Roles con privilegios mínimos por tarea en Microsoft Entra ID
En este artículo, puede encontrar la información necesaria para restringir los permisos de administrador de un usuario mediante la asignación de roles con privilegios mínimos en Microsoft Entra ID. Encontrará las tareas organizadas por área de características y el rol con privilegios mínimos necesario para realizar cada tarea, junto con roles de administrador no global que pueden realizar la tarea.
Puede restringir aún más los permisos mediante la asignación de roles en ámbitos más pequeños o mediante la creación de sus propios roles personalizados. Para obtener más información, consulte Asignación de roles de Microsoft Entra en diferentes ámbitos o Creación y asignación de un rol personalizado en Microsoft Entra ID.
Application Proxy
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar aplicación de Application Proxy | Administrador de aplicaciones | |
| Configurar propiedades del grupo de conectores | Administrador de aplicaciones | |
| Crear registro de aplicación cuando se deshabilita la capacidad para todos los usuarios | Desarrollador de aplicaciones | Administrador de aplicaciones en la nube Administrador de aplicaciones |
| Crear grupo de conectores | Administrador de aplicaciones | |
| Eliminar grupo de conectores | Administrador de aplicaciones | |
| Deshabilitar el proxy de aplicación | Administrador de aplicaciones | |
| Descargar servicio de conector | Administrador de aplicaciones | |
| Leer toda la configuración | Administrador de aplicaciones |
Identidades externas o B2C
Nota
Los administradores globales de Azure AD B2C no tienen los mismos permisos que los administradores globales de Microsoft Entra. Si tiene privilegios de administrador global de Azure AD B2C, asegúrese de que se encuentra en un directorio de Azure AD B2C y no en un directorio de Microsoft Entra.
Personalización de marca de empresa
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configuración de la personalización de marca de empresa | Administrador de personalización de marca de la organización | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Conexión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación transferida | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Sincronización de conexión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar la sincronización de directorios en el entorno local | Administrador de identidades híbridas |
Aprovisionamiento en la nube
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación transferida | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Estado de conexión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Agregar o eliminar servicios | Propietario | |
| Aplicar correcciones de errores de sincronización | Colaborador | Propietario |
| Configurar notificaciones | Colaborador | Propietario |
| Definir configuración | Propietario | |
| Configurar notificaciones de sincronización | Colaborador | Propietario |
| Leer informes de seguridad de ADFS | Lector de seguridad | Colaborador Propietario |
| Leer toda la configuración | Lector | Colaborador Propietario |
| Leer errores de sincronización | Lector | Colaborador Propietario |
| Leer servicios de sincronización | Lector | Colaborador Propietario |
| Ver métricas y alertas | Lector | Colaborador Propietario |
| Ver métricas y alertas | Lector | Colaborador Propietario |
| Ver métricas y alertas del servicio de sincronización | Lector | Colaborador Propietario |
Nombres de dominio personalizados
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar dominios | Administrador de nombres de dominio | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Servicios de dominio
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear una instancia de Microsoft Entra Domain Services | Administrador de aplicaciones Administrador de grupos Colaborador de Domain Services |
|
| Realizar todas las tareas de Microsoft Entra Domain Services | Grupo de administradores del controlador de dominio de AAD | |
| Leer toda la configuración | Lector en la suscripción de Azure que contiene el servicio AD DS |
Dispositivos
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Deshabilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Habilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Leer configuración básica | Rol de usuario predeterminado | |
| Leer claves de BitLocker | Administrador de dispositivos en la nube | Administrador del departamento de soporte técnico Administrador de Intune Administrador de seguridad Lector de seguridad |
Aplicaciones empresariales
Administración de derechos
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Agregar recursos a un catálogo | Administrador de Identity Governance | Con la administración de derechos, esta tarea se puede delegar en el propietario del catálogo. |
| Agregar sitios de SharePoint Online al catálogo | Administrador de SharePoint |
Grupos
Licencias
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignar licencia | Administrador de licencias | Administrador de usuarios |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
| Revocar licencia | Administrador de licencias | Administrador de usuarios |
| Probar o comprar suscripción | Administrador de facturación |
Microsoft Entra Health
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Visualización de señales de supervisión de escenarios | Lector de informes | Lector de seguridad Operador de seguridad Administrador de seguridad Administrador del departamento de soporte técnico Lector global |
Microsoft Entra ID Protection
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar notificaciones de alerta | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de MFA | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de inicio de sesión | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de usuario | Administrador de seguridad | |
| Configurar resúmenes semanales | Administrador de seguridad | |
| Descartar todas las detecciones de riesgo | Administrador de seguridad | |
| Corregir o descartar vulnerabilidad | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer todas las detecciones de riesgo | Lector de seguridad | |
| Leer vulnerabilidades | Lector de seguridad |
Supervisión y mantenimiento: registros de auditoría
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de auditoría | Lector de informes | Lector de seguridad Administrador de seguridad |
