Roles de Azure, roles de Microsoft Entra y roles de administrador de la suscripción clásica
Si no está familiarizado con Azure, es posible que le resulte un poco difícil comprender los distintos roles de Azure. En este artículo se explican los siguientes roles y cuándo se usa cada uno:
- Roles de Azure
- Roles de Microsoft Entra
- Roles de administrador de suscripciones clásicas
¿Cómo están relacionados los roles?
Para entender mejor los roles en Azure, es útil conocer algo de la historia. Cuando se publicó inicialmente Azure, el acceso a los recursos se administraba con solo tres roles de administrador: administrador de cuentas, administrador de servicios y coadministrador. Posteriormente se agregó el control de acceso basado en rol de Azure (Azure RBAC). RBAC de Azure es un nuevo sistema de autorización que proporciona una administración de acceso detallada a los recursos de Azure. Azure RBAC incluye muchos roles integrados, puede asignarse en distintos ámbitos y le permite crear sus propios roles personalizados. Para administrar recursos de Microsoft Entra ID, como usuarios, grupos y dominios, hay varios roles de Microsoft Entra.
En el siguiente diagrama se muestra una visión general de cómo se relacionan los roles de Azure, los roles de Microsoft Entra y los roles de administrador de la suscripción clásica.
Roles de Azure
RBAC de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso específico a los recursos de Azure como, por ejemplo, proceso y almacenamiento. RBAC de Azure incluye más de 100 roles integrados. Hay cinco roles fundamentales de Azure. Las tres primeras se aplican a todos los tipos de recursos:
| Rol de Azure | Permisos | Notas |
|---|---|---|
| Propietario |
|
Al administrador de servicios y a los coadministradores se les asigna el rol de propietario en el ámbito de suscripción. Se aplica a todos los tipos de recursos. |
| Colaborador |
|
Se aplica a todos los tipos de recursos. |
| Lector |
|
Se aplica a todos los tipos de recursos. |
| Administrador de control de acceso basado en roles |
|
|
| Administrador de acceso de usuario |
|
Los demás roles integrados permiten la administración de recursos específicos de Azure. Por ejemplo, el rol de colaborador de máquina virtual permite al usuario crear y administrar máquinas virtuales. Para ver una lista de todos los roles integrados, consulte Roles integrados de Azure.
Azure RBAC solo es compatible con Azure Portal y con las API de Azure Resource Manager. Los usuarios, los grupos y las aplicaciones a los que se asignan roles de Azure no pueden usar las API del modelo de implementación clásica de Azure.
En Azure Portal, las asignaciones de roles mediante Azure RBAC aparecen en la página Control de acceso (IAM). Esta página se puede encontrar en todo el portal, por ejemplo, en grupos de administración, suscripciones, grupos de recursos y distintos recursos.
Al hacer clic en la pestaña Roles, verá la lista de roles integrados y personalizados.
Para más información, consulte Asignación de roles de Azure mediante Azure Portal.
Roles de Microsoft Entra
Los roles de Microsoft Entra se utilizan para administrar los recursos de Microsoft Entra de un directorio, como crear o editar usuarios, asignar roles administrativos a otros usuarios, restablecer contraseñas de usuario, administrar licencias de usuario y administrar dominios. En la tabla siguiente se describen algunos de los roles de Microsoft Entra más importantes.
| Rol de Microsoft Entra | Permisos | Notas |
|---|---|---|
| Administrador global |
|
La persona que se suscribe al inquilino de Microsoft Entra se convierte en administrador global. |
| Administrador de usuarios |
|
|
| Administrador de facturación |
|
En Azure Portal, puede ver la lista de roles de Microsoft Entra en la página Roles y administradores. Para obtener una lista de todos los roles de Microsoft Entra, consulte Permisos de roles de administrador en Microsoft Entra ID.
Diferencias entre los roles de Azure y los de Microsoft Entra
A nivel general, los roles de Azure controlan los permisos para administrar recursos de Azure, mientras que los roles de Microsoft Entra controlan los permisos para administrar los recursos de Microsoft Entra. En la tabla siguiente se comparan algunas de las diferencias.
| Roles de Azure | Roles de Microsoft Entra |
|---|---|
| Administración del acceso de usuarios a los recursos de Azure | Administración del acceso a los recursos de Microsoft Entra |
| Admite los roles personalizados | Admite los roles personalizados |
| El ámbito se puede especificar en varios niveles (grupo de administración, suscripción, grupo de recursos, recurso). | El ámbito se puede especificar en el nivel de inquilino (toda la organización), en la unidad administrativa o en un objeto individual (por ejemplo, una aplicación específica). |
| Se puede acceder a la información de roles en Azure Portal, CLI de Azure, Azure PowerShell, plantillas de Azure Resource Manager, API REST | Se puede acceder a la información de roles en Azure Portal, el Centro de administración de Microsoft Entra, el Centro de administración de Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
¿Se superponen los roles de Azure y los de Microsoft Entra?
