Acerca de los roles de administrador en el Centro de administración de Microsoft 365

Consulte ayuda de Microsoft 365 para pequeñas empresas en YouTube.

La suscripción de Microsoft 365 o Office 365 incluye un conjunto de roles de administrador que puede asignar a los usuarios de su organización mediante el Centro de administración de Microsoft 365. Cada rol de administrador se asigna a una función empresarial común y da permisos a los usuarios de su organización para realizar tareas específicas en los centros de administración.

Sugerencia

Si necesita ayuda con los pasos que se describen en este tema, considere la posibilidad de trabajar con un especialista en pequeñas empresas de Microsoft. Con Business Assist, usted y sus empleados obtienen acceso de forma ininterrumpida a especialistas de pequeñas empresas a medida que hace crecer su negocio, desde la incorporación hasta el uso diario.

Ver: ¿Qué es un administrador?

Consulte este vídeo y otros en nuestro canal de YouTube.

  1. Una vez iniciada la sesión en Microsoft 365, seleccione el iniciador de aplicaciones. Si puede ver el botón Administrador, significa que usted es administrador.
  2. Seleccione Administrador para ir al Centro de administración de Microsoft 365.
  3. En el panel de navegación izquierdo, seleccione Usuarios>Usuarios activos.
  4. Seleccione la persona a la que desea convertir en administrador. Los detalles del usuario aparecen en el cuadro de diálogo derecho.

Antes de empezar

El Centro de administración de Microsoft 365 permite administrar roles de Microsoft Entra y roles de Microsoft Intune. Sin embargo, estos roles son un subconjunto de los roles que están disponibles en el Centro de administración de Microsoft Entra y el Centro de administración de Intune.

Para obtener la lista completa de descripciones detalladas de roles de Microsoft Entra que puede administrar en la Centro de administración de Microsoft 365, consulte Permisos de rol de administrador en el tema Microsoft Entra roles integrados.

Para obtener la lista completa de descripciones detalladas de roles de Intune que puede administrar en el Centro de administración de Microsoft 365, consulte Control de acceso basado en rol (RBAC) con Microsoft Intune.

Para más información acerca de la asignación de roles en el Centro de administración de Microsoft 365, consulte Asignar roles de administrador.

Directrices de seguridad para asignar roles

Debido a que los administradores tienen acceso a archivos y datos confidenciales, le recomendamos que siga estas instrucciones para mantener los datos de su organización más seguros.

Recomendación ¿Por qué esto es importante?
Tener de 2 a 4 administradores globales Los administradores globales tienen acceso casi ilimitado a la configuración de su organización y a la mayoría de sus datos. Se recomienda limitar el número de administradores globales tanto como sea posible. Un Administración global puede bloquear accidentalmente su cuenta y requerir un restablecimiento de contraseña. Otra Administración global o una Administración de autenticación con privilegios pueden restablecer la contraseña de un Administración global. Por lo tanto, se recomienda tener al menos una Administración global más o una Administración de autenticación con privilegios en caso de que un Administración global bloquee su cuenta.
Asignar el rol menos permisivo Asignar el rol menos permisivo significa conceder a los administradores solo el acceso que necesitan para realizar el trabajo. Por ejemplo, si quiere que alguien restablezca las contraseñas de los empleados, no debe asignar el rol de administrador global ilimitado, debe asignar un rol de administrador limitado, como administrador de contraseñas o administrador del departamento de soporte técnico.
Requerir la autenticación multifactor para administradores En realidad es una buena idea requerir MFA para todos los usuarios, pero definitivamente se debe exigir a los administradores usar la MFA para iniciar sesión. MFA hace que los usuarios usen un segundo método de identificación para comprobar su identidad. Los administradores pueden tener acceso a gran parte de los datos de clientes y empleados. Si necesita MFA, incluso si la contraseña del administrador se pone en peligro, la contraseña no sirve para nada sin el segundo método de identificación.

Al activar la MFA, la próxima vez que el usuario inicie sesión, deberá proporcionar una dirección de correo electrónico y un número de teléfono alternativos para recuperar la cuenta.
Configurar la autenticación multifactor

Si recibe un mensaje en el Centro de administración de que no tiene permisos para editar una configuración o página, se debe a que se le asigna un rol que no tiene ese permiso. Hable con otro administrador para asignarle los permisos correctos o consulte Asignación de roles de administrador para asignarse el rol correcto.

Roles más frecuentes del Centro de administración de Microsoft 365

En el Centro de administración de Microsoft 365, puede ir a Asignaciones de roles y seleccionar cualquier rol para abrir su respectivo panel de detalles. Seleccione la pestaña Permisos para ver la lista detallada de lo que tienen permiso para hacer los administradores con ese rol asignado. Seleccione la pestaña Asignado o Administradores asignados para agregar usuarios a los roles.

