Administración de grupos de roles en Exchange Online

Un grupo de roles es un grupo de seguridad universal (USG) especial en el modelo de permisos de control de acceso basado en rol (RBAC) en Exchange Online. A los miembros del grupo de roles se les asigna el mismo conjunto de roles y se agregan y quitan permisos de los usuarios agregándolos o quitándolos del grupo de roles. Para obtener más información sobre los grupos de roles en Exchange Online, vea Permisos en Exchange Online.

Puede administrar grupos de roles en el Centro de administración de Exchange (EAC) y en Exchange Online PowerShell.

¿Qué necesita saber antes de empezar?

Uso del EAC para administrar grupos de roles

En el EAC de https://admin.exchange.microsoft.com, vaya aRoles de administradorde permisos>. O bien, para ir directamente a la página Roles de administrador , use https://admin.exchange.microsoft.com/#/adminRoles.

Uso del EAC para ver los grupos de roles y los detalles del grupo de roles

En la página Roles de administrador del EAC de https://admin.exchange.microsoft.com/#/adminRoles, se muestra la siguiente información para todos los grupos de roles integrados y de cliente:

  • Grupo de roles: nombre del grupo de roles.
  • Descripción

Para ordenar la lista de grupos de roles, seleccione en un encabezado de columna.

Para cambiar la lista de entradas de espaciado normal a compacto, seleccione Cambiar vista y, a continuación, seleccione Lista compacta.

Use el cuadro Buscar y un valor correspondiente para buscar grupos de roles específicos.

Para ver los detalles de un grupo de roles, seleccione el grupo de la lista haciendo clic en el nombre. El control flotante de detalles que se abre contiene las pestañas siguientes:

  • Pestaña General : esta pestaña contiene la siguiente información sobre el rol:

    • Nombre
    • Descripción: seleccione Editar conceptos básicos para cambiar el nombre.
    • Administrado por
    • Ámbito de escritura
  • Pestaña Asignada : esta pestaña muestra los usuarios que son miembros del rol. La pestaña tiene las mismas funciones Cambiar vista y Buscar que la vista de grupo de roles principal.

    Para modificar la pertenencia a grupos, consulte la sección .

Uso del EAC para crear grupos de roles

  1. En la página Roles de administrador del EAC de https://admin.exchange.microsoft.com/#/adminRoles, realice uno de los pasos siguientes:

    • Crear un nuevo grupo de roles: compruebe que no hay ningún grupo de roles seleccionado y, a continuación, seleccione Agregar grupo de roles.
    • Copiar un grupo de roles existente: seleccione el grupo de roles que desea copiar seleccionando la casilla de verificación redonda que aparece en el área en blanco situada junto a la columna nombre del grupo de roles y, a continuación, seleccione la acción Copiar grupo de roles que aparece**.

    Uno de estos pasos inicia el Asistente para la creación de roles como se describe en los pasos restantes.

  2. En la página Aspectos básicos, configure las siguientes opciones:

    • Nombre: escriba un nombre único para el grupo de roles.
    • Descripción: escriba una descripción opcional para el grupo de roles.
    • Ámbito de escritura: deje el valor predeterminado Predeterminado o seleccione un objeto de ámbito de escritura existente que creó anteriormente en PowerShell.

    Si va a copiar un grupo de roles, el valor predeterminado Nombre es Copiar el nombre> del grupo de < roles y se copia el valor descripción existente, pero puede cambiar estos valores.

    Cuando haya terminado en la página Aspectos básicos , seleccione Siguiente.

  3. En la página Permiso , seleccione los roles que se van a asignar al grupo de roles; para ello, active la casilla situada junto a la columna Rol .

    Para ordenar los roles, seleccione en un encabezado de columna:

    • Rol
    • Descripción
    • Ámbito de destinatario predeterminado
    • Ámbito de configuración predeterminado

    Para cambiar la lista de entradas de espaciado normal a compacto, seleccione Cambiar vista y, a continuación, seleccione Lista compacta.

    Use el cuadro Buscar y un valor correspondiente para buscar un grupo de roles específico.

    Si va a copiar un grupo de roles, los permisos del grupo de roles original ya están seleccionados, pero puede cambiarlos.

    Cuando haya terminado en la página Permiso , seleccione Siguiente.

  4. En la página Administradores , seleccione los usuarios que se van a agregar al grupo de roles.

    Haga clic en el cuadro para ver todas las cuentas y grupos de roles aptos entre los que seleccionar, o empiece a escribir un nombre o un nombre para mostrar para filtrar los resultados.

    Si va a copiar un grupo de roles, los miembros del grupo de roles original ya están seleccionados, pero puede cambiarlos.

    Para quitar usuarios del grupo, seleccione Quitar en la entrada.

