Roles con privilegios mínimos por tarea en Microsoft Entra ID
En este artículo, puede encontrar la información necesaria para restringir los permisos de administrador de un usuario mediante la asignación de roles con privilegios mínimos en Microsoft Entra ID. Encontrará las tareas organizadas por área de características y el rol con privilegios mínimos necesario para realizar cada tarea, junto con roles de administrador no global que pueden realizar la tarea.
Puede restringir aún más los permisos mediante la asignación de roles en ámbitos más pequeños o mediante la creación de sus propios roles personalizados. Para obtener más información, consulte Asignación de roles de Microsoft Entra en diferentes ámbitos o Creación y asignación un rol personalizado en Microsoft Entra ID.
Proxy de aplicación
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar aplicación de proxy de aplicación | Administrador de aplicaciones | |
| Configurar propiedades del grupo de conectores | Administrador de aplicaciones | |
| Crear registro de aplicación cuando se deshabilita la capacidad para todos los usuarios | Desarrollador de aplicaciones |
Administrador de aplicaciones en la nube Administrador de aplicaciones |
| Crear grupo de conectores | Administrador de aplicaciones | |
| Eliminar grupo de conectores | Administrador de aplicaciones | |
| Deshabilitar el proxy de aplicación | Administrador de aplicaciones | |
| Descargar servicio de conector | Administrador de aplicaciones | |
| Leer toda la configuración | Administrador de aplicaciones |
Identidades externas o B2C
Nota:
Los administradores globales de Azure AD B2C no tienen los mismos permisos que los administradores globales de Microsoft Entra. Si tiene privilegios de administrador global de Azure AD B2C, asegúrese de que se encuentra en un directorio Azure AD B2C y no en un directorio Microsoft Entra.
Personalización de marca de empresa
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configuración de la personalización de marca de la compañía | Administrador de personalización de marca de la organización | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Conexión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación de paso a través | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Azure AD Connect
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administración de la sincronización de directorios local | Administrador de identidades híbridas |
Aprovisionamiento en la nube
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Autenticación de paso a través | Administrador de identidades híbridas | |
| Leer toda la configuración | Lector global | Administrador de identidades híbridas |
| Inicio de sesión único de conexión directa | Administrador de identidades híbridas |
Connect Health
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Agregar o eliminar servicios | Propietario | |
| Aplicar correcciones de errores de sincronización | Colaborador | Propietario |
| Configuración de notificaciones | Colaborador | Propietario |
| Definición de configuración | Propietario | |
| Configurar notificaciones de sincronización | Colaborador | Propietario |
| Leer informes de seguridad de ADFS | Lector de seguridad |
Colaborador Propietario |
| Leer toda la configuración | Lector |
Colaborador Propietario |
| Leer errores de sincronización | Lector |
Colaborador Propietario |
| Leer servicios de sincronización | Lector |
Colaborador Propietario |
| Ver métricas y alertas | Lector |
Colaborador Propietario |
| Ver métricas y alertas | Lector |
Colaborador Propietario |
| Ver métricas y alertas del servicio de sincronización | Lector |
Colaborador Propietario |
Nombres de dominio personalizados
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar dominios | Administrador de nombres de dominio | |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
Servicios de dominio
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de una instancia de servicios de dominio de Microsoft Entra |
Administrador de aplicaciones Administrador de grupos Colaborador de Domain Services |
|
| Realizar todas las tareas de los servicios de dominio de Microsoft Entra | Grupo de administradores del controlador de dominio de AAD | |
| Leer toda la configuración | Lector en la suscripción de Azure que contiene el servicio AD DS |
Dispositivos
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar un dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Deshabilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Habilitar dispositivo | Administrador de dispositivos en la nube | Administrador de Intune |
| Leer configuración básica | Rol de usuario predeterminado | |
| Leer claves de BitLocker | Administrador de dispositivos en la nube |
Administrador del departamento de soporte técnico Administrador de Intune Administrador de seguridad Lector de seguridad |
Aplicaciones empresariales
Administración de derechos
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Adición de recursos a un catálogo | Administrador de Identity Governance | Con la administración de derechos, esta tarea se puede delegar en el propietario del catálogo. |
| Adición de sitios de SharePoint Online al catálogo | Administrador de SharePoint |
Grupos
Licencias
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignación de la licencia | Administrador de licencias | Administrador de usuarios |
| Leer toda la configuración | Lectores de directorio | Rol de usuario predeterminado |
| Revocar licencia | Administrador de licencias | Administrador de usuarios |
| Probar o comprar suscripción | Administrador de facturación |
Microsoft Entra Health
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Visualización de señales de supervisión de escenarios | Lector de informes |
Lector de seguridad Operador de seguridad Administrador de seguridad Administrador del departamento de soporte técnico Lector global |
Protección de Microsoft Entra ID
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar notificaciones de alerta | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de MFA | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de inicio de sesión | Administrador de seguridad | |
| Configurar y habilitar o deshabilitar la directiva de riesgo de usuario | Administrador de seguridad | |
| Configurar resúmenes semanales | Administrador de seguridad | |
| Descartar todas las detecciones de riesgo | Operador de seguridad | |
| Corregir o descartar vulnerabilidad | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer todas las detecciones de riesgo | Lector de seguridad | |
| Leer vulnerabilidades | Lector de seguridad |
Supervisión y mantenimiento: registros de auditoría e inicio de sesión
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de auditoría | Lector de informes |
