Permisos en EOP independiente
La organización independiente de Exchange Online Protection (EOP) sin buzones de Exchange Online usa el modelo de permisos de Access Control basado en rol (RBAC) para conceder fácilmente permisos a los administradores. Puede usar las características de permisos de EOP independiente para que la nueva organización se ponga en funcionamiento rápidamente.
Para conceder permisos a los usuarios, consulte Administración de grupos de roles de administrador en EOP.
Para obtener más información sobre los permisos en Microsoft 365, consulte Acerca de los roles de administrador.
Permisos basados en roles
Los permisos de administrador que concede a los usuarios se basan en roles de administración. Un rol de administración define los cmdlets que están disponibles para un conjunto de tareas dadas. El Centro de administración de Exchange (EAC) y PowerShell EOP independiente usan cmdlets. Por lo tanto, la concesión de acceso a un cmdlet concede a los usuarios permiso para realizar tareas en el EAC o en PowerShell de EOP independiente. Por ejemplo, el rol Destinatarios de correo define los cmdlets necesarios para modificar los usuarios de correo.
Grupos de funciones
Para facilitar la asignación de roles a los usuarios, EOP independiente usa grupos de roles. Los roles de administración se asignan a grupos de roles y los miembros del grupo de roles obtienen los permisos asociados a los roles. En otras palabras, los roles de administración no se asignan directamente a los usuarios; se asignan al grupo de roles. Este modelo le permite asignar muchos roles a muchos miembros del grupo de roles a la vez. Los miembros del grupo de roles pueden ser usuarios de correo, grupos de seguridad habilitados para correo, usuarios de la Centro de administración de Microsoft 365 y otros grupos de roles.
En la figura siguiente se ve la relación entre usuarios, grupos de roles y roles.
Los grupos de roles disponibles en EOP independiente se describen en la tabla siguiente.
| Grupo de funciones | Description | Roles predeterminados asignados |
|---|---|---|
| Cumplimiento de la comunicación | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Administrador de cumplimiento de comunicaciones Investigación del cumplimiento de comunicaciones |
| Administradores de cumplimiento de comunicaciones | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Administrador de cumplimiento de comunicaciones |
| Administrador de cumplimiento | Administrar la configuración de administración de dispositivos, prevención de pérdida de datos, informes y conservación. | Administrador de cumplimiento de comunicaciones Administración de riesgos internos Administración |
| Administración de cumplimiento | Configure y administre la configuración de cumplimiento dentro de la organización, incluida la prevención de pérdida de datos (DLP) si la suscripción tiene funcionalidades DLP. Los miembros del rol Administrador de cumplimiento en Microsoft Entra ID obtienen automáticamente los permisos de este grupo de roles. |
Registros de auditoría Administración de cumplimiento Prevención de pérdida de datos Information Rights Management Registro en diario Seguimiento de mensajes Administración de retención Reglas de transporte Registros de auditoría de solo vista Configuración con permiso de vista Destinatarios con permiso de vista |
| Discovery Management | realizar búsquedas de buzones en la organización de Exchange en busca de datos que cumplan criterios específicos. | Retención legal Búsqueda en el buzón |
| Servicio de asistencia | Ver y administrar usuarios de correo. | Restablecer contraseña Opciones de usuario Destinatarios con permiso de vista |
| Administración de higiene | Administrar las características de protección (antispam, antimalware, etc.). | Higiene del transporte Configuración con permiso de vista Destinatarios con permiso de vista |
| Protección de la información | Control total sobre todas las características de protección de la información, incluidas las etiquetas de confidencialidad y sus directivas, DLP, todos los tipos clasificadores, exploradores de actividad y contenido y todos los informes relacionados. | Administrador de Information Protection Investigador de protección de información Lector de protección de información |
| Administradores de Information Protection | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Administrador de Information Protection |
| Analistas de Information Protection | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Ninguno |
| Investigadores de Information Protection | Búsqueda en el registro de auditoría unificado | Investigador de protección de información |
| Lectores de Information Protection | Busque en el registro de auditoría unificado y vea los informes De resumen de tráfico de correo y tráfico de correo. | Lector de protección de información |
| Administración de riesgos de Insider | Administrar el control de acceso para la administración de riesgos de Insider. | Administración de riesgos internos Administración Investigación de administración de riesgos internos |
| Administradores de administración de riesgos internos | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Administración de riesgos internos Administración |
| Investigadores de administración de riesgos internos | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Investigación de administración de riesgos internos |
