Roles con privilegios mínimos por tarea en Microsoft Entra ID
En este artículo, puede encontrar la información necesaria para restringir los permisos de administrador de un usuario mediante la asignación de roles con privilegios mínimos en Microsoft Entra ID. Encontrará las tareas organizadas por área de características y el rol con privilegios mínimos necesario para realizar cada tarea, junto con roles de administrador no global que pueden realizar la tarea.
Puede restringir aún más los permisos mediante la asignación de roles en ámbitos más pequeños o mediante la creación de sus propios roles personalizados. Para obtener más información, consulte Asignación de roles de Microsoft Entra en diferentes ámbitos o Creación y asignación un rol personalizado en Microsoft Entra ID.
Proxy de aplicación
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar aplicación de proxy de aplicación | Administrador de aplicaciones | |
| Configurar propiedades del grupo de conectores | Administrador de aplicaciones | |
| Crear registro de aplicación cuando se deshabilita la capacidad para todos los usuarios | Desarrollador de aplicaciones | Administrador de aplicaciones en la nube Administrador de aplicaciones |
| Crear grupo de conectores | Administrador de aplicaciones | |
| Eliminar grupo de conectores | Administrador de aplicaciones | |
| Deshabilitar el proxy de aplicación | Administrador de aplicaciones | |
| Descargar servicio de conector | Administrador de aplicaciones | |
| Leer toda la configuración | Administrador de aplicaciones |
Identidades externas o B2C
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear directorios de Azure AD B2C | Todos los usuarios que no son invitados | |
| Crear aplicaciones empresariales | Administrador de aplicaciones en la nube | Administrador de aplicaciones |
| Crear, leer, actualizar y eliminar directivas de B2C | Administrador de directivas B2C con IEF | |
| Crear, leer, actualizar y eliminar proveedores de identidades | Administrador de proveedor de identidades externo | |
| Crear, leer, actualizar y eliminar flujos de usuario de restablecimiento de contraseña | Administrador de flujos de usuarios con identificador externo | |
| Crear, leer, actualizar y eliminar flujos de usuario de edición de perfiles | Administrador de flujos de usuarios con identificador externo | |
| Crear, leer, actualizar y eliminar flujos de usuario de inicio de sesión | Administrador de flujos de usuarios con identificador externo | |
| Crear, leer, actualizar y eliminar flujos de usuario de registro | Administrador de flujos de usuarios con identificador externo | |
| Crear, leer, actualizar y eliminar atributos de usuario | Administrador de atributos de flujos de usuarios con identificador externo | |
| Crear, leer, actualizar y eliminar usuarios | Administrador de usuarios | |
| Configuración de los valores de colaboración externa B2B | Administrador global | |
| Leer toda la configuración | Lector global | |
| Leer registros de auditoría de B2C | Lector global |
Nota:
Los administradores globales de Azure AD B2C no tienen los mismos permisos que los administradores globales de Microsoft Entra. Si tiene privilegios de administrador global de Azure AD B2C, asegúrese de que se encuentra en un directorio Azure AD B2C y no en un directorio Microsoft Entra.