Supervisión y mantenimiento: registros de inicio de sesión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de inicio de sesión | Lector de informes | Lector de seguridad Administrador de seguridad Lector global |
Supervisión y mantenimiento: registros de aprovisionamiento
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de inicio de sesión | Lector de informes | Lector de seguridad Administrador de seguridad Lector global Administrador de seguridad Operador de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube |
Supervisión y mantenimiento: recomendaciones
Autenticación multifactor
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados | Administrador de directivas de autenticación | Administrador de autenticación |
| Deshabilitación de MFA por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Habilitación de MFA por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Administrar la configuración del servicio MFA | Administrador de directivas de autenticación | |
| Requerir a los usuarios seleccionados que vuelvan a proporcionar métodos de contacto | Administrador de autenticación | |
| Restaurar la autenticación multifactor en todos los dispositivos recordados | Administrador de autenticación |
Servidor de MFA
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Bloquear y desbloquear usuarios | Administrador de directivas de autenticación | |
| Configurar bloqueo de cuentas | Administrador de directivas de autenticación | |
| Configurar reglas de caché | Administrador de directivas de autenticación | |
| Configurar alerta de fraude | Administrador de directivas de autenticación | |
| Configurar notificaciones | Administrador de directivas de autenticación | |
| Configurar omisión por única vez | Administrador de directivas de autenticación | |
| Definir configuración de la llamada de teléfono | Administrador de directivas de autenticación | |
| Configurar proveedores | Administrador de directivas de autenticación | |
| Definir configuración del servidor | Administrador de directivas de autenticación | |
| Leer informe de actividades | Lector global | |
| Leer toda la configuración | Lector global | |
| Leer estado del servidor | Lector global |
Relaciones organizativas
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar proveedores de identidad | Administrador de proveedor de identidades externo | |
| Leer toda la configuración | Lector global |
Restablecer contraseña
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar métodos de autenticación | Administrador de directivas de autenticación | |
| Configurar personalización | Administrador de directivas de autenticación | |
| Configurar notificación | Administrador de directivas de autenticación | |
| Configurar integración en el entorno local | Administrador de directivas de autenticación | |
| Configurar propiedades de restablecimiento de contraseña | Administrador de usuarios | Administrador de directivas de autenticación |
| Configurar registro | Administrador de directivas de autenticación | |
| Leer toda la configuración | Administrador de seguridad | Administrador de usuarios |
Administración de permisos
¿Qué es Administración de permisos de Microsoft Entra?
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Incorporación de inquilinos | Administrador de la administración de permisos | |
| Incorporar entornos en la nube | Administrador de la administración de permisos | |
| Asignar permisos en Administración de permisos de Microsoft Entra | Administrador de la administración de permisos | |
| Iniciar la prueba y comprar licencias de Administración de permisos de Microsoft Entra | Administrador de facturación |
Privileged Identity Management
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignar usuarios a roles | Administrador de roles con privilegios | |
| Definir configuración de los roles | Administrador de roles con privilegios | |
| Ver actividad de auditoría | Lector de seguridad | |
| Ver pertenencias a roles | Lector de seguridad |
Roles y administradores
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar asignaciones de roles | Administrador de roles con privilegios | |
| Leer la revisión de acceso de un rol de Microsoft Entra | Lector de seguridad | Administrador de seguridad Administrador de roles con privilegios |
| Leer toda la configuración | Rol de usuario predeterminado |
Seguridad: métodos de autenticación
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Habilitar o deshabilitar métodos de autenticación | Administrador de directivas de autenticación | |
| Ver, aprovisionar en nombre de y administrar métodos de autenticación de usuario individuales | Administrador de autenticación | Administrador de autenticación con privilegios |
| Configurar protección con contraseña | Administrador de seguridad | |
| Configurar bloqueo inteligente | Administrador de seguridad | |
| Leer toda la configuración | Lector global |
Seguridad: acceso condicional
Seguridad: puntuación de seguridad de la identidad
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | Administrador de seguridad |
| Leer puntuación de seguridad | Lector de seguridad | Administrador de seguridad |
| Actualizar estado del evento | Administrador de seguridad |
Seguridad: inicios de sesión de riesgo
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | |
| Leer inicios de sesión de riesgo | Lector de seguridad |
Seguridad: usuarios marcados en riesgo
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Descartar todos los eventos | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer usuarios marcados en riesgo | Lector de seguridad |
Pase de acceso temporal
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear, eliminar o visualizar un pase de acceso temporal para administradores o miembros (excepto para ellos mismos) | Administrador de autenticación con privilegios | |
| Crear, eliminar o visualizar un pase de acceso temporal para miembros (excepto para ellos mismos) | Administrador de autenticación | |
| Ver los detalles de un pase de acceso temporal para un usuario (sin leer el código) | Lector global | |
| Configurar o actualizar la directiva del método de autenticación del pase de acceso temporal | Administrador de directivas de autenticación |
Inquilino
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear inquilino de Microsoft Entra ID o Azure AD B2C | Creador de inquilinos | |
| Actualizar las propiedades del inquilino de Microsoft Entra | Administrador de facturación | |
| Administración de la declaración de privacidad y el contacto | Administrador de facturación |