Roles con privilegios mínimos por tarea en Microsoft Entra ID
En este artículo se describe el rol con privilegios mínimos que debe usar para varias tareas de Microsoft Entra ID. Encontrará las tareas organizadas por área de características y el rol con privilegios mínimos necesario para realizar cada tarea, junto con roles de administrador no global que pueden realizar la tarea.
Puede restringir aún más los permisos mediante la asignación de roles en ámbitos más pequeños o mediante la creación de sus propios roles personalizados. Para obtener más información, vea Asignar roles de Microsoft Entra o Crear un rol personalizado en microsoft Entra ID.
Roles con privilegios mínimos del proxy de aplicación
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en proxy de aplicación de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar aplicación de proxy de aplicación | Administrador de aplicaciones | |
| Configurar propiedades del grupo de conectores | Administrador de aplicaciones | |
| Crear registro de aplicación cuando se deshabilita la capacidad para todos los usuarios | Desarrollador de aplicaciones |
Administrador de aplicaciones en la nube Administrador de aplicaciones |
| Crear grupo de conectores | Administrador de aplicaciones | |
| Eliminar grupo de conectores | Administrador de aplicaciones | |
| Deshabilitar el proxy de aplicación | Administrador de aplicaciones | |
| Descargar servicio de conector | Administrador de aplicaciones | |
| Leer toda la configuración | Administrador de aplicaciones |
Identidades externas/roles con privilegios mínimos de Azure AD B2C
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en identificador externo de Microsoft Entra y azure Active Directory B2C.
Nota:
Los administradores globales de Azure AD B2C no tienen los mismos permisos que los administradores globales de Microsoft Entra. Si tiene privilegios de administrador global de Azure AD B2C, asegúrese de que se encuentra en un directorio Azure AD B2C y no en un directorio Microsoft Entra.
Roles con privilegios mínimos de personalización de marca de empresa
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para personalización de marca de la empresa en el identificador de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configuración de la personalización de marca de la compañía | Administrador de personalización de marca de la organización | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Conexión de roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en Microsoft Entra Connect.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación de paso a través | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Conexión de roles con privilegios mínimos de Sincronización
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en Microsoft Entra Connect Sync.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administración de la sincronización de directorios local | Administrador de identidades híbridas |
Roles con privilegios mínimos de aprovisionamiento en la nube
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para aprovisionamiento de identidades en el identificador de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación de paso a través | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Roles con privilegios mínimos de Connect Health
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en Microsoft Entra Connect Health.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Agregar o eliminar servicios | Propietario | |
| Aplicar correcciones de errores de sincronización | Colaborador | Propietario |
| Configuración de notificaciones | Colaborador | Propietario |
| Definición de configuración | Propietario | |
| Configurar notificaciones de sincronización | Colaborador | Propietario |
| Leer informes de seguridad de ADFS | Lector de seguridad |
Colaborador Propietario |
| Leer toda la configuración | Lector |
Colaborador Propietario |
| Leer errores de sincronización | Lector |
Colaborador Propietario |
| Leer servicios de sincronización | Lector |
Colaborador Propietario |
| Ver métricas y alertas | Lector |
Colaborador Propietario |
| Ver métricas y alertas | Lector |
Colaborador Propietario |
| Ver métricas y alertas del servicio de sincronización | Lector |
Colaborador Propietario |
Nombres de dominio personalizados roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para nombres de dominio personalizados en el id. de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar dominios | Administrador de nombres de dominio | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Roles con privilegios mínimos de Domain Services
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en Microsoft Entra Domain Services.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de una instancia de servicios de dominio de Microsoft Entra |
Administrador de aplicaciones Administrador de grupos Colaborador de Domain Services |
|
| Realizar todas las tareas de los servicios de dominio de Microsoft Entra | Grupo de administradores del controlador de dominio de AAD | |
| Leer toda la configuración | Lector en la suscripción de Azure que contiene el servicio AD DS |
Dispositivos roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para identidad de dispositivo en el id. de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar un dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Deshabilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Habilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Leer configuración básica | Rol de usuario predeterminado | |
| Leer claves de BitLocker | Administrador de dispositivos en la nube |
Administrador del departamento de soporte técnico Administrador de Intune Administrador de seguridad Lector de seguridad |
Roles con privilegios mínimos de aplicaciones empresariales
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para administración de aplicaciones en el id. de Microsoft Entra.