| Administración de la organización | Administración acceso a toda la organización y la capacidad de realizar casi cualquier tarea. Los miembros del rol Administrador global de Microsoft Entra ID obtienen automáticamente los permisos de este grupo de roles. Importante: Dado que el grupo de roles Administración de la organización es un rol eficaz, solo los usuarios que realizan tareas administrativas de nivel organizativo deben ser miembros de este grupo de roles. |
Registros de auditoría Administrador de cumplimiento de comunicaciones Investigación del cumplimiento de comunicaciones Administración de cumplimiento Prevención de pérdida de datos Grupos de distribución dinámicos Directivas de direcciones de correo electrónico Uso compartido federado Administrador de Information Protection Investigador de protección de información Lector de protección de información Information Rights Management Administración de riesgos internos Administración Investigación de administración de riesgos internos Registro en diario Retención legal Carpetas públicas habilitadas para correo Creación de destinatario de correo Destinatarios de correo Sugerencias de correo Seguimiento de mensajes Migración Mover buzones Aplicaciones personalizadas de la organización Aplicaciones del catálogo de soluciones de la organización Acceso de cliente de la organización Configuración de la organización Configuración de transporte de la organización Administración de administración de privacidad Investigación de administración de privacidad Carpetas públicas Directivas de destinatarios Dominios remotos y aceptados Restablecer contraseña Administración de retención Administración de roles Administrador de seguridad Creación y pertenencia a grupos de seguridad Lector de seguridad TenantPlacesManagement Higiene del transporte Reglas de transporte Opciones de usuario Registros de auditoría de solo vista Configuración con permiso de vista Destinatarios con permiso de vista |
| Administración de privacidad | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Administración de administración de privacidad Investigación de administración de privacidad |
| Administradores de administración de privacidad | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Administración de administración de privacidad |
| Investigadores de administración de privacidad | Aunque este grupo de roles está disponible, no hace nada útil en EOP independiente. | Investigación de administración de privacidad |
| Recipient Management | Cree, administre y quite objetos de destinatario en la organización. | Grupos de distribución dinámicos Creación de destinatario de correo Destinatarios de correo Seguimiento de mensajes Migración Mover buzones Directivas de destinatarios Restablecer contraseña |
| Records Management | Configure características de cumplimiento, como etiquetas de directiva de retención, clasificaciones de mensajes y reglas de flujo de correo (también conocidas como reglas de transporte). | Registros de auditoría Registro en diario Seguimiento de mensajes Administración de retención Reglas de transporte |
| GUID RIM-MailboxAdmins<> | No se usa | ApplicationImpersonation |
| Administrador de seguridad | Configure todos los aspectos de protección de la organización (antispam, antimalware, antisofing, cuarentena, etc.). Los miembros del rol Administrador de seguridad de Microsoft Entra ID obtienen automáticamente los permisos de este grupo de roles. |
Administrador de seguridad SensitivityLabelAdministrator |
| Operador de seguridad | Administre alertas de seguridad y vea también los informes y la configuración de las características de seguridad. Los miembros del rol Operador de seguridad de Microsoft Entra ID obtienen automáticamente los permisos de este grupo de roles. |
Administrador allowBlockList de inquilinos |
| SecurityReader | Ver solo el acceso a todos los aspectos de la protección de la organización (antispam, antimalware, anti-suplantación de identidad, cuarentena, etc.). Los miembros del rol Lector de seguridad de Microsoft Entra ID obtienen automáticamente los permisos de este grupo de roles. |
Lector de seguridad |
| <TenantAdmins_Number> | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. A este grupo de roles no se le asigna ningún rol, pero es miembro del grupo de roles Administración de la organización y hereda esos permisos. | Ninguno |
| Administración de la organización de solo visualización | Vea los objetos de destinatario, protección y configuración y sus propiedades en la organización. | Configuración con permiso de vista Destinatarios con permiso de vista |
Si trabaja en una organización pequeña, solo puede usar el grupo de roles Administración de la organización. En organizaciones más grandes con administradores responsables de tareas específicas (por ejemplo, solo configuración de destinatarios), también puede usar el grupo de roles Administración de destinatarios. A continuación, los administradores pueden administrar sus áreas específicas sin permisos en áreas de las que no son responsables.
Si los grupos de roles integrados de Exchange Online no coinciden con la función de trabajo de los administradores, puede crear grupos de roles y agregarles roles. Para obtener más información, vea Administrar grupos de roles en EOP independiente.
