Acerca de los roles de administrador en el Centro de administración de Microsoft 365

Consulte ayuda de Microsoft 365 para pequeñas empresas en YouTube.

Microsoft Office 365 o la subscripción a Office 365 incluye un conjunto de roles de administrador que puede asignar a usuarios de su organización que usen el Centro de administración de Microsoft 365. Cada rol de administrador corresponde a una función común de la empresa y concede permisos a los usuarios de su organización para realizar tareas específicas en los Centros de administración.

El Centro de administración de Microsoft 365 le permite administrar roles de Azure AD y de Microsoft Intune. Sin embargo, estos roles son un subconjunto de los roles disponibles en el portal de Azure AD y en el centro de administración de Intune.

Sugerencia

Si necesita ayuda con los pasos descritos en este tema, considere la posibilidad de trabajar con un especialista de Microsoft Small Business. Con Business Assist, usted y sus empleados obtienen acceso de forma ininterrumpida a especialistas de pequeñas empresas a medida que hace crecer su negocio, desde la incorporación hasta el uso diario.

Ver: ¿Qué es un administrador?

Consulte este vídeo y otros en nuestro canal de YouTube.

  1. Una vez iniciada la sesión en Microsoft 365, seleccione el iniciador de aplicaciones. Si puede ver el botón Administrador, significa que usted es administrador.
  2. Seleccione Administrador para ir al Centro de administración de Microsoft 365.
  3. En el panel de navegación izquierdo, seleccione Usuarios > Usuarios activos.
  4. Seleccione la persona a la que desea convertir en administrador. Los detalles del usuario aparecen en el cuadro de diálogo derecho.

Antes de empezar

¿Busca una lista completa de descripciones detalladas de los roles para Azure AD que puede administrar en el Centro de administración de Microsoft 365? Consulte Permisos de roles de administrador en Azure Active Directory. Roles integrados de Azure AD.

¿Busca una lista completa de descripciones detalladas de los roles para Intune que puede administrar en el Centro de administración de Microsoft 365? Consulte Control de acceso basado en roles (RBAC) con Microsoft Intune.

Para más información acerca de la asignación de roles en el Centro de administración de Microsoft 365, consulte Asignar roles de administrador.

Directrices de seguridad para asignar roles

Debido a que los administradores tienen acceso a archivos y datos confidenciales, le recomendamos que siga estas instrucciones para mantener los datos de su organización más seguros.

Recomendación ¿Por qué esto es importante?
Tener entre 2 y 4 administradores globales Como solo otro administrador global puede restablecer la contraseña de un administrador global, le recomendamos que tenga al menos 2 administradores globales en la organización en caso de que ocurra un bloqueo de la cuenta. Sin embargo, el administrador global tiene casi un acceso ilimitado a la configuración de su organización y a la mayoría de los datos, por lo que también recomendamos que no tenga más de 4 administradores globales, porque esto representaría una amenaza de seguridad.
Asignar el rol menos permisivo Asignar el rol menos permisivo significa conceder a los administradores solo el acceso que necesitan para realizar el trabajo. Por ejemplo, si desea que alguien restablezca las contraseñas de los empleados, no debe asignar el rol de administrador global ilimitado, sino asignar un rol de administrador limitado, como el de Administrador de contraseñas o Administrador del departamento de soporte técnico. Esto le ayudará a mantener sus datos seguros.
Requerir la autenticación multifactor para administradores En realidad es una buena idea requerir MFA para todos los usuarios, pero definitivamente se debe exigir a los administradores usar la MFA para iniciar sesión. La MFA permite que los usuarios introduzcan un segundo método de identificación para comprobar que son quienes dicen ser. Los administradores pueden tener acceso a una gran cantidad de datos de clientes y empleados y, si se requiere la MFA, incluso si la contraseña del administrador se ve comprometida, esta será inútil sin la segunda forma de identificación.

Al activar la MFA, la próxima vez que el usuario inicie sesión, deberá proporcionar una dirección de correo electrónico y un número de teléfono alternativos para recuperar la cuenta.
Configurar la autenticación multifactor

Si recibe un mensaje en el centro de administración que le indica que no tiene permisos para editar una configuración o una página, es porque se le ha asignado un rol que no tiene ese permiso.

Roles más frecuentes del Centro de administración de Microsoft 365

En el Centro de administración de Microsoft 365, puede ir a Asignaciones de roles y seleccionar cualquier rol para abrir su respectivo panel de detalles. Seleccione la pestaña Permisos para ver la lista detallada de lo que tienen permiso para hacer los administradores con ese rol asignado. Seleccione la pestaña Asignado o Administradores asignados para agregar usuarios a los roles.