Probablemente solo necesitará asignar los siguientes roles en su organización. De forma predeterminada, primero mostramos los roles que usan la mayoría de las organizaciones. Si no encuentra un rol, vaya a la parte inferior de la lista y seleccione Mostrar todos por categoría. Para obtener información detallada, incluidos los cmdlets asociados a un rol, consulte Microsoft Entra roles integrados.

Rol de administrador ¿A quién se le debe asignar este rol?
Administrador de facturación Asigne el rol de administrador de facturación a los usuarios que hagan compras, administren suscripciones y solicitudes de servicio y supervisen el estado del servicio.

Los administradores de facturación también pueden:
- Administrar todos los aspectos de la facturación
- Crear y administrar vales de soporte técnico en el portal de Azure
Administrador de Exchange Asigne el rol de administrador de Exchange a los usuarios que necesiten ver y administrar los buzones de correo de sus usuarios, los grupos de Microsoft 365 y Exchange Online.

Los administradores de Exchange también pueden:
- Recuperar elementos eliminados en un buzón de usuario
- Configurar los delegados "Enviar como" y "Enviar en nombre de"
Administrador de Fabric Asigne el rol de administrador de Fabric a los usuarios que necesiten hacer lo siguiente:
- Administración de todas las características de administrador para Microsoft Fabric y Power BI
- Informe sobre el uso y el rendimiento
- Revisión y administración de auditorías
Administrador global Asigne el rol de administrador global a los usuarios que necesiten acceso global a la mayoría de las características de administración y datos en los servicios en línea de Microsoft.

Dar acceso global a demasiados usuarios supone un riesgo para la seguridad y se recomienda tener entre dos y cuatro administradores globales.

Solo los administradores globales pueden:
- Restablecer las contraseñas de todos los usuarios
- Agregar y administrar dominios
- Desbloquear a otro administrador global

Nota: La persona que se registró en Microsoft servicios en línea se convierte automáticamente en administrador global.
Lector global Asigne el rol de lector global a los usuarios que necesiten ver la configuración y las funciones de administración en los centros de administración que el administrador global puede ver. El administrador del lector global no puede editar ninguna configuración.
Administrador de grupos Asigne el rol de administrador de grupos a los usuarios que necesitan administrar la configuración de todos los grupos en los centros de administración, incluidos los Centro de administración de Microsoft 365 y Centro de administración Microsoft Entra.

Los administradores de grupos pueden:
- Crear, editar, eliminar y restaurar los grupos de Microsoft 365
- Crear y actualizar las directivas de creación, expiración y nomenclatura de grupos
- Creación, edición, eliminación y restauración Microsoft Entra grupos de seguridad
Administrador del departamento de soporte técnico Asigne el rol de administrador del departamento de soporte técnico a los usuarios que necesiten que hacer lo siguiente:
- Restablecer contraseñas
- Forzar a los usuarios a cerrar sesión
- Administrar solicitudes de servicio
- Supervisar el estado del servicio

Nota: el administrador del departamento de soporte técnico solo puede ayudar a usuarios que no son administradores y a usuarios que tienen asignados estos roles: Lector de directorios, Invitador de usuarios invitados, Administrador del departamento de soporte técnico, Lector del centro de mensajes y Lector de informes.
Administrador de licencias Asigne el rol de administrador de licencias a los usuarios que necesiten asignar y quitar licencias a usuarios y editar su ubicación de uso.

Los administradores de licencias también pueden:
- Volver a procesar asignaciones de licencia para licencias basadas en grupos
- Asignar licencias de producto a grupos de licencias basadas en grupos
Lector de privacidad del centro de mensajes Asigne el rol de lector de privacidad del Centro de mensajes a los usuarios que necesiten leer mensajes y actualizaciones de privacidad y seguridad en el Centro de mensajes de Microsoft 365. Los lectores de privacidad del centro de mensajes pueden recibir notificaciones por correo electrónico relacionadas con la privacidad de los datos, en función de sus preferencias, y pueden cancelar la suscripción mediante las preferencias del Centro de mensajes. Solo los administradores globales y los lectores de privacidad del Centro de mensajes pueden leer los mensajes de privacidad de datos. Este rol no tiene permiso para ver, crear o administrar solicitudes de servicio.