    Cuando haya terminado en la página Administradores , seleccione Siguiente.

  5. En la página Revisar y finalizar , compruebe las selecciones.

    Use los vínculos Editar de cada sección para cambiar el valor o use el botón Atrás .

    Cuando haya terminado en la página Revisar y finalizar , seleccione Agregar grupo de roles o Copiar grupo de roles para crear el grupo de roles.

Uso del EAC para modificar grupos de roles

Sugerencia

No se puede cambiar el nombre ni la descripción de un grupo de roles integrado.

No cambie los roles asignados a grupos de roles integrados. Copie el grupo de roles existente y modifique la copia o cree un grupo de roles personalizado en su lugar.

  1. En la página Roles de administrador del EAC de https://admin.exchange.microsoft.com/#/adminRoles, seleccione un grupo de roles haciendo clic en el nombre del grupo de roles.

  2. En el control flotante de detalles que se abre, configure una o varias de las opciones siguientes:

    • Pestaña General: seleccione Editar conceptos básicos para cambiar el nombre o la descripción del grupo en el control flotante que se abre y, a continuación, seleccione Guardar.

    • Pestaña Asignada : cambie la pertenencia al grupo de roles:

      • Agregar miembros: seleccione Agregar. En el control flotante Agregar administradores que se abre, haga clic en el cuadro para ver todas las cuentas y grupos de roles aptos desde los que seleccionar, o empiece a escribir un nombre o un nombre para mostrar para filtrar los resultados. Seleccione el usuario haciendo clic en la entrada debajo del cuadro y, a continuación, seleccione Agregar.

      • Quitar miembros: active la casilla situada junto a uno o varios miembros existentes en la lista y, a continuación, seleccione la acción Eliminar que aparece y, a continuación, seleccione Sí, quitar en el cuadro de diálogo de confirmación.

    • Pestaña Permiso : active la casilla situada junto a la columna Rol para seleccionar los roles que se van a asignar al grupo de roles.

      Para ordenar los roles, seleccione en un encabezado de columna:

      • Rol
      • Ámbito de destinatario predeterminado
      • Ámbito de configuración predeterminado

      Para cambiar la lista de entradas de espaciado normal a compacto, seleccione Cambiar vista y, a continuación, seleccione Lista compacta.

      Use el cuadro Buscar y un valor correspondiente para buscar un grupo de roles específico.

      Cuando haya terminado en la pestaña, seleccione Guardar.

    Sugerencia

    Puede que los usuarios tengan que cerrar la sesión e iniciarla de nuevo para ver los cambios en sus permisos administrativos después de agregar o quitar miembros de ese grupo de roles.

Uso del EAC para quitar grupos de roles

No puede quitar grupos de roles integrados, pero puede quitar grupos de roles personalizados.

  1. En la página Roles de administrador del EAC de https://admin.exchange.microsoft.com/#/adminRoles, seleccione el grupo de roles que desea quitar; para ello, active la casilla de verificación redonda que aparece en el área en blanco situada junto a la columna nombre del grupo de roles y, a continuación, seleccione la acción Eliminar que aparece.

  2. En el control flotante de confirmación que se abre, seleccione Confirmar.

Uso de Exchange Online PowerShell para administrar grupos de roles

Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.

Uso de Exchange Online PowerShell para ver grupos de roles

Para ver un grupo de roles, utilice la siguiente sintaxis:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

En este ejemplo se devuelve una lista de resumen de todos los grupos de roles.

Get-RoleGroup

En este ejemplo se devuelve información detallada del grupo de roles denominado Administradores de destinatarios.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

En este ejemplo se devuelven todos los grupos de roles en los que el usuario Julia es miembro. Debe usar el valor de DistinguishedName (DN) para Julia, que puede encontrar mediante la ejecución del comando : Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Get-RoleGroup.

Uso de Exchange Online PowerShell para crear grupos de roles

Para crear un nuevo grupo de roles, use la sintaxis siguiente:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"
  • El parámetro Roles especifica los roles de administración que se van a asignar al grupo de roles mediante la sintaxis "Role1","Role1",..."RoleN"siguiente. Puede ver los roles disponibles con el cmdlet Get-ManagementRole.
  • El parámetro Members especifica los miembros del grupo de roles mediante la sintaxis siguiente: "Member1","Member2",..."MemberN". Puede especificar usuarios, grupos de seguridad universales habilitados para correo (USG) u otros grupos de roles (entidades de seguridad).
  • El parámetro ManagedBy especifica los delegados que pueden modificar y quitar el grupo de roles mediante la sintaxis siguiente: "Delegate1","Delegate2",..."DelegateN". Esta configuración no está disponible en el EAC.
  • El parámetro CustomRecipientWriteScope especifica el ámbito de escritura del destinatario personalizado existente que se va a aplicar al grupo de roles. Puede ver los ámbitos de escritura de destinatario personalizado disponibles mediante el cmdlet Get-ManagementScope.