Personalización de marca de empresa
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configuración de la personalización de marca de la compañía | Administrador de personalización de marca de la organización | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Conexión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación de paso a través | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Aprovisionamiento en la nube
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación de paso a través | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Connect Health
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Agregar o eliminar servicios | Propietario | |
| Aplicar correcciones de errores de sincronización | Colaborador | Propietario |
| Configuración de notificaciones | Colaborador | Propietario |
| Definición de configuración | Propietario | |
| Configurar notificaciones de sincronización | Colaborador | Propietario |
| Leer informes de seguridad de ADFS | Lector de seguridad | Colaborador Propietario |
| Leer toda la configuración | Lector | Colaborador Propietario |
| Leer errores de sincronización | Lector | Colaborador Propietario |
| Leer servicios de sincronización | Lector | Colaborador Propietario |
| Ver métricas y alertas | Lector | Colaborador Propietario |
| Ver métricas y alertas | Lector | Colaborador Propietario |
| Ver métricas y alertas del servicio de sincronización | Lector | Colaborador Propietario |
Nombres de dominio personalizados
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar dominios | Administrador de nombres de dominio | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Servicios de dominio
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de una instancia de servicios de dominio de Microsoft Entra | Administrador de aplicaciones Administrador de grupos Colaborador de Domain Services |
|
| Realizar todas las tareas de los servicios de dominio de Microsoft Entra | Grupo de administradores del controlador de dominio de AAD | |
| Leer toda la configuración | Lector en la suscripción de Azure que contiene el servicio AD DS |
Dispositivos
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar un dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Deshabilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Habilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Leer configuración básica | Rol de usuario predeterminado | |
| Leer claves de BitLocker | Administrador de dispositivos en la nube | Administrador del departamento de soporte técnico Administrador de Intune Administrador de seguridad Lector de seguridad |
Aplicaciones empresariales
Administración de derechos
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Adición de recursos a un catálogo | Administrador de Identity Governance | Con la administración de derechos, esta tarea se puede delegar en el propietario del catálogo. |
| Adición de sitios de SharePoint Online al catálogo | Administrador de SharePoint |
Grupos
Protección de identidad
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar notificaciones de alerta | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de MFA | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de inicio de sesión | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de usuario | Administrador de seguridad | |
| Configurar resúmenes semanales | Administrador de seguridad | |
| Descartar todas las detecciones de riesgo | Administrador de seguridad | |
| Corregir o descartar vulnerabilidad | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer todas las detecciones de riesgo | Lector de seguridad | |
| Leer vulnerabilidades | Lector de seguridad |
Licencias
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignación de la licencia | Administrador de licencias | Administrador de usuarios |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
| Revocar licencia | Administrador de licencias | Administrador de usuarios |
| Probar o comprar suscripción | Administrador de facturación |
Supervisión: registros de auditoría
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de auditoría | Lector de informes | Lector de seguridad Administrador de seguridad |
Supervisión: inicios de sesión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de inicio de sesión | Lector de informes | Lector de seguridad Administrador de seguridad Lector global |
Autenticación multifactor
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados | Administrador de directivas de autenticación | Administrador de autenticación |
| Deshabilitar la autenticación multifactor por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Habilitación de Multi-Factor Authentication por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Administrar la configuración del servicio MFA | Administrador de directivas de autenticación | |
| Requerir a los usuarios seleccionados que vuelvan a proporcionar métodos de contacto | Administrador de autenticación | |
| Restauración de la autenticación multifactor en todos los dispositivos recordados | Administrador de autenticación |
Servidor MFA
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Bloqueo y desbloqueo de usuarios | Administrador de directivas de autenticación | |
| Configurar bloqueo de cuentas | Administrador de directivas de autenticación | |
| Configurar reglas de caché | Administrador de directivas de autenticación | |
| Configurar alerta de fraude | Administrador de directivas de autenticación | |
| Configuración de notificaciones | Administrador de directivas de autenticación | |
| Configurar la omisión por única vez | Administrador de directivas de autenticación | |
| Configurar la configuración de la llamada de teléfono | Administrador de directivas de autenticación | |
| Configurar proveedores | Administrador de directivas de autenticación | |
| Configuración del servidor | Administrador de directivas de autenticación | |
| Leer informe de actividades | Lector global | |
| Leer toda la configuración | Lector global | |
| Leer estado del servidor | Lector global |
Relaciones organizativas
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar proveedores de identidad | Administrador de proveedor de identidades externo | |