Los lectores de privacidad del centro de mensajes también pueden:
- Supervisar todas las notificaciones en el Centro de mensajes, incluidos los mensajes de privacidad de datos
- Ver grupos, dominios y suscripciones
Lector del Centro de mensajes Asigne el rol de Lector del Centro de mensajes a los usuarios que necesiten hacer lo siguiente:
- Supervisar las notificaciones del Centro de mensajes
- Obtener resúmenes semanales por correo electrónico de las publicaciones y actualizaciones del Centro de mensajes
- Compartir publicaciones del Centro de mensajes
- Tener acceso de solo lectura a Microsoft Entra servicios, como usuarios y grupos
Administrador de migración Asigne el rol Administrador de migración de Microsoft 365 a los usuarios que necesiten realizar las siguientes tareas:
- Use el Administrador de migración en el Centro de administración de Microsoft 365 para administrar la migración de contenido a Microsoft 365, incluidos los sitios de Teams, OneDrive para la Empresa y SharePoint, desde diversos orígenes, como Google Drive, Dropbox y Box.
- Seleccione orígenes de migración, cree inventarios de migración (como listas de usuarios de Google Drive), programe y ejecute migraciones y descargue informes.
- Cree nuevos sitios de SharePoint si los sitios de destino aún no existen, cree listas de SharePoint en los sitios de administración de SharePoint y cree y actualice elementos en listas de SharePoint.
- Administrar la configuración del proyecto de migración y el ciclo de vida de la migración para las tareas, así como administrar asignaciones de permisos de origen a destino.
Nota: Con este rol, solo puedes migrar desde Google Drive, Box, Dropbox y Egnyte. Este rol no permite migrar desde orígenes de recursos compartidos de archivos desde el Centro de administración de SharePoint. Use un administrador de SharePoint o un administrador global para migrar desde orígenes de recursos compartidos de archivos.
Administrador de aplicaciones de Office Asigne el rol de administrador de aplicaciones de Office a los usuarios que necesiten hacer lo siguiente:
- Use el servicio Cloud Policy para Microsoft 365 para crear y administrar directivas basadas en la nube.
- Crear y administrar solicitudes de servicio
- Administrar el contenido novedades que los usuarios ven en sus aplicaciones de Microsoft 365
- Supervisar el estado del servicio
Escritor de mensajes de la organización Asigne el rol Escritor de mensajes de la organización a los usuarios que necesiten escribir, publicar, administrar y revisar los mensajes de la organización para los usuarios finales a través de superficies de productos de Microsoft.
Administrador de contraseñas Asigne el rol de administrador de contraseñas a un usuario que necesite restablecer las contraseñas de los no administradores y los administradores de contraseñas.
Administrador de Power Platform Asigne el rol de administrador de Power Platform a los usuarios que necesiten hacer lo siguiente:
- Administrar todas las características de administración de Power Apps, Power Automate, Power BI, Microsoft Fabric y Prevención de pérdida de datos de Microsoft Purview
- Crear y administrar solicitudes de servicio
- Supervisar el estado del servicio
Lector de informes Asigne el rol de lector de informes a los usuarios que necesiten hacer lo siguiente:
- Ver datos de uso e informes de actividad en el Centro de administración de Microsoft 365
- Obtener acceso al paquete de contenido de adopción de Power BI
- Obtener acceso a los informes de inicio de sesión y la actividad en Microsoft Entra ID
- Ver datos devueltos por la API de informes de Microsoft Graph
Administrador de búsqueda Asigne el rol de administrador de búsqueda a los usuarios que necesitan crear y administrar contenido de resultados de búsqueda y definir la configuración de consulta para mejorar los resultados de búsqueda dentro de la organización. El administrador de búsqueda administra la configuración de búsqueda de Microsoft y puede realizar todas las tareas de administración de contenido que puede realizar un editor de búsqueda.
Administrador de soporte técnico del servicio Asigne el rol de administrador de soporte técnico de servicio como un rol adicional a los administradores o usuarios que necesiten hacer, además de su rol de administrador habitual, lo siguiente:
- Abrir y administrar solicitudes de servicio
- Ver y compartir publicaciones del centro de mensajes
- Supervisar el estado del servicio
Administrador de SharePoint Asigne el rol de administrador de SharePoint a los usuarios que necesiten acceder y administrar el centro de administración de SharePoint Online.

Los administradores de SharePoint también pueden:
- Crear y eliminar sitios
- Administrar colecciones de sitios y la configuración global de SharePoint
Administrador de Teams Asigne el rol de administrador de Teams a los usuarios que necesiten acceder y administrar el Centro de administración de Teams.

El administrador de Teams también puede:
- Administrar reuniones
- Administrar puentes de conferencia
- Administrar la configuración de toda la organización, incluida la federación, la actualización de equipos y la configuración de cliente de equipos
Administrador de usuarios Asigne el rol de administrador de usuarios a los usuarios que necesiten hacer lo siguiente para todos los usuarios:
- Agregar usuarios y grupos
- Asignar licencias
- Administrar las propiedades de la mayoría de los usuarios
- Crear y administrar vistas de usuarios
- Actualizar las directivas de expiración de contraseña
- Administrar solicitudes de servicio
- Supervisar el estado del servicio

El administrador de usuario también puede realizar las siguientes acciones para los usuarios que no sean administradores y para los usuarios que tengan asignados los siguientes roles: Lector de directorios, Invitador de usuarios invitados, Administrador del departamento de soporte técnico, Lector del centro de mensajes y Lector de informes:
- Administrar nombres de usuario
- Eliminar y restaurar usuarios
- Restablecer contraseñas
- Forzar a los usuarios a cerrar sesión
- Actualizar claves de dispositivo (FIDO)
Administrador de éxito de la experiencia del usuario Asigne el rol Administrador de éxito de experiencia de usuario a los usuarios que necesitan acceder a Experience Insights, la puntuación de adopción y el Centro de mensajes en el Centro de administración de Microsoft 365. Este rol incluye los permisos del rol Lector de informes de resumen de uso.