En este ejemplo se crea un nuevo grupo de roles denominado "Administración limitada de destinatarios" con la siguiente configuración:

  • Los roles Destinatarios de correo y Carpetas públicas habilitadas para correo se asignan al grupo de roles.
  • Los usuarios Kim y Martin se agregan como miembros. Dado que no se especificó ningún ámbito de escritura de destinatario personalizado, Kim y Martin pueden administrar cualquier destinatario de la organización.
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

En este ejemplo se usa un ámbito de escritura de destinatario personalizado, lo que significa que Kim y Martin solo pueden administrar los destinatarios que se incluyen en el ámbito Destinatarios de Seattle (destinatarios que tienen su propiedad City establecida en el valor Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Para obtener información detallada sobre la sintaxis y los parámetros, New-RoleGroup.

Uso de Exchange Online PowerShell para copiar grupos de roles

  1. Almacene el grupo de roles que desee copiar en una variable mediante la siguiente sintaxis:

    $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
    
  2. Cree el nuevo grupo de roles con la sintaxis siguiente:

    New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
    
    • El parámetro Members especifica los miembros del grupo de roles mediante la sintaxis siguiente: "Member1","Member2",..."MemberN". Puede especificar usuarios, grupos de seguridad universales habilitados para correo (USG) u otros grupos de roles (entidades de seguridad).
    • El parámetro ManagedBy especifica los delegados que pueden modificar y quitar el grupo de roles mediante la sintaxis siguiente: "Delegate1","Delegate2",..."DelegateN". Esta configuración no está disponible en el EAC.
    • El parámetro CustomRecipientWriteScope especifica el ámbito de escritura del destinatario personalizado existente que se va a aplicar al grupo de roles. Puede ver los ámbitos de escritura de destinatario personalizado disponibles mediante el cmdlet Get-ManagementScope.

En este ejemplo se copia el grupo de roles Administración de la organización en el nuevo grupo de roles denominado "Administración limitada de la organización". Los miembros del grupo de roles son Isabelle, Carter y Lukas y los delegados del grupo de roles son Jenny y Katie.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

En este ejemplo se copia el grupo de roles Administración de la organización en el nuevo grupo de roles denominado Administración de organización de Vancouver con el ámbito de escritura de destinatario personalizado de destinatarios de usuarios de Vancouver.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Para obtener información detallada sobre la sintaxis y los parámetros, New-RoleGroup.

Uso de Exchange Online PowerShell para modificar la lista de miembros de grupos de roles

  • Los cmdlets Add-RoleGroupMember y Remove-RoleGroupMember agregan o quitan miembros individuales de uno en uno. El cmdlet Update-RoleGroupMember puede reemplazar o modificar la lista existente de miembros.
  • Los miembros de un grupo de roles pueden ser usuarios, grupos de seguridad universal (USG) habilitados para correo u otros grupos de roles (entidades de seguridad).

Para modificar los miembros de un grupo de roles, use la sintaxis siguiente:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>
  • Para reemplazar la lista existente de miembros por los valores especificados, use la sintaxis siguiente: "Member1","Member2",..."MemberN".
  • Para modificar de forma selectiva la lista existente de miembros, use la sintaxis siguiente: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

En este ejemplo se reemplazan todos los miembros actuales del grupo de roles del Departamento de soporte técnico por los usuarios especificados.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

En este ejemplo se agrega Daigoro Akai y se quita Valeria Barrio de la lista de miembros del grupo de roles del Departamento de soporte técnico.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obtener información detallada sobre la sintaxis y los parámetros, vea Update-RoleGroupMember.

Uso de Exchange Online PowerShell para agregar roles a grupos de roles personalizados (crear asignaciones de roles)

Para agregar roles a grupos de roles personalizados en Exchange Online PowerShell, cree asignaciones de roles de administración mediante la sintaxis siguiente:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]
  • El nombre de asignación de roles se crea automáticamente si no se especifica uno.
  • Si no usa el parámetro RecipientRelativeWriteScope , el ámbito de lectura implícito y el ámbito de escritura implícito del rol se aplican a la asignación de roles.
  • Si un ámbito predefinido cumple los requisitos empresariales, puede usar el parámetro RecipientRelativeWriteScope para aplicar el ámbito a la asignación de roles.
  • Para aplicar un ámbito de escritura de destinatario personalizado, use el parámetro CustomRecipientWriteScope .

Este ejemplo asigna la función de administración de reglas de transporte al grupo de función Compatibilidad con Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Este ejemplo asigna la función de seguimiento de mensajes al grupo de funciones Soporte corporativo y aplica el ámbito predefinido de organización.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Este ejemplo asigna la función de seguimiento de mensajes al grupo de funciones Administradores de destinatarios de Seattle y aplica el ámbito Destinatarios de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.