Funciones
Los roles integrados que están disponibles en EOP independiente se describen en la tabla siguiente.
| Role | Descripción | Asignaciones de grupos de roles predeterminadas |
|---|---|---|
| Listas de direcciones | Permite a los administradores administrar listas de direcciones, listas globales de direcciones y listas de direcciones sin conexión en una organización. | Ninguno |
| Registros de auditoría | Busque en el registro de auditoría del administrador y vea los resultados. | Administración de cumplimiento Administración de la organización Records Management |
| Administrador de cumplimiento de comunicaciones | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Cumplimiento de la comunicación Administradores de cumplimiento de comunicaciones Administrador de cumplimiento Administración de la organización |
| Investigación del cumplimiento de comunicaciones | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Administración de la organización |
| Administración de cumplimiento | Permite a los usuarios ver y editar la configuración y los informes de las características de cumplimiento. | Administración de cumplimiento Administración de la organización |
| Prevención de pérdida de datos | Permite a los administradores administrar la configuración de prevención de pérdida de datos (DLP) en la organización. | Administración de cumplimiento Administración de la organización |
| Grupos de distribución dinámicos | Cree y administre todos los grupos de distribución, los grupos de seguridad habilitados para correo y los miembros. | Administración de la organización Recipient Management |
| Directivas de direcciones de correo electrónico | Permite a los administradores administrar directivas de direcciones de correo electrónico en una organización. | Administración de la organización |
| Uso compartido federado | Permite a los administradores administrar el uso compartido entre bosques y entre organizaciones en una organización. | Administración de la organización |
| Administrador de Information Protection | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Protección de la información Administradores de Information Protection Administración de la organización |
| Investigador de protección de información | Busque en el registro de auditoría unificado. | Protección de la información Investigadores de Information Protection Administración de la organización |
| Lector de protección de información | Busque en el registro de auditoría unificado y vea los informes De resumen de tráfico de correo y tráfico de correo. | Protección de la información Lectores de Information Protection Administración de la organización |
| Information Rights Management | Administre las características de Information Rights Management (IRM) de Exchange en una organización. | Administración de cumplimiento Administración de la organización |
| Administración de riesgos internos Administración | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Administrador de cumplimiento Administración de riesgos de Insider Administradores de administración de riesgos internos Administración de la organización |
| Investigación de administración de riesgos internos | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Administración de riesgos de Insider Investigadores de administración de riesgos internos Administración de la organización |
| Registro en diario | Permite a los administradores administrar la configuración de registro en diario en una organización. | Administración de cumplimiento Administración de la organización Records Management |
| Retención legal | Permite a los administradores configurar si los datos de un buzón deben conservarse con fines de litigio en una organización. | Discovery Management Administración de la organización |
| Carpetas públicas habilitadas para correo | Permite a los administradores configurar si las carpetas públicas individuales están habilitadas para correo o deshabilitadas para correo en una organización. | Administración de la organización |
| Creación de destinatario de correo | Crear y quitar usuarios de correo y contactos de correo. | Administración de la organización Recipient Management |
| Destinatarios de correo | Modifique los usuarios de correo y los contactos de correo existentes. | Administración de la organización Recipient Management |
| Sugerencias de correo | Permite a los administradores administrar la configuración de información sobre correo electrónico en una organización. | Administración de la organización |
| Exportación de importación de buzones | Permite a los administradores importar y exportar contenido de buzón de correo. | Administración de la organización |
| Búsqueda en el buzón | Permite a los administradores buscar en el contenido de uno o varios buzones de una organización. | Discovery Management |
| Seguimiento de mensajes | Permite a los administradores realizar un seguimiento de los mensajes de una organización. | Administración de cumplimiento Administración de la organización Recipient Management Records Management |
| Migración | Permite a los administradores migrar buzones de correo y contenido de buzón dentro o fuera de una organización. | Administración de la organización Recipient Management |
| Mover buzones | Permite a los administradores mover buzones. | Administración de la organización Recipient Management |
| Acceso de cliente de la organización | Permite a los administradores administrar la configuración de acceso de cliente en una organización. | Administración de la organización |
| Configuración de la organización | Permite a los administradores administrar la configuración de toda la organización. | Administración de la organización |
| Configuración de transporte de la organización | Permite a los administradores administrar la configuración de transporte de correo híbrido y de toda la organización. | Administración de la organización |
| Administración de administración de privacidad | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Administración de la organización Administración de privacidad Administradores de administración de privacidad |
| Investigación de administración de privacidad | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Administración de la organización Administración de privacidad Investigadores de administración de privacidad |
