Compartir a través de


Roles con privilegios mínimos por tarea en Microsoft Entra ID

En este artículo, puede encontrar la información necesaria para restringir los permisos de administrador de un usuario mediante la asignación de roles con privilegios mínimos en Microsoft Entra ID. Encontrará las tareas organizadas por área de características y el rol con privilegios mínimos necesario para realizar cada tarea, junto con roles de administrador no global que pueden realizar la tarea.

Puede restringir aún más los permisos mediante la asignación de roles en ámbitos más pequeños o mediante la creación de sus propios roles personalizados. Para obtener más información, consulte Asignación de roles de Microsoft Entra en diferentes ámbitos o Creación y asignación de un rol personalizado en Microsoft Entra ID.

Application Proxy

Tarea Rol con privilegios mínimos Roles adicionales
Configurar aplicación de Application Proxy Administrador de aplicaciones
Configurar propiedades del grupo de conectores Administrador de aplicaciones
Crear registro de aplicación cuando se deshabilita la capacidad para todos los usuarios Desarrollador de aplicaciones Administrador de aplicaciones en la nube
Administrador de aplicaciones
Crear grupo de conectores Administrador de aplicaciones
Eliminar grupo de conectores Administrador de aplicaciones
Deshabilitar el proxy de aplicación Administrador de aplicaciones
Descargar servicio de conector Administrador de aplicaciones
Leer toda la configuración Administrador de aplicaciones

Identidades externas o B2C

Tarea Rol con privilegios mínimos Roles adicionales
Crear directorios de Azure AD B2C Todos los usuarios que no son invitados
Crear aplicaciones empresariales Administrador de aplicaciones en la nube Administrador de aplicaciones
Crear, leer, actualizar y eliminar directivas de B2C Administrador de directivas B2C con IEF
Crear, leer, actualizar y eliminar proveedores de identidades Administrador de proveedor de identidades externo
Crear, leer, actualizar y eliminar flujos de usuario de restablecimiento de contraseña Administrador de flujos de usuarios con identificador externo
Crear, leer, actualizar y eliminar flujos de usuario de edición de perfiles Administrador de flujos de usuarios con identificador externo
Crear, leer, actualizar y eliminar flujos de usuario de inicio de sesión Administrador de flujos de usuarios con identificador externo
Crear, leer, actualizar y eliminar flujos de usuario de registro Administrador de flujos de usuarios con identificador externo
Crear, leer, actualizar y eliminar atributos de usuario Administrador de atributos de flujos de usuarios con identificador externo
Crear, leer, actualizar y eliminar usuarios Administrador de usuarios
Configuración de valores de colaboración externa B2B: acceso de usuarios invitados Administrador de roles con privilegios
Configuración de valores de colaboración externa B2B: configuración de usuarios invitados Invitador de usuarios Administrador de flujos de usuarios con identificador externo
Configuración de valores de colaboración externa B2B: configuración de salida de usuarios externos Administrador de proveedor de identidades externo
Configurar opciones de colaboración externa B2B: restricciones de colaboración Administrador global
Leer toda la configuración Lector global
Leer registros de auditoría de B2C Lector global

Nota

Los administradores globales de Azure AD B2C no tienen los mismos permisos que los administradores globales de Microsoft Entra. Si tiene privilegios de administrador global de Azure AD B2C, asegúrese de que se encuentra en un directorio de Azure AD B2C y no en un directorio de Microsoft Entra.

Personalización de marca de empresa

Tarea Rol con privilegios mínimos Roles adicionales
Configuración de la personalización de marca de empresa Administrador de personalización de marca de la organización
Leer toda la configuración Lectores de directorio Rol de usuario predeterminado

Conexión

Tarea Rol con privilegios mínimos Roles adicionales
Autenticación transferida Administrador de identidades híbridas
Leer toda la configuración Lector global Administrador de identidades híbridas
Inicio de sesión único de conexión directa Administrador de identidades híbridas

Sincronización de conexión

Tarea Rol con privilegios mínimos Roles adicionales
Administrar la sincronización de directorios en el entorno local Administrador de identidades híbridas