Uso de PowerShell de Exchange Online para quitar roles de grupos de roles personalizados (quitar asignaciones de roles)

Para quitar roles de grupos de roles personalizados en Exchange Online PowerShell, quite las asignaciones de roles de administración mediante la sintaxis siguiente:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment
  • Para quitar las asignaciones de roles normales que conceden permisos a los usuarios, use el valor $false del parámetro Deegating .
  • Para quitar las asignaciones de roles de delegación que permiten que el rol se asigne a otros usuarios, use el valor $true del parámetro Deegating .

En este ejemplo se quita el rol Grupos de distribución del grupo de roles Administradores de destinatarios de Seattle.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Remove-ManagementRoleAssignment.

Uso de Exchange Online PowerShell para modificar el ámbito de las asignaciones de roles en grupos de roles personalizados

El ámbito de escritura de una asignación de roles en un grupo de roles define los objetos en los que pueden trabajar los miembros del grupo de roles (por ejemplo, todos los usuarios o solo los usuarios cuya propiedad City tiene el valor Vancouver). Puede modificar el ámbito de escritura de los roles asignados a un grupo de roles personalizado para:

  • Ámbito implícito de los propios roles. Esto significa que no especificó ningún ámbito personalizado al crear el grupo de roles o que estableció el valor de todas las asignaciones de roles de un grupo de roles existente en el valor $null.
  • El mismo ámbito personalizado para todas las asignaciones de roles.
  • Ámbitos personalizados diferentes para cada asignación de roles individual.

Para establecer el ámbito en todas las asignaciones de roles de un grupo de roles al mismo tiempo, use la sintaxis siguiente:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

En este ejemplo se cambia el ámbito de destinatario de todas las asignaciones de roles del grupo de roles Administración de destinatarios de ventas a Empleados de ventas directas.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Para cambiar el ámbito de una asignación de roles individual entre un grupo de roles y un rol de administración, siga estos pasos:

  1. Reemplace <Role Group Name por> el nombre del grupo de roles y ejecute el siguiente comando para buscar los nombres de todas las asignaciones de roles en el grupo de roles:

    Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
    
  2. Busque el nombre de la asignación de roles que quiere cambiar. Use el nombre de la asignación de rol en el paso siguiente.

  3. Para establecer el ámbito en la asignación de roles individual, use la sintaxis siguiente:

    Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
    

    En este ejemplo se cambia el ámbito del destinatario de la asignación de roles denominada Administración de destinatarios de Correo Recipients_Sales a Todos los empleados de ventas.

    Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
    

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Set-ManagementRoleAssignment.

Uso de Exchange Online PowerShell para modificar la lista de delegados en grupos de roles

Los delegados del grupo de roles definen quién puede modificar y eliminar el grupo de roles. No se pueden administrar delegados de grupos de roles en el EAC.

Para modificar la lista de delegados de un grupo de roles, use la sintaxis siguiente:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>
  • Para reemplazar la lista existente de delegados por los valores especificados, use la sintaxis siguiente: "Delegate1","Delegate2",..."DelegateN".

  • Para modificar selectivamente la lista existente de delegados, use la sintaxis siguiente: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

En este ejemplo se reemplazan todos los delegados actuales del grupo de roles del Departamento de soporte técnico por los usuarios especificados.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

En este ejemplo se agrega Daigoro Akai y se quita Valeria Barrio de la lista de delegados del grupo de roles del Departamento de soporte técnico.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Set-RoleGroup.

Uso de Exchange Online PowerShell para quitar grupos de roles personalizados

No puede quitar grupos de roles integrados, pero puede quitar grupos de roles personalizados.

Para quitar un grupo de roles personalizado, use la sintaxis siguiente:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

En este ejemplo se quita el grupo de roles de administradores de capacitación.

Remove-RoleGroup -Identity "Training Administrators"

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Remove-RoleGroup.

¿Cómo saber si estos procedimientos han funcionado?

Para comprobar que ha creado, modificado o quitado correctamente un grupo de roles, siga estos pasos:

  • En el EAC, vaya a la página Roles de administrador en https://admin.exchange.microsoft.com/#/adminRolesy compruebe que el grupo de roles aparece (o no aparece). Seleccione el grupo de roles haciendo clic en el nombre y comprobando la configuración en el control flotante de detalles que se abre.

  • En Exchange Online PowerShell, reemplace <Nombre> del grupo de roles por el nombre del grupo de roles y ejecute el siguiente comando para comprobar que el grupo de roles existe (o no existe) y comprobar la configuración:

    Get-RoleGroup -Identity "<Role Group Name>" | Format-List