Probablemente solo necesitará asignar los siguientes roles en su organización. De forma predeterminada, primero mostramos los roles que usan la mayoría de las organizaciones. Si no encuentra un rol, vaya a la parte inferior de la lista y seleccione Mostrar todos por categoría. (Para obtener información detallada, incluidos los cmdlets asociados a un rol, vea Roles integrados de Azure AD).

Rol de administrador ¿A quién se le debe asignar este rol?
Administrador de facturación Asigne el rol de administrador de facturación a los usuarios que hagan compras, administren suscripciones y solicitudes de servicio y supervisen el estado del servicio.

Los administradores de facturación también pueden:
- Administrar todos los aspectos de la facturación
- Crear y administrar vales de soporte técnico en el portal de Azure
Administrador de Exchange Asigne el rol de administrador de Exchange a los usuarios que necesiten ver y administrar los buzones de correo de sus usuarios, los grupos de Microsoft 365 y Exchange Online.

Los administradores de Exchange también pueden:
- Recuperar elementos eliminados en un buzón de usuario
- Configurar los delegados "Enviar como" y "Enviar en nombre de"
Administrador global Asigne el rol de administrador global a los usuarios que necesiten acceso global a la mayoría de las características de administración y datos en los servicios en línea de Microsoft.

Otorgar acceso global a un gran número de usuarios es un riesgo para la seguridad y le recomendamos que solo tenga entre 2 y 4 administradores globales.

Solo los administradores globales pueden:
- Restablecer las contraseñas de todos los usuarios
- Agregar y administrar dominios
- Desbloquear a otro administrador global

Nota: la persona que se registró en los servicios en línea de Microsoft se convierte automáticamente en administrador global.
Lector global Asigne el rol de lector global a los usuarios que necesitan ver las características y la configuración de administración en centros de administración que puede ver el administrador global. El administrador del lector global no puede editar ninguna configuración.
Administrador de grupos Asigne el rol de administrador de grupos a los usuarios que necesiten administrar la configuración de todos los grupos en los centros de administración, incluido el Centro de administración de Microsoft 365 y el portal de Azure Active Directory.

Los administradores de grupos pueden:
- Crear, editar, eliminar y restaurar los grupos de Microsoft 365
- Crear y actualizar las directivas de creación, expiración y nomenclatura de grupos
- Crear, editar, eliminar y restaurar grupos de seguridad de Azure Active Directory
Administrador del departamento de soporte técnico Asigne el rol de administrador del departamento de soporte técnico a los usuarios que necesiten que hacer lo siguiente:
- Restablecer contraseñas
- Forzar a los usuarios a cerrar sesión
- Administrar solicitudes de servicio
- Supervisar el estado del servicio

Nota: el administrador del departamento de soporte técnico solo puede ayudar a usuarios que no son administradores y a usuarios que tienen asignados estos roles: Lector de directorios, Invitador de usuarios invitados, Administrador del departamento de soporte técnico, Lector del centro de mensajes y Lector de informes.
Administrador de licencias Asigne el rol de administrador de licencias a los usuarios que necesiten asignar y quitar licencias a usuarios y editar su ubicación de uso.

Los administradores de licencias también pueden:
- Volver a procesar asignaciones de licencia para licencias basadas en grupos
- Asignar licencias de producto a grupos de licencias basadas en grupos
Lector de privacidad del centro de mensajes Asigne el rol de lector de privacidad del Centro de mensajes a los usuarios que necesiten leer mensajes y actualizaciones de privacidad y seguridad en el Centro de mensajes de Microsoft 365. Los lectores de privacidad del centro de mensajes pueden recibir notificaciones por correo electrónico relacionadas con la privacidad de los datos, en función de sus preferencias, y pueden cancelar la suscripción mediante las preferencias del Centro de mensajes. Solo los administradores globales y los lectores de privacidad del Centro de mensajes pueden leer los mensajes de privacidad de datos. Este rol no tiene permiso para ver, crear o administrar solicitudes de servicio.