Roles con privilegios mínimos de administración de derechos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para administración de derechos en Gobernanza de identificadores de Entra de Microsoft.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Tareas en la administración de derechos | administrador de Identity Governance. Para ver los roles menos privados que esto dentro del sistema de administración de derechos, consulte: Delegación y roles en la administración de derechos. |
Grupos de roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para grupos en el id. de Microsoft Entra.
Licencias de roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para licencias de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignación de la licencia | Administrador de licencias | Administrador de usuarios |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
| Revocar licencia | Administrador de licencias | Administrador de usuarios |
| Probar o comprar suscripción | Administrador de facturación |
Flujos de trabajo de ciclo de vida roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para flujos de trabajo de ciclo de vida en gobernanza de identificadores de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de un flujo de trabajo | administrador de flujos de trabajo del ciclo de vida de |
|
| Adición de una extensión personalizada a un flujo de trabajo | flujos de trabajo del ciclo de vida de Administrador. También debe tener el colaborador de Logic App o rol propietario Azure Resource Manager. |
Roles con privilegios mínimos de Microsoft Entra Health
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en supervisión de Estado de Entra de Microsoft.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Visualización de señales de supervisión de escenarios | Lector de informes |
Lector de seguridad Operador de seguridad Administrador de seguridad Administrador del departamento de soporte técnico Lector global |
Roles con privilegios mínimos de Microsoft Entra ID Protection
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en Protección contra identificadores de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar notificaciones de alerta | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de MFA | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de inicio de sesión | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de usuario | Administrador de seguridad | |
| Configurar resúmenes semanales | Administrador de seguridad | |
| Descartar todas las detecciones de riesgo | Operador de seguridad | |
| Corregir o descartar vulnerabilidad | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer todas las detecciones de riesgo | Lector de seguridad | |
| Leer vulnerabilidades | Lector de seguridad |
Supervisión y mantenimiento: auditar e iniciar sesión registra roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para los registros de auditoría e inicio de sesión en supervisión de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de auditoría | Lector de informes |
Administrador de aplicaciones Administrador de aplicaciones en la nube Administrador de dispositivos en la nube Administrador de Acceso seguro global Administrador de identidades híbridas Administrador de seguridad Operador de seguridad Lector de seguridad |
Supervisión y mantenimiento: aprovisionamiento de registros de roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para aprovisionar registros en supervisión de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de inicio de sesión | Lector de informes |
Administrador de aplicaciones Administrador de aplicaciones en la nube Administrador de dispositivos en la nube Administrador de identidades híbridas Administrador de seguridad Operador de seguridad Lector de seguridad |
Supervisión y mantenimiento: recomendaciones sobre roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para recomendaciones de identidad en supervisión de Microsoft Entra.
Roles con privilegios mínimos de autenticación multifactor
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en autenticación de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados | Administrador de directivas de autenticación | Administrador de autenticación |
| Deshabilitar la autenticación multifactor por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Habilitación de Multi-Factor Authentication por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Administrar la configuración del servicio MFA | Administrador de directivas de autenticación | |
| Requerir a los usuarios seleccionados que vuelvan a proporcionar métodos de contacto | Administrador de autenticación | |
| Restauración de la autenticación multifactor en todos los dispositivos recordados | Administrador de autenticación |
Roles con privilegios mínimos del servidor MFA
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en servidor MFA.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Bloqueo y desbloqueo de usuarios | Administrador de directivas de autenticación | |
| Configurar bloqueo de cuentas | Administrador de directivas de autenticación | |
| Configurar reglas de caché | Administrador de directivas de autenticación | |
| Configurar alerta de fraude | Administrador de directivas de autenticación | |
| Configuración de notificaciones | Administrador de directivas de autenticación | |
| Configurar la omisión por única vez | Administrador de directivas de autenticación | |
| Configurar la configuración de la llamada de teléfono | Administrador de directivas de autenticación | |
| Configurar proveedores | Administrador de directivas de autenticación | |
| Configuración del servidor | Administrador de directivas de autenticación | |
| Leer informe de actividades | Lector global | |
| Leer toda la configuración | Lector global | |
| Leer estado del servidor | Lector global |
Relaciones organizativas con menos privilegios
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para configuración de colaboración externa en el identificador externo de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar proveedores de identidad | Administrador de proveedor de identidades externo | |
