Administrar grupos de roles en EOP independiente

Artículo
04/07/2023

En organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, puede usar el Centro de administración de Exchange (EAC) para agregar usuarios a grupos de roles. Al agregar un usuario a un grupo de roles, se conceden permisos al usuario para realizar tareas de administración específicas. También puede quitar usuarios de grupos de roles.

Para obtener más información sobre los roles y los grupos de roles, vea Permisos en EOP independiente.

¿Qué necesita saber antes de empezar?

Para abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en EOP independiente.
Para abrir PowerShell EOP independiente, consulte Conexión a Exchange Online Protection PowerShell.
Debe tener asignados permisos en Exchange Online Protection para poder realizar los procedimientos de este artículo. En concreto, necesita el rol Administración de roles, que se asigna al grupo de roles Administración de la organización de forma predeterminada. Para obtener más información, vea Permisos en EOP independiente y Uso del EAC para modificar la lista de miembros de los grupos de roles.
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este artículo, consulte Métodos abreviados de teclado para el Centro de administración de Exchange en Exchange Online.

Sugerencia

¿Problemas? Pida ayuda en el foro de Exchange Online Protection .

Uso del EAC para administrar grupos de roles

Uso del EAC para ver grupos de roles

En el EAC, vaya a Permisos>Administración roles. Aquí se incluyen todos los grupos de roles en su organización.
Seleccione un grupo de roles. El panel Detalles muestra el nombre, la descripción, los roles asignados y Administrado por del grupo de roles. También puede ver esta información haciendo clic en el

Uso del EAC para crear grupos de roles

Al crear un nuevo grupo de roles, puede configurar todos los valores usted mismo (durante la creación del grupo o después). O bien, puede copiar un grupo de roles existente y modificarlo.

En el EAC, vaya a Permisos>Administración roles y, a continuación, realice uno de los pasos siguientes:
- Crear manualmente un nuevo grupo de roles: haga clic en Agregar
- Copiar un grupo de roles existente: seleccione el grupo de roles que desea copiar y, a continuación, haga clic en
En la ventana Nuevo grupo de roles que aparece, configure los siguientes valores:
- Nombre: escriba un nombre único para el grupo de roles.
- Descripción: escriba una descripción opcional para el grupo de roles.
- Roles: haga clic en agregar o quitar Para seleccionar o modificar los roles asignados al grupo de roles.
- Miembros: haga clic en agregar agregar o quitar para modificar la pertenencia al grupo de roles.
Cuando haya terminado, haga clic en Guardar para crear el grupo de roles.

Uso del EAC para modificar grupos de roles

En el EAC, vaya a Permisos>Administración roles, seleccione el grupo de roles que desea modificar y, a continuación, haga clic en el icono Editar edición.

Las mismas opciones están disponibles al modificar grupos de roles que al crear grupos de roles. Puede:

Cambie el nombre y la descripción.
Agregar y quitar roles de administración (crear o quitar asignaciones de roles).
Agregar y eliminar miembros.

Nota: Algunos grupos de roles (por ejemplo, Administración de la organización) restringen los roles que puede quitar del grupo.

Use el EAC para modificar la lista de miembros de los grupos de roles.

En el EAC, vaya a Permisos>Administración roles, seleccione el grupo de roles que desea modificar y, a continuación, haga clic en el
En la página de propiedades del grupo de roles que se abre, en la sección Miembros , realice uno de los pasos siguientes:
- Haga clic en Agregar En la página que aparece, busque el usuario que quiere agregar y, a continuación, haga clic en Agregar ->. Seleccione usuarios y haga clic en Agregar,> muchas veces según sea necesario. Cuando haya terminado, haga clic en Aceptar.
- Seleccione los usuarios que desea quitar y, a continuación, haga clic en el.
Cuando haya terminado, haga clic en Guardar.

Nota:

Puede que los usuarios tengan que cerrar la sesión e iniciarla de nuevo para ver los cambios en sus permisos administrativos después de agregar o quitar miembros de ese grupo de roles.

Uso del EAC para quitar grupos de roles

No puede quitar los grupos de roles integrados, pero puede quitar los grupos de roles personalizados que ha creado.