Permisos basados en Administración rol y tipo de grupo en la página de Administración M365

rol de Administración Grupos de M365 Security Groups Grupos de distribución dinámicos Grupos de seguridad habilitados para correo
Administrador global Crear, leer, actualizar, eliminar Crear, leer, actualizar, eliminar Crear, leer, actualizar, eliminar Crear, leer, actualizar, eliminar
Lector global Lectura Lectura Lectura Lectura
Administrador de usuarios Crear, leer, actualizar, eliminar, no se pueden actualizar las propiedades de EXO Crear, leer, actualizar, eliminar Lectura Lectura
Administrador de Exchange Crear, leer, actualizar, eliminar Creación, lectura, actualización y eliminación: solo los grupos de su propiedad Crear, leer, actualizar, eliminar Crear, leer, actualizar, eliminar
Administrador de Teams Crear, leer, actualizar, eliminar, no se pueden actualizar las propiedades de EXO Creación, lectura, actualización y eliminación: solo los grupos de su propiedad Lectura Lectura
Administrador de SharePoint Crear, leer, actualizar, eliminar, no se pueden actualizar las propiedades de EXO Crear, leer, actualizar y eliminar grupos solo de su propiedad Lectura Lectura
Administrador de facturación Lectura Lectura Lectura Lectura
Administrador de Skype Lectura Lectura Lectura Lectura
Administrador de servicios Lectura Lectura Lectura Lectura
Administrador de grupo Crear, leer, actualizar, eliminar, no se pueden actualizar las propiedades de EXO Crear, leer, actualizar, eliminar Lectura Lectura

Administración delegada para Microsoft Partners

Si está trabajando con un partner de Microsoft, puede asignarle roles de administrador. Por su parte, los partners pueden asignar roles de administrador a los usuarios en sus propias empresas o bien en la suya. Es posible que quiera asignar roles de administrador a los asociados si están configurando y administrando su organización en línea automáticamente.

Un partner puede asignar estos roles:

  • Agente de administración Privilegios equivalentes a un administrador global, excepto para administrar la autenticación multifactor mediante el Centro de partners.

  • Agente del departamento de soporte técnico Tiene privilegios equivalentes a los de un administrador del departamento de soporte técnico.

Antes de que el partner pueda asignar estos roles a los usuarios, usted debe agregarlo como un administrador delegado a su cuenta. El asociado tiene que ser un asociado autorizado. El partner le envía un correo electrónico para preguntarle si quiere concederle permiso para actuar como administrador delegado. Para obtener instrucciones, consulte Autorizar o quitar relaciones de partner.

Roles de licencias por volumen

Los permisos para la información de licencias por volumen en Centro de administración de Microsoft 365 son controlados por los administradores de contratos VL en el Centro de servicios de licencias por volumen (VLSC), incluso para los roles de VL que usan principalmente la funcionalidad en el Centro de administración de Microsoft 365 en lugar de VLSC.

  • Algunas funciones de licencias por volumen (VL) ahora están disponibles en Centro de administración de Microsoft 365 en una nueva hoja de licencias por volumen solo visible para los usuarios de licencias por volumen.

  • Los usuarios de licencias por volumen no ven ninguna otra información o funcionalidad de Centro de administración de Microsoft 365.

  • Centro de administración de Microsoft 365 los administradores globales no tienen ningún rol en la asignación de permisos de usuario de VL y no necesitan asignar permisos de administrador a los usuarios de VL para que vean la hoja de licencias por volumen.

  • Los usuarios de licencias por volumen primero deben registrarse en el Centro de servicios de licencias por volumen (VLSC), donde se administran todos los roles y permisos para las funciones de licencias por volumen.

  • Para obtener más información sobre las licencias por volumen en Centro de administración de Microsoft 365, vaya a Preguntas más frecuentes del Centro de servicios de licencias por volumen o póngase en contacto con el equipo del servicio de licencias por volumen.

Asignar roles de administrador (artículo)
Microsoft Entra roles en el Centro de administración de Microsoft 365 (artículo)
Informes de actividad del Centro de administración de Microsoft 365 (artículo)
Rol de administrador de Exchange Online (artículo)