| Administración de la configuración | Administrador global | |
| Administrar la declaración de privacidad y el contacto | Administrador global | |
| Leer toda la configuración | Lector global |
Restablecimiento de contraseña
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar métodos de autenticación | Administrador de directivas de autenticación | |
| Configurar personalización | Administrador de directivas de autenticación | |
| Configurar notificación | Administrador de directivas de autenticación | |
| Configurar integración local | Administrador de directivas de autenticación | |
| Configurar las propiedades de restablecimiento de contraseña | Administrador de usuarios | Administrador de directivas de autenticación |
| Configurar registro | Administrador de directivas de autenticación | |
| Leer toda la configuración | Administrador de seguridad | Administrador de usuarios |
Privileged Identity Management
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignación de usuarios a roles | Administrador de roles con privilegios | |
| Configuración de los roles | Administrador de roles con privilegios | |
| Ver actividad de auditoría | Lector de seguridad | |
| Ver pertenencias a roles | Lector de seguridad |
Roles y administradores
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administración de asignaciones de roles | Administrador de roles con privilegios | |
| Revisión de acceso de lectura de un rol de Microsoft Entra | Lector de seguridad | Administrador de seguridad Administrador de roles con privilegios |
| Leer toda la configuración | Rol de usuario predeterminado |
Seguridad: métodos de autenticación
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Habilitación o deshabilitación de métodos de autenticación | Administrador de directivas de autenticación | |
| Visualización, aprovisionamiento en nombre de y administración de métodos de autenticación de usuario individuales | Administrador de autenticación | Administrador de autenticación con privilegios |
| Configuración de la protección con contraseña | Administrador de seguridad | |
| Configuración del bloqueo inteligente | Administrador de seguridad | |
| Leer toda la configuración | Lector global |
Seguridad: acceso condicional
Seguridad: puntuación de seguridad de identidad
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | Administrador de seguridad |
| Leer puntuación de seguridad | Lector de seguridad | Administrador de seguridad |
| Actualizar estado del evento | Administrador de seguridad |
Seguridad: inicios de sesión de riesgo
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | |
| Leer inicios de sesión de riesgo | Lector de seguridad |
Seguridad: usuarios marcados en riesgo
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Descartar todos los eventos | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer usuarios marcados en riesgo | Lector de seguridad |
Pase de acceso temporal
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear, eliminar o visualizar un Pase de acceso temporal para administradores o miembros (excepto para ellos mismos) | Administrador de autenticación con privilegios | |
| Crear, eliminar o visualizar un Pase de acceso temporal para los miembros (excepto para ellos mismos) | Administrador de autenticación | |
| Ver los detalles de un Pase de acceso temporal para un usuario (sin leer el código) | Lector global | |
| Configurar o actualizar la directiva del método de autenticación del Pase de acceso temporal | Administrador de directivas de autenticación |
Inquilino
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de Microsoft Entra ID o del inquilino Azure AD B2C | Creador de inquilinos | |
| Actualización de las propiedades del inquilino de Microsoft Entra | Administrador de facturación |
Usuarios
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Agregar usuario a rol de directorio | Administrador de roles con privilegios | |
| Agregar usuario a un grupo | Administrador de usuarios | |
| Asignar licencia | Administrador de licencias | Administrador de usuarios |
| Crear usuario invitado | Invitador de usuarios | Administrador de usuarios |
| Restablecer invitación de usuario invitado | Administrador del departamento de soporte técnico | Administrador de usuarios |
| Crear usuario | Administrador de usuarios | |
| Eliminar usuarios | Administrador de usuarios | |
| Invalidar tokens de actualización de los administradores con limitaciones | Administrador de usuarios | |
| Invalidar tokens de actualización de usuarios que no son administradores | Administrador del departamento de soporte técnico | Administrador de usuarios |
| Invalidar tokens de actualización de administradores con privilegios | Administrador de autenticación con privilegios | |
| Leer configuración básica | Rol de usuario predeterminado | |
| Restablecer contraseña para administradores con limitaciones | Administrador de usuarios | |
| Restablecer contraseña de usuarios que no son administradores | Administrador de contraseñas | Administrador de usuarios |
| Restablecer contraseñas de administradores con privilegios | Administrador de autenticación con privilegios | |
| Revocar licencia | Administrador de licencias | Administrador de usuarios |
| Actualizar todas las propiedades excepto el nombre principal de usuario | Administrador de usuarios | |
| Actualizar la propiedad habilitada para la sincronización local | Administrador de identidades híbridas | |
| Actualizar el nombre principal de usuario para administradores con limitaciones | Administrador de usuarios | |
| Actualización de la propiedad Nombre principal de usuario en administradores con privilegios | Administrador de autenticación con privilegios | |
| Actualización de la configuración del usuario: permisos de rol de usuario predeterminados | Administrador de roles con privilegios | |
| Actualización de la configuración del usuario: acceso de usuario invitado | Administrador de roles con privilegios | |
| Actualizar métodos de autenticación | Administrador de autenticación | Administrador de autenticación con privilegios |