Los lectores de privacidad del centro de mensajes también pueden:
- Supervisar todas las notificaciones en el Centro de mensajes, incluidos los mensajes de privacidad de datos
- Ver grupos, dominios y suscripciones
Lector del Centro de mensajes Asigne el rol de Lector del Centro de mensajes a los usuarios que necesiten hacer lo siguiente:
- Supervisar las notificaciones del Centro de mensajes
- Obtener resúmenes semanales por correo electrónico de las publicaciones y actualizaciones del Centro de mensajes
- Compartir publicaciones del Centro de mensajes
- Tener acceso de solo lectura a servicios de Azure AD, como usuarios y grupos
Administrador de aplicaciones de Office Asigne el rol de administrador de aplicaciones de Office a los usuarios que necesiten hacer lo siguiente:
- Usar el servicio de directivas en la nube de Office para crear y administrar directivas basadas en la nube para Office
- Crear y administrar solicitudes de servicio
- Administrar el contenido de Novedades que los usuarios ven en sus aplicaciones de Office
- Supervisar el estado del servicio
Administrador de contraseñas Asigne el rol de administrador de contraseñas a un usuario que necesite restablecer las contraseñas de los no administradores y los administradores de contraseñas.
Administrador de Power Platform Asigne el rol de administrador de Power Platform a los usuarios que necesiten hacer lo siguiente:
- Administrar todas las características de administración de Power Apps, Power Automate y prevención de pérdida de datos de Microsoft Purview
- Crear y administrar solicitudes de servicio
- Supervisar el estado del servicio
Lector de informes Asigne el rol de lector de informes a los usuarios que necesiten hacer lo siguiente:
- Ver datos de uso e informes de actividad en el Centro de administración de Microsoft 365
- Obtener acceso al paquete de contenido de adopción de Power BI
- Obtener acceso a los informes de inicio de sesión y a la actividad en Azure AD
- Ver datos devueltos por la API de informes de Microsoft Graph
Administrador de soporte técnico del servicio Asigne el rol de administrador de soporte técnico de servicio como un rol adicional a los administradores o usuarios que necesiten hacer, además de su rol de administrador habitual, lo siguiente:
- Abrir y administrar solicitudes de servicio
- Ver y compartir publicaciones del centro de mensajes
- Supervisar el estado del servicio
Administrador de SharePoint Asigne el rol de administrador de SharePoint a los usuarios que necesiten acceder y administrar el centro de administración de SharePoint Online.

Los administradores de SharePoint también pueden:
- Crear y eliminar sitios
- Administrar colecciones de sitios y la configuración global de SharePoint
Administrador de Teams Asigne el rol de administrador de Teams a los usuarios que necesiten acceder y administrar el Centro de administración de Teams.

El administrador de Teams también puede:
- Administrar reuniones
- Administrar puentes de conferencia
- Administrar la configuración de toda la organización, incluida la federación, la actualización de equipos y la configuración de cliente de equipos
Administrador de usuarios Asigne el rol de administrador de usuarios a los usuarios que necesiten hacer lo siguiente para todos los usuarios:
- Agregar usuarios y grupos
- Asignar licencias
- Administrar las propiedades de la mayoría de los usuarios
- Crear y administrar vistas de usuarios
- Actualizar las directivas de expiración de contraseña
- Administrar solicitudes de servicio
- Supervisar el estado del servicio

El administrador de usuario también puede realizar las siguientes acciones para los usuarios que no sean administradores y para los usuarios que tengan asignados los siguientes roles: Lector de directorios, Invitador de usuarios invitados, Administrador del departamento de soporte técnico, Lector del centro de mensajes y Lector de informes:
- Administrar nombres de usuario
- Eliminar y restaurar usuarios
- Restablecer contraseñas
- Forzar a los usuarios a cerrar sesión
- Actualizar claves de dispositivo (FIDO)

Administración delegada para Microsoft Partners

Si está trabajando con un asociado de Microsoft, puede asignarles roles de administrador. Por su parte, los partners pueden asignar roles de administrador a los usuarios en sus propias empresas o bien en la suya. Es posible que quiera que lo hagan, por ejemplo, si están configurando y administrando su organización en línea por usted.

Un partner puede asignar estos roles:

  • Agente de administración Privilegios equivalentes a un administrador global, excepto para administrar la autenticación multifactor mediante el Centro de partners.

  • Agente del departamento de soporte técnico Tiene privilegios equivalentes a los de un administrador del departamento de soporte técnico.

Antes de que el partner pueda asignar estos roles a los usuarios, tendrá que agregar al partner como administrador delegado a su cuenta. Este proceso lo iniciará el partner autorizado. Le enviará un correo electrónico para preguntarle si quiere concederle permiso para actuar como administrador delegado. Para obtener instrucciones, consulte Autorizar o quitar relaciones de partner.

Asignar roles de administrador (artículo)
Roles de Azure AD en el Centro de administración de Microsoft 365 (artículo)
Informes de actividad del Centro de administración de Microsoft 365 (artículo)
Rol de administrador de Exchange Online (artículo)