Descripción de los roles en Microsoft Entra ID

Hay unos 60 roles integrados de Microsoft Entra, que son roles con un conjunto fijo de permisos de rol. Para complementar los roles integrados, Microsoft Entra ID también admite roles personalizados. Usa roles personalizados para seleccionar los permisos de rol que desees. Por ejemplo, puedes crear uno para administrar determinados recursos de Microsoft Entra, como aplicaciones o entidades de servicio.

En este artículo se explica qué son los roles de Microsoft Entra y cómo se pueden usar.

Diferencias entre los roles de Microsoft Entra y los de Microsoft 365

Hay muchos servicios diferentes en Microsoft 365, como Microsoft Entra ID e Intune. Algunos de estos servicios tienen sus propios sistemas de control de acceso basado en rol, como:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Portal de Microsoft 365 Defender
  • Portal de cumplimiento
  • Administración de costes + facturación

Otros servicios como Teams, SharePoint y Managed Desktop, no tienen sistemas de control de acceso basados en rol independientes. Usan roles de Microsoft Entra para el acceso administrativo. Azure tiene su propio sistema de control de acceso basado en rol para los recursos de Azure, como las máquinas virtuales, que no es el mismo que los roles de Microsoft Entra.

Roles de Azure RBAC frente a roles Microsoft Entra

Cuando decimos sistema de control de acceso basado en roles separado, significa que hay un almacén de datos diferente donde se almacenan las definiciones de roles y las asignaciones de roles. Del mismo modo, se realizan controles de acceso en puntos definidos por distintas directivas. Para obtener más información, consulta Roles de los servicios de Microsoft y Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripciones clásicas.

Por qué algunos roles de Microsoft Entra son para otros servicios

Microsoft 365 tiene varios sistemas de control de acceso basado en rol que se han desarrollado de forma independiente con el tiempo, cada uno con su propio portal de servicios. Para que sea práctico administrar las identidades en Microsoft 365 desde el centro de administración de Microsoft Entra, se han agregado roles integrados de servicios específicos, cada uno de los cuales concede acceso administrativo a un servicio de Microsoft 365. Un ejemplo de esta incorporación es el rol Administrador de Exchange en Microsoft Entra ID. Este rol es equivalente al grupo de roles Administración de la organización en el sistema de control de acceso basado en rol de Exchange y administra todos los aspectos de Exchange. Del mismo modo, se ha agregado el rol Administrador de Intune, Administrador de Teams, Administrador de SharePoint, etc. Los roles específicos del servicio son una de las categorías de los roles integrados de Microsoft Entra que se tratan en la sección siguiente.

Categorías de roles de Microsoft Entra

Los roles integrados de Microsoft Entra se diferencian según el lugar en el que se usan, el cual se puede dividir en tres categorías generales.

  • Roles específicos de Microsoft Entra ID: estos roles conceden permisos para administrar recursos solo en Microsoft Entra. Por ejemplo, Administrador de usuarios, Administrador de aplicaciones, Administrador de grupos, todos conceden permisos para administrar recursos que residen en Microsoft Entra ID.
  • Roles específicos del servicio en Microsoft Entra ID: servicios de Microsoft como Microsoft 365 que definen roles en el Microsoft Entra ID para privilegios específicos del servicio para administrar todas las características del servicio. Por ejemplo, los roles Administrador de Exchange, Administrador de Intune, Administrador de SharePoint y Administrador de Teams pueden administrar características de sus servicios respectivos. El Administrador de Exchange administra los buzones de correo, el Administrador de Intune administra las directivas de dispositivo, el Administrador de SharePoint administra las colecciones de sitios, el Administrador de Teams administra la calidad de las llamadas, etc.
  • Roles entre servicios en Microsoft Entra ID: hay algunos roles que abarcan varios servicios. Tenemos dos roles globales: Administrador global y Lector global. Estos dos roles abarcan todos los servicios de Microsoft 365. Además, hay algunos roles relacionados con la seguridad, como el Administrador de seguridad y el Lector de seguridad, que conceden acceso a varios servicios de seguridad en Microsoft 365. Por ejemplo, con los roles de Administrador de seguridad en Microsoft Entra ID puede administrar el portal de Microsoft 365 Defender, la Protección contra amenazas avanzada de Microsoft Defender y aplicaciones de Microsoft Defender for Cloud. Del mismo modo, en el rol Administrador de cumplimiento puede administrar la configuración relacionada con el cumplimiento en el Portal de cumplimiento, Exchange, etc.

Las tres categorías de roles integrados de Microsoft Entra

La tabla siguiente se ofrece como ayuda para comprender estas categorías de rol. Las categorías tienen nombres asignados arbitrariamente y no pretenden incluir otras funcionalidades aparte de los permisos de rol de Microsoft Entra documentados.

Category Rol
Roles específicos de Microsoft Entra ID Administrador de aplicaciones
Desarrollador de aplicaciones
Administrador de autenticación
Administrador de conjuntos de claves B2C con IEF
Administrador de directivas B2C con IEF
Administrador de aplicaciones en la nube
Administrador de dispositivos en la nube
Administrador de acceso condicional
Administradores de dispositivos
Lectores de directorios
Cuentas de sincronización de directorios
Escritores de directorios
Administrador de flujos de usuarios con id. externo
Administrador de atributos de flujos de usuarios con id. externo
Administrador de proveedor de identidades externo
Administrador de grupos
Invitador de usuarios
Administrador del departamento de soporte técnico
Administrador de identidades híbridas
Administrador de licencias
Soporte para asociados de nivel 1
Soporte para asociados de nivel 2
Administrador de contraseñas
Administrador de autenticación con privilegios
Administrador de roles con privilegios
Lector de informes
Administrador de usuarios
Roles específicos del servicio de Microsoft Entra ID Administrador de Azure DevOps
Administrador de Azure Information Protection
Administrador de facturación
Administrador de servicios de CRM
Aprobador del acceso a la Caja de seguridad del cliente
Administrador de análisis de escritorio
Administrador de servicios de Exchange
Administrador de Insights
Coordinador de Insights de la empresa
Administrador de servicios de Intune
Administrador de Kaizala
Administrador de servicios de Lync
Lector de privacidad del Centro de mensajes
Lector del Centro de mensajes
Administrador de comercio moderno
Administrador de red
Administrador de aplicaciones de Office
Administrador de servicios de Power BI
Administrador de Power Platform
Administrador de impresoras
Técnico de impresoras
Administrador de búsqueda
Editor de búsqueda
Administrador de servicios de SharePoint
Administrador de comunicaciones de Teams
Ingeniero de soporte técnico de comunicaciones de Teams
Especialista de soporte técnico de comunicaciones de Teams
Administrador de dispositivos de Teams
Administrador de Teams
Roles entre servicios en Microsoft Entra ID Administrador de cumplimiento
Administrador de datos de cumplimiento
Lector global
Administrador de seguridad
Operador de seguridad
Lector de seguridad
Administrador del soporte técnico del servicio

Pasos siguientes