Grupos de funciones de administrador
Se aplica a: Office 365 for enterprises, Live@edu
Última modificación del tema: 2011-11-23
Los grupos de funciones hacen que la asignación de permisos administrativos resulte fácil. Para asignar permisos a un usuario con objeto de que lleven a cabo tareas administrativas específicas, agregue el usuario como miembro de un grupo de roles para esas tareas administrativas. Por ejemplo, si contrata a un nuevo empleado para su personal del departamento de soporte técnico, no tiene más que agregarlo al grupo de roles Help Desk y el usuario estará listo para ponerse a trabajar.
Examinemos el funcionamiento de los grupos de funciones y los grupos de funciones disponibles de forma predeterminada:
- Anatomía de un grupo de funciones
- Grupos de funciones integradas
Anatomía de un grupo de funciones
Un grupo de funciones de administrador es un grupo de seguridad universal con derechos administrativos asignados. Las funciones de administración integradas especifican estos derechos administrativos, que forman parte del modelo de permisos de control de acceso basado en funciones (RBAC). Una función de administración, también denominada función RBAC o simplemente función, define a lo que se tiene acceso y las tareas que se pueden realizar*.*
¿En qué consiste un grupo de funciones?
.gif "Grupos de funciones del administrador")
Miembros del grupo de funciones Al igual que los grupos de distribución, o grupos públicos, los grupos de funciones de administrador tienen miembros. Las funciones asignadas al grupo de funciones se aplican a cada miembro que se agregue al grupo. Así, se conceden a cada usuario todos los permisos permitidos por las funciones asignadas al grupo de funciones.
Para ver los miembros de un grupo de funciones:
En el Panel de control de Exchange
- Seleccione Administrar Mi organización > Funciones y auditoría > Funciones de administrador.
- Seleccione un grupo de funciones para ver a sus miembros en el panel de detalles.
En Windows PowerShell, ejecute el comando siguiente:
Get-RoleGroupMember "<name of role group>"
Grupo de funciones Las funciones se asignan al grupo de funciones. La combinación de todas las funciones asignadas al grupo de funciones define lo que los miembros del grupo pueden administrar en la organización.
Para ver los grupos de funciones de su organización:
En el Panel de control de Exchange
Seleccione Administrar mi organización > Funciones y auditoría > Funciones de administrador.En Windows PowerShell, ejecute el comando siguiente:
Get-RoleGroup
Asignaciones de funciones Una asignación de función asocia una función de administración a un grupo de funciones. Al asignar una función a un grupo de funciones, se conceden a los miembros del grupo los permisos necesarios para utilizar los cmdlets y los parámetros de Windows PowerShell definidos en la función. Las asignaciones de funciones usan también ámbitos de administración para controlar dónde se puede usar la asignación.
Puesto que una función se puede asignar a distintos grupos de funciones, una asignación de función identifica una asignación concreta, y el nombre de esa asignación es único en la organización. Por ejemplo, la función User Options se asigna a los grupos de funciones Organization Management y Help Desk, pero el nombre de la asignación es distinto e identifica de forma exclusiva la asignación para cada grupo: User Options-Help Desk y User Options-Organization Management.
Para ver las funciones asignadas a un grupo de funciones concreto:
En el Panel de control de Exchange
- Seleccione Administrar Mi organización > Funciones y auditoría > Funciones de administrador.
- Seleccione un grupo de funciones para ver las funciones que tiene asignadas en el panel de detalles.
Nota No todas las funciones asignadas a un grupo de funciones son aplicables ni están disponibles en todas las organizaciones basadas en cloud.
En Windows PowerShell, ejecute el comando siguiente:
Get-ManagementRoleAssignment -RoleAssignee "<name of role group>"Para ver todas las asignaciones de funciones de su organización, ejecute el comando siguiente:
Get-ManagementRoleAssignment
Ámbitos de escritura de funciones El ámbito de escritura define el límite administrativo de las funciones asignadas al grupo de funciones. En otras palabras, el ámbito de escritura define dónde pueden realizar modificaciones los miembros del grupo de funciones. En las funciones de administrador integrados que permiten a los usuarios modificar objetos, el ámbito de escritura predeterminado es la organización completa.
También puede crear ámbitos de escritura personalizados basados en filtros de destinatario. Por ejemplo, "Todos los usuarios cuyo departamento sea 'finanzas'". Si crea un nuevo grupo de funciones y asigna la función de opciones de usuario mediante el ámbito de escritura personalizado, los miembros del grupo de funciones solo podrán ver y cambiar la configuración de la cuenta en la página Opciones del buzón de correo en aquellos buzones cuyo departamento sea "finanzas". Use el cmdlet New-ManagementScope para crear ámbitos de escritura personalizados.
Para ver los ámbitos de escritura de cada función asignada a un grupo de funciones concreto:
En el Panel de control de Exchange
- Seleccione Administrar Mi organización > Funciones y auditoría > Funciones de administrador.
- Seleccione un grupo de funciones y haga clic en Detalles para ver el ámbito de escritura de todos las funciones asignadas.