| Leer toda la configuración | Lector global |
Roles con privilegios mínimos de restablecimiento de contraseña
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para restablecimiento de contraseña en el id. de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar métodos de autenticación | Administrador de directivas de autenticación | |
| Configurar personalización | Administrador de directivas de autenticación | |
| Configurar notificación | Administrador de directivas de autenticación | |
| Configurar integración local | Administrador de directivas de autenticación | |
| Configurar las propiedades de restablecimiento de contraseña | Administrador de usuarios | Administrador de directivas de autenticación |
| Configurar registro | Administrador de directivas de autenticación | |
| Leer toda la configuración | Administrador de seguridad | Administrador de usuarios |
Roles con privilegios mínimos de administración de permisos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en Administración de permisos de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Incorporación de inquilinos | Administrador de la administración de permisos | |
| Incorporación de entornos en la nube | Administrador de la administración de permisos | |
| Asignación de permisos en Administración de permisos de Microsoft Entra | Administrador de la administración de permisos | |
| Inicio de la prueba y compra de licencias de Administración de permisos de Microsoft Entra | Administrador de facturación |
Roles con privilegios mínimos de Privileged Identity Management
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para Microsoft Entra Privileged Identity Management en gobernanza de identificadores de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignación de usuarios a roles | Administrador de roles con privilegios | |
| Configuración de los roles | Administrador de roles con privilegios | |
| Ver actividad de auditoría | Lector de seguridad | |
| Ver pertenencias a roles | Lector de seguridad |
Roles y administradores con menos privilegios
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para roles y administradores en el id. de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administración de asignaciones de roles | Administrador de roles con privilegios | |
| Revisión de acceso de lectura de un rol de Microsoft Entra | Lector de seguridad |
Administrador de seguridad Administrador de roles con privilegios |
| Leer toda la configuración | Rol de usuario predeterminado |
Seguridad: métodos de autenticación con roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para métodos de autenticación en el id. de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Habilitación o deshabilitación de métodos de autenticación | Administrador de directivas de autenticación | |
| Visualización, aprovisionamiento en nombre de y administración de métodos de autenticación de usuario individuales | Administrador de autenticación | Administrador de autenticación con privilegios |
| Configuración de la protección con contraseña | Administrador de seguridad | |
| Configuración del bloqueo inteligente | Administrador de seguridad | |
| Leer toda la configuración | Lector global |
Seguridad: roles con privilegios mínimos de acceso condicional
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para acceso condicional en el id. de Microsoft Entra.
Seguridad: puntuación de seguridad de identidades: roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para puntuación de seguridad de identidad en el identificador de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | Administrador de seguridad |
| Leer puntuación de seguridad | Lector de seguridad | Administrador de seguridad |
| Actualizar estado del evento | Administrador de seguridad |
Seguridad: inicios de sesión de riesgo con roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para inicios de sesión de riesgo en Protección contra identificadores de Entra de Microsoft.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | |
| Leer inicios de sesión de riesgo | Lector de seguridad |
Seguridad: los usuarios marcados para roles con privilegios mínimos de riesgo
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para usuarios marcados por riesgo en Protección contra identificadores de Entra de Microsoft.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Descartar todos los eventos | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer usuarios marcados en riesgo | Lector de seguridad |
Acceso temporal Pasar roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para pase de acceso temporal en el id. de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear, eliminar o visualizar un Pase de acceso temporal para administradores o miembros (excepto para ellos mismos) | Administrador de autenticación con privilegios | |
| Crear, eliminar o visualizar un Pase de acceso temporal para los miembros (excepto para ellos mismos) | Administrador de autenticación | |
| Ver los detalles de un Pase de acceso temporal para un usuario (sin leer el código) | Lector global | |
| Configurar o actualizar la directiva del método de autenticación del Pase de acceso temporal | Administrador de directivas de autenticación |
Roles con privilegios mínimos de inquilinos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas en inquilinos de Microsoft Entra.
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de Microsoft Entra ID o del inquilino Azure AD B2C | Creador de inquilinos | |
| Actualización de las propiedades del inquilino de Microsoft Entra | Administrador de facturación | |
| Administración de la declaración de privacidad y el contacto | Administrador de facturación |
Usuarios roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para usuarios en el id. de Microsoft Entra.
Compatibilidad con roles con privilegios mínimos
Estos son los roles con privilegios mínimos que debe usar al realizar tareas para admitir en el id. de Microsoft Entra.
Pasos siguientes
- Asignar roles de Microsoft Entra
- Crear un rol personalizado en el de identificador de Microsoft Entra
- Roles integrados de Microsoft Entra