, seleccione uno o varios usuarios. Seleccione un encabezado de columna para ordenar la lista por Nombre o Email dirección, o use el cuadro Buscar para buscar al usuario.
Después de seleccionar uno o varios usuarios para quitar, seleccione Quitar.
De nuevo en el control flotante Elegir miembros original, los usuarios eliminados ya no se muestran en la sección Miembros .
Cuando haya terminado en el control flotante Elegir miembros original, seleccione Listo.
En la pestaña Elegir miembros del asistente, seleccione Guardar.
De nuevo en el control flotante de detalles del grupo de roles, seleccione Listo.
Modificar Email & asignaciones de roles de grupo de roles de colaboración en el portal de Microsoft Defender
Nota
Solo puede modificar las asignaciones de roles para grupos de roles personalizados. No se pueden modificar las asignaciones de roles para los grupos de roles integrados.
En la página Permisos , seleccione el grupo de roles de la lista. Seleccione el encabezado de columna Nombre para ordenar la lista por nombre o use el cuadro Buscar para buscar el grupo de roles.
En el control flotante de detalles del grupo de roles que se abre, realice uno de los pasos siguientes:
Seleccione Editar grupo de roles en la parte superior del control flotante. En el asistente para editar grupos de roles que se abre, seleccione la pestaña Elegir roles .
En la sección Roles asignados del control flotante, seleccione Editar.
En la pestaña Elegir roles del Asistente para editar grupos de roles que se abre, realice uno de los pasos siguientes:
Si no hay roles asignados, seleccione Elegir roles.
Si hay roles existentes asignados, seleccione Editar.
En el control flotante Elegir roles que se abre, realice uno de los pasos siguientes:
Agregar roles: seleccione Agregar en la parte superior del control flotante. En el nuevo control flotante Elegir roles que se abre, seleccione uno o varios roles. Los roles que ya están asignados están atenuados. Seleccione el encabezado de columna Nombre para ordenar la lista por nombre o use el cuadro Buscar para buscar el rol.
Después de seleccionar uno o varios roles para agregar, seleccione Agregar en la parte inferior del control flotante.
De nuevo en el control flotante Elegir roles original, los roles agregados se muestran en la sección Roles .
Quitar roles: seleccione Quitar en la parte superior del control flotante. En el nuevo control flotante Elegir roles que se abre, seleccione uno o varios roles. Seleccione un encabezado de columna para ordenar la lista por Nombre o use el cuadro Buscar para buscar el rol.
Después de seleccionar uno o varios roles para quitar, seleccione Quitar.
De nuevo en el control flotante Elegir roles original, los roles quitados ya no se muestran en la sección Roles .
Cuando haya terminado en el control flotante Elegir roles original, seleccione Listo.
De nuevo en la pestaña Elegir roles del asistente, seleccione Guardar.
De nuevo en el control flotante de detalles del grupo de roles, seleccione Listo.
Quitar Email & grupos de roles de colaboración en el portal de Microsoft Defender
Nota
Solo puede quitar grupos de roles personalizados. No puede quitar los grupos de roles integrados.
En la página Permisos , seleccione el grupo de roles de la lista. Seleccione el encabezado de columna Nombre para ordenar la lista por nombre o use el cuadro Buscar para buscar el grupo de roles.
En el control flotante de detalles del grupo de roles que se abre, seleccione Eliminar grupo de roles en la parte superior del control flotante.
Seleccione Sí en el cuadro de diálogo de advertencia que se abre.
De nuevo en la página Permisos , el grupo de roles ya no aparece.
Este módulo examina el uso de roles y grupos de roles en el modelo de permisos de Microsoft 365, incluyendo la administración de roles, los procedimientos recomendados a la hora de configurar roles de administrador, la delegación de roles y la elevación de privilegios.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.