Nota Si se cumple alguna de las condiciones siguientes, no podrá ver el ámbito de escritura en el Panel de control de Exchange:
• El grupo de funciones tiene asignado una función de usuario final.
• El grupo de funciones tiene asignado una función mediante un ámbito de escritura diferente al de las demás funciones.
• Se han asignado las funciones al grupo de funciones usando ámbitos de escritura exclusivos. Un ámbito de escritura exclusivo aísla determinados buzones de correo de tal forma que solo podrán administrarlos los administradores designados. Para obtener más información, vea Creación de ámbitos de escritura exclusivos.
En Windows PowerShell, ejecute el comando siguiente:
Get-ManagementRoleAssignment -RoleAssignee "<name of role group>" | Format-List Role,RecipientWriteScope
Funciones Una función RBAC es un contenedor para un grupo de entradas de función de administración. Las funciones definen las tareas concretas que pueden realizar los miembros de un grupo de funciones al que se asigna la función.
Para ver las funciones de administrador en la organización:
En el Panel de control de Exchange
- Seleccione Administrar Mi organización > Funciones y auditoría > Funciones de administrador.
- Haga clic en Nuevo o seleccione un grupo de funciones existente y haga clic en Detalles.
- En la página de grupos de funciones, en la sección Funciones, haga clic en Agregar. Tenga en cuenta que no vamos a modificar las funciones asignadas al grupo de funciones. Únicamente deseamos examinar la lista de funciones de administrador.
- En la página Seleccionar una función, puede ver los nombres y las descripciones de las funciones.
- Cuando haya finalizado, haga clic en Cancelar en la página Seleccionar una función y en la página Grupo de funciones.
En Windows PowerShell, ejecute el comando siguiente:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $false}
Entradas de funciones Las entradas de funciones son cada una de las entradas de una función de administración. Las entradas de funciones proporcionan acceso a cmdlets, scripts y otros permisos especiales que permiten a los usuarios realizar una tarea concreta. Una entrada de función es a menudo un único cmdlet y los parámetros que los miembros de un grupo de funciones pueden ejecutar cuando se asigna la función al grupo de funciones.
Para ver los cmdlets y los parámetros asociados a una función sin truncar los resultados:
En Windows PowerShell, ejecute el comando siguiente:
Get-ManagementRoleEntry "<name of the role>\*" | ConvertTo-Html > "<file name>.html"Abra el archivo HTML resultante en un explorador web. La información se encuentra en las columnas Nombre y Parámetros.
Volver al principio
Grupos de funciones integradas
Los grupos de funciones integradas siguientes están disponibles de forma predeterminada. Recuerde que no todos las funciones asignadas a un grupo de funciones son aplicables ni están disponibles en una organización basada en cloud.
| Grupo de funciones | Tareas administrativas que pueden realizar los miembros |
|---|---|
Discovery Management |
Pueden usar búsquedas en varios buzones de correo para buscar en los buzones de correo de la organización el correo electrónico y otros tipos de mensaje que contengan determinadas palabras clave. |
Help Desk |
Pueden restablecer las contraseñas de los usuarios y administrar la configuración en la página Opciones de la cuenta basada en cloud de los usuarios. Para ayudar a solucionar los problemas de los usuarios, los miembros también pueden ver, pero no modificar, todos los buzones de correo, los grupos de distribución y los contactos externos de la organización. Nota En Office 365 para empresas, no puede restablecer las contraseñas en el Panel de control de Exchange o Windows PowerShell. Para permitir a un usuario restablecer las contraseñas en el portal de Microsoft Online Services, debe asignar la función de administrador de contraseñas de Office 365 al usuario del portal de Microsoft Online Services. |
Administración de la organización |
Pueden administrarse todos los aspectos de la organización basada en la nube. De forma predeterminada, la cuenta especificada durante la inscripción inicial en el servicio de correo electrónico basado en cloud es un miembro de este grupo de funciones. Importante Se trata de un grupo de funciones con mucho poder. Solo deben pertenecer a este grupo de funciones los usuarios que realizan tareas administrativas del nivel de la organización que pueden afectar a toda la organización. |
Recipient Management |
Pueden crear y administrar buzones de correo, grupos de distribución y contactos externos. Los miembros también pueden importar nuevos usuarios, realizar el seguimiento de los mensajes enviados y recibidos por los usuarios, y administrar la configuración de Exchange ActiveSync de la organización. |
Records Management |
Pueden crear y administrar reglas para toda la organización, también conocidas como reglas de transporte. Los miembros también pueden realizar el seguimiento de los mensajes enviados y recibidos por los usuarios. |
UM Management |
Pueden administrar las configuraciones del servidor de mensajería unificada (MU), las propiedades de MU en los buzones de correo, los indicadores de MU y la configuración de operador automático de MU. Nota Este grupo de funciones no está disponible en las organizaciones de Live@edu. |
Administración de la organización de sólo visualización |
Pueden ver, pero no modificar, todos los buzones de correo, grupos de distribución y contactos externos de la organización. Los miembros también pueden ver la configuración de las directivas de asignación de funciones, las reglas de transporte y la configuración en toda la organización. |
Volver al principio