| Carpetas públicas | Permite a los administradores administrar carpetas públicas en una organización. | Administración de la organización |
| Directivas de destinatarios | Permite a los administradores administrar directivas de destinatarios (directivas de autenticación, directivas de cifrado de datos directivas de buzón de dispositivo móvil y directivas de buzón de Outlook en la Web) en una organización. | Administración de la organización Recipient Management |
| Dominios remotos y aceptados | Administrar dominios remotos, dominios aceptados y conectores. | Administración de la organización |
| Restablecer contraseña | Permite a los administradores establecer contraseñas de buzón de sala. | Servicio de asistencia Administración de la organización Recipient Management |
| Administración de retención | Permite a los usuarios administrar las directivas de retención. | Administración de cumplimiento Administración de la organización Records Management |
| Administración de roles | Permite a los administradores administrar grupos de roles de administración, directivas de asignación de roles, roles de administración, entradas de roles, asignaciones y ámbitos en una organización. | Administración de la organización |
| Administrador de seguridad | Administre la configuración y los informes de todas las características de seguridad y protección. | Administración de la organización Administrador de seguridad |
| Creación y pertenencia a grupos de seguridad | Cree y administre grupos de seguridad habilitados para correo. | Administración de la organización |
| Lector de seguridad | Vea la configuración y los informes de las características de seguridad y protección. | Administración de la organización Lector de seguridad |
| SensitivityLabelAdministrator | Permite a los usuarios editar las propiedades de la etiqueta de confidencialidad. | Administración de la organización Administrador de seguridad |
| Administrador allowBlockList de inquilinos | Permite a los usuarios administrar la lista de permitidos o bloqueados de inquilinos. | Administración de la organización Operador de seguridad |
| TenantPlacesManagement | Aunque este rol está disponible, no hace nada útil en EOP independiente. | Administración de la organización |
| Higiene del transporte | Administre las características de antimalware, antispam y antispam. | Administración de higiene Administración de la organización |
| Reglas de transporte | Crear y administrar reglas de flujo de correo (también conocidas como reglas de transporte). | Administración de cumplimiento Administración de la organización Records Management |
| Opciones de usuario | Permite a los administradores ver las opciones de Outlook en la Web de los usuarios de la organización. | Servicio de asistencia Administración de la organización |
| Registros de auditoría de solo vista | Busque en el registro de auditoría del administrador y vea los resultados. | Administración de cumplimiento Administración de la organización |
| Configuración con permiso de vista | Vea toda la configuración de la organización y el flujo de correo (no destinatario) de la organización. | Administración de cumplimiento Administración de higiene Administración de la organización Administración de la organización de solo visualización |
| Destinatarios con permiso de vista | Ver las propiedades del destinatario y ejecutar el seguimiento de mensajes. | Administración de cumplimiento Servicio de asistencia Administración de higiene Administración de la organización Administración de la organización de solo visualización |
Nota:
- Los nombres de rol que comienzan con el prefijo "My" (por ejemplo, MyContactInformation) son roles de usuario final. Los roles de usuario final se asignan a los usuarios en las directivas de asignación de roles, que permiten a los usuarios operar en el objeto que poseen (por ejemplo, su propia cuenta o grupos de distribución que crearon). Para obtener más información, vea Directivas de asignación de roles en Exchange Online.
- Los nombres de rol que comienzan o terminan con "Application" forman parte de RBAC para aplicaciones en Exchange Online. Para obtener más información, consulte Access Control basadas en roles para aplicaciones en Exchange Online.
Permisos de Microsoft 365 en EOP independiente
Al crear un usuario en el Centro de administración de Microsoft 365, puede elegir si desea asignar varios roles de Microsoft Entra (por ejemplo, Administrador global, Administrador de Exchange y Lector global) al usuario. La mayoría de los roles de Microsoft Entra conceden permisos administrativos en EOP al usuario.
Nota:
La cuenta que usó para crear la organización de EOP independiente se asigna automáticamente al rol De administrador global.
En la tabla siguiente se enumeran los roles de Microsoft Entra y los grupos de roles EOP independientes a los que corresponden. Para obtener más información sobre estos roles, consulte Acerca de los roles de administrador.
| rol Microsoft Entra | Grupo de roles EOP |
|---|---|
| Administrador global | Administración de la organización Nota: El rol Administrador global y el grupo de roles Administración de la organización se asocian mediante un grupo de roles de administrador de empresa especial. El grupo de roles Administrador de empresa se administra internamente y no se puede modificar directamente. |
| Administrador de Exchange | Administración de la organización |
| Lector global | ViewOnlyOrganization Management |
| Administrador del servicio de asistencia | Servicio de asistencia |
| Administrador de soporte técnico de servicio | Ninguno |
| Administrador de SharePoint | Ninguno |
| Administrador de Teams | Ninguno |
| Administrador de usuarios | Recipient Management |
| Administrador de éxito de la experiencia del usuario | Ninguno |
Se pueden conceder derechos administrativos a los usuarios en EOP sin agregarlos a roles de Microsoft Entra agregando al usuario como miembro de un grupo de roles de EOP. El usuario obtiene permisos en EOP, pero no obtiene permisos en otras cargas de trabajo de Microsoft 365. Para obtener instrucciones, consulte Uso del EAC para administrar grupos de roles.