En el EAC, vaya a Permisos>Administración roles.
Seleccione el grupo de roles que desea quitar y, a continuación, haga clic en el
Haga clic en Sí en la ventana de confirmación que aparece.

Uso de PowerShell para administrar grupos de roles

Uso de PowerShell de EOP independiente para ver grupos de roles

Para ver un grupo de roles, utilice la siguiente sintaxis:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

En este ejemplo se devuelve una lista de resumen de todos los grupos de roles.

Get-RoleGroup

En este ejemplo se devuelve información detallada del grupo de roles denominado Administradores de destinatarios.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

En este ejemplo se devuelven todos los grupos de roles en los que el usuario Julia es miembro. Debe usar el valor de DistinguishedName (DN) para Julia, que puede encontrar mediante la ejecución del comando : Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Get-RoleGroup.

Uso de PowerShell de EOP independiente para crear grupos de roles

Al crear un nuevo grupo de roles, puede configurar todos los valores manualmente (durante la creación del grupo o después). O bien, puede copiar un grupo de roles existente y modificarlo.

Para crear manualmente un nuevo grupo de roles, use la sintaxis siguiente:
```
New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...>
```
- El parámetro Roles especifica los roles de administración que se van a asignar al grupo de roles mediante la sintaxis "Role1","Role1",..."RoleN"siguiente. Puede ver los roles disponibles con el cmdlet Get-ManagementRole.
- El parámetro Members especifica los miembros del grupo de roles mediante la sintaxis siguiente: "Member1","Member2",..."MemberN". Puede especificar usuarios, grupos de seguridad universales habilitados para correo (USG) u otros grupos de roles (entidades de seguridad).
En este ejemplo se crea un nuevo grupo de roles denominado "Administración limitada de destinatarios" con la siguiente configuración:
- La función de destinatarios de correo se asigna al grupo de funciones.
- Los usuarios Kim y Martin se agregan como miembros.
```
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients" -Members "Kim","Martin"
```
Para copiar un grupo de roles existente, siga estos pasos:
1. Almacene el grupo de roles que desee copiar en una variable mediante la siguiente sintaxis:
```
$RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
```
2. Cree el nuevo grupo de roles con la sintaxis siguiente:
```
New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>]
```
  El parámetro Members especifica los miembros del grupo de roles mediante la sintaxis siguiente: "Member1","Member2",..."MemberN". Puede especificar usuarios, grupos de seguridad universales habilitados para correo (USG) u otros grupos de roles (entidades de seguridad).
  
  En este ejemplo se copia el grupo de roles Administración de la organización en el nuevo grupo de roles denominado "Administración limitada de la organización". Los miembros del grupo de roles son Isabelle, Carter y Lukas.
```
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas"
```

Para obtener información detallada sobre la sintaxis y los parámetros, New-RoleGroup.

Uso de PowerShell de EOP independiente para modificar la lista de miembros de grupos de roles

Los cmdlets Add-RoleGroupMember y Remove-RoleGroupMember agregan o quitan miembros individuales de uno en uno. El cmdlet Update-RoleGroupMember puede reemplazar o modificar la lista existente de miembros.
Los miembros de un grupo de roles pueden ser usuarios, grupos de seguridad universal (USG) habilitados para correo u otros grupos de roles (entidades de seguridad).

Para modificar los miembros de un grupo de roles, use la sintaxis siguiente:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

Para reemplazar la lista existente de miembros por los valores especificados, use la sintaxis siguiente: "Member1","Member2",..."MemberN".
Para modificar de forma selectiva la lista existente de miembros, use la sintaxis siguiente: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

En este ejemplo se reemplazan todos los miembros actuales del grupo de roles del Departamento de soporte técnico por los usuarios especificados.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

En este ejemplo se agrega Daigoro Akai y se quita Valeria Barrio de la lista de miembros del grupo de roles del Departamento de soporte técnico.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obtener información detallada sobre la sintaxis y los parámetros, vea Update-RoleGroupMember.

Uso de PowerShell de EOP independiente para quitar grupos de roles