De forma predeterminada, los roles de Azure y los roles de Microsoft Entra no incluyen Azure ni Microsoft Entra ID. Sin embargo, si un administrador global eleva su acceso mediante la elección del modificador Administración del acceso para los recursos de Azure en Azure Portal, se le otorgará el rol Administrador de acceso de usuario (un rol de Azure) en todas las suscripciones para un inquilino en particular. El rol de administrador de accesos de usuario permite conceder a otros usuarios acceso a recursos de Azure. Este modificador puede ser útil para recuperar el acceso a una suscripción. Para más información, consulte Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure.
Varios roles de Microsoft Entra incluyen Microsoft Entra ID y Microsoft 365, como los roles Administrador global y Administrador de usuarios. Por ejemplo, si es miembro del rol Administrador global, tiene funcionalidades de administrador global en Microsoft Entra ID y Microsoft 365, como realizar cambios en Microsoft Exchange y Microsoft SharePoint. Sin embargo, de forma predeterminada, el administrador global no tiene acceso a los recursos de Azure.
Roles de administrador de suscripciones clásicas
Importante
A partir del 31 de agosto de 2024, los roles de administrador clásico de Azure (junto con los recursos clásicos de Azure y Azure Service Manager) se retiran y ya no se admiten. Si todavía tiene asignaciones de roles coadministrador o administrador de servicios activas, convierta estas asignaciones de roles en RBAC de Azure inmediatamente.
Para más información, consulte el artículo sobre los Administradores clásicos de la suscripción de Azure.
Administrador de cuenta, administrador de servicios y coadministrador son las tres variantes de roles de administrador de suscripciones clásicas de Azure. Los administradores de suscripción clásica tienen acceso completo a la suscripción de Azure. Se pueden administrar los recursos con Azure Portal, con las API de Azure Resource Manager o bien con las API del modelo de implementación clásica. La cuenta que se utiliza para suscribirse a Azure se establece automáticamente como administrador de cuenta y administrador de servicio. A continuación, se pueden agregar coadministradores adicionales. Tanto el administrador de servicios como los coadministradores tienen un acceso equivalente al de los usuarios a los que se les ha asignado el rol Propietario (un rol de Azure) en el ámbito de la suscripción. En la tabla siguiente se describen las diferencias entre estos tres roles administrativos de la suscripción clásica.
| Administrador de suscripciones clásicas | Límite | Permisos | Notas |
|---|---|---|---|
| Administrador de cuenta | 1 por cuenta de Azure |
|
Desde un punto de vista conceptual, el propietario de la facturación de la suscripción. |
| Administrador de servicios | 1 por cada suscripción de Azure |
|
De forma predeterminada, en una nueva suscripción, el administrador de cuenta es también el administrador de servicios. El administrador de servicios tiene el acceso equivalente a un usuario al que se le asigna el rol de propietario en el ámbito de la suscripción. El administrador de servicios tiene permiso total de acceso a Azure Portal. |
| Coadministrador | 200 por suscripción |
|
El coadministrador tiene el acceso equivalente a un usuario al que se le asigna el rol de propietario en el ámbito de la suscripción. |
En Azure Portal, puede administrar coadministradores o ver el administrador de servicios mediante la pestaña Administradores clásicos.
Para más información, consulte el artículo sobre los Administradores clásicos de la suscripción de Azure.
Cuenta de Azure y suscripciones de Azure
Se usa una cuenta de Azure para establecer una relación de facturación. Una cuenta de Azure es una identidad de usuario, una o varias suscripciones de Azure y un conjunto asociado de recursos de Azure. La persona que crea la cuenta es el administrador de cuenta para todas las suscripciones creadas en esa cuenta. Esa persona también es el administrador de servicios predeterminado de la suscripción.
Las suscripciones de Azure le ayudan a organizar el acceso a los recursos de Azure. También le ayudan a controlar cómo se informa, factura y paga el uso de recursos. Cada suscripción puede tener una configuración de facturación y pago diferente, por lo que puede tener varias suscripciones y planes diferentes por oficina, departamento o proyecto, entre otros. La mayoría de los servicios pertenecen a una suscripción y el identificador de la suscripción puede ser necesario para las operaciones de programación.
Cada suscripción está asociada a un directorio de Microsoft Entra. Para encontrar el directorio al que está asociada la suscripción, abra Suscripciones en Azure Portal y, a continuación, seleccione una suscripción para ver el directorio.
Tanto las cuentas como las suscripciones se administran en Azure Portal.