Administrador de aplicaciones Administrador de aplicaciones en la nube Administrador de dispositivos en la nube Administrador de Acceso seguro global Administrador de identidades híbridas Administrador de seguridad Operador de seguridad Lector de seguridad |
Supervisión y mantenimiento: registros de aprovisionamiento
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer registros de inicio de sesión | Lector de informes |
Administrador de aplicaciones Administrador de aplicaciones en la nube Administrador de dispositivos en la nube Administrador de identidades híbridas Administrador de seguridad Operador de seguridad Lector de seguridad |
Supervisión y mantenimiento: recomendaciones
Autenticación multifactor
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados | Administrador de directivas de autenticación | Administrador de autenticación |
| Deshabilitar la autenticación multifactor por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Habilitación de Multi-Factor Authentication por usuario | Administrador de autenticación | Administrador de autenticación con privilegios |
| Administrar la configuración del servicio MFA | Administrador de directivas de autenticación | |
| Requerir a los usuarios seleccionados que vuelvan a proporcionar métodos de contacto | Administrador de autenticación | |
| Restauración de la autenticación multifactor en todos los dispositivos recordados | Administrador de autenticación |
Servidor MFA
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Bloqueo y desbloqueo de usuarios | Administrador de directivas de autenticación | |
| Configurar bloqueo de cuentas | Administrador de directivas de autenticación | |
| Configurar reglas de caché | Administrador de directivas de autenticación | |
| Configurar alerta de fraude | Administrador de directivas de autenticación | |
| Configuración de notificaciones | Administrador de directivas de autenticación | |
| Configurar la omisión por única vez | Administrador de directivas de autenticación | |
| Configurar la configuración de la llamada de teléfono | Administrador de directivas de autenticación | |
| Configurar proveedores | Administrador de directivas de autenticación | |
| Configuración del servidor | Administrador de directivas de autenticación | |
| Leer informe de actividades | Lector global | |
| Leer toda la configuración | Lector global | |
| Leer estado del servidor | Lector global |
Relaciones organizativas
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administrar proveedores de identidad | Administrador de proveedor de identidades externo | |
| Leer toda la configuración | Lector global |
Restablecimiento de contraseña
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Configurar métodos de autenticación | Administrador de directivas de autenticación | |
| Configurar personalización | Administrador de directivas de autenticación | |
| Configurar notificación | Administrador de directivas de autenticación | |
| Configurar integración local | Administrador de directivas de autenticación | |
| Configurar las propiedades de restablecimiento de contraseña | Administrador de usuarios | Administrador de directivas de autenticación |
| Configurar registro | Administrador de directivas de autenticación | |
| Leer toda la configuración | Administrador de seguridad | Administrador de usuarios |
Administración de permisos
¿Qué es la Administración de permisos de Microsoft Entra?
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Incorporación de inquilinos | Administrador de la administración de permisos | |
| Incorporación de entornos en la nube | Administrador de la administración de permisos | |
| Asignación de permisos en Administración de permisos de Microsoft Entra | Administrador de la administración de permisos | |
| Inicio de la prueba y compra de licencias de Administración de permisos de Microsoft Entra | Administrador de facturación |
Privileged Identity Management
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Asignación de usuarios a roles | Administrador de roles con privilegios | |
| Configuración de los roles | Administrador de roles con privilegios | |
| Ver actividad de auditoría | Lector de seguridad | |
| Ver pertenencias a roles | Lector de seguridad |
Roles y administradores
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Administración de asignaciones de roles | Administrador de roles con privilegios | |
| Revisión de acceso de lectura de un rol de Microsoft Entra | Lector de seguridad |
Administrador de seguridad Administrador de roles con privilegios |
| Leer toda la configuración | Rol de usuario predeterminado |
Seguridad: métodos de autenticación
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Habilitación o deshabilitación de métodos de autenticación | Administrador de directivas de autenticación | |
| Visualización, aprovisionamiento en nombre de y administración de métodos de autenticación de usuario individuales | Administrador de autenticación | Administrador de autenticación con privilegios |
| Configuración de la protección con contraseña | Administrador de seguridad | |
| Configuración del bloqueo inteligente | Administrador de seguridad | |
| Leer toda la configuración | Lector global |
Seguridad: acceso condicional
Seguridad: puntuación de seguridad de identidad
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | Administrador de seguridad |
| Leer puntuación de seguridad | Lector de seguridad | Administrador de seguridad |
| Actualizar estado del evento | Administrador de seguridad |
Seguridad: inicios de sesión de riesgo
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Leer toda la configuración | Lector de seguridad | |
| Leer inicios de sesión de riesgo | Lector de seguridad |
Seguridad: usuarios marcados en riesgo
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Descartar todos los eventos | Administrador de seguridad | |
| Leer toda la configuración | Lector de seguridad | |
| Leer usuarios marcados en riesgo | Lector de seguridad |
Pase de acceso temporal
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Crear, eliminar o visualizar un Pase de acceso temporal para administradores o miembros (excepto para ellos mismos) | Administrador de autenticación con privilegios | |
| Crear, eliminar o visualizar un Pase de acceso temporal para los miembros (excepto para ellos mismos) | Administrador de autenticación | |
| Ver los detalles de un Pase de acceso temporal para un usuario (sin leer el código) | Lector global | |
| Configurar o actualizar la directiva del método de autenticación del Pase de acceso temporal | Administrador de directivas de autenticación |
Inquilino
| Tarea | Rol con privilegios mínimos | Roles adicionales |
|---|---|---|
| Creación de Microsoft Entra ID o del inquilino Azure AD B2C | Creador de inquilinos | |
| Actualización de las propiedades del inquilino de Microsoft Entra | Administrador de facturación | |
| Administración de la declaración de privacidad y el contacto | Administrador de facturación |