Aprovisionamiento en la nube

Tarea Rol con privilegios mínimos Roles adicionales
Autenticación transferida Administrador de identidades híbridas
Leer toda la configuración Lector global Administrador de identidades híbridas
Inicio de sesión único de conexión directa Administrador de identidades híbridas

Estado de conexión

Tarea Rol con privilegios mínimos Roles adicionales
Agregar o eliminar servicios Propietario
Aplicar correcciones de errores de sincronización Colaborador Propietario
Configurar notificaciones Colaborador Propietario
Definir configuración Propietario
Configurar notificaciones de sincronización Colaborador Propietario
Leer informes de seguridad de ADFS Lector de seguridad Colaborador
Propietario
Leer toda la configuración Lector Colaborador
Propietario
Leer errores de sincronización Lector Colaborador
Propietario
Leer servicios de sincronización Lector Colaborador
Propietario
Ver métricas y alertas Lector Colaborador
Propietario
Ver métricas y alertas Lector Colaborador
Propietario
Ver métricas y alertas del servicio de sincronización Lector Colaborador
Propietario

Nombres de dominio personalizados

Tarea Rol con privilegios mínimos Roles adicionales
Administrar dominios Administrador de nombres de dominio
Leer toda la configuración Lectores de directorio Rol de usuario predeterminado

Servicios de dominio

Tarea Rol con privilegios mínimos Roles adicionales
Crear una instancia de Microsoft Entra Domain Services Administrador de aplicaciones
Administrador de grupos
Colaborador de Domain Services
Realizar todas las tareas de Microsoft Entra Domain Services Grupo de administradores del controlador de dominio de AAD
Leer toda la configuración Lector en la suscripción de Azure que contiene el servicio AD DS

Dispositivos

Aplicaciones empresariales

Tarea Rol con privilegios mínimos Roles adicionales
Dar consentimiento a los permisos delegados Administrador de aplicaciones en la nube Administrador de aplicaciones
Dar consentimiento a permisos de aplicación sin incluir a Microsoft Graph Administrador de aplicaciones en la nube Administrador de aplicaciones
Dar consentimiento a permisos de aplicación para Microsoft Graph Administrador de roles con privilegios
Dar consentimiento a aplicaciones que acceden a datos propios Rol de usuario predeterminado
Crear aplicación empresarial Administrador de aplicaciones en la nube Administrador de aplicaciones
Administrar Application Proxy Administrador de aplicaciones
Leer revisión de acceso de un grupo o de una aplicación Lector de seguridad Administrador de seguridad
Administrador de usuarios
Leer toda la configuración Rol de usuario predeterminado
Actualizar asignaciones de aplicaciones empresariales Propietario de aplicaciones empresariales Administrador de aplicaciones en la nube
Administrador de aplicaciones
Administrador de usuarios
Actualizar propietarios de aplicaciones empresariales Propietario de aplicaciones empresariales Administrador de aplicaciones en la nube
Administrador de aplicaciones
Actualizar propiedades de aplicaciones empresariales Propietario de aplicaciones empresariales Administrador de aplicaciones en la nube
Administrador de aplicaciones
Actualizar aprovisionamiento de aplicaciones empresariales Propietario de aplicaciones empresariales Administrador de aplicaciones en la nube
Administrador de aplicaciones
Actualizar autoservicio de aplicaciones empresariales Propietario de aplicaciones empresariales Administrador de aplicaciones en la nube
Administrador de aplicaciones
Actualizar propiedades del inicio de sesión único Propietario de aplicaciones empresariales Administrador de aplicaciones en la nube
Administrador de aplicaciones
Crear y modificar extensiones de autenticación personalizadas Administrador de extensibilidad de autenticación Administrador de aplicaciones

Administración de derechos

Tarea Rol con privilegios mínimos Roles adicionales
Agregar recursos a un catálogo Administrador de Identity Governance Con la administración de derechos, esta tarea se puede delegar en el propietario del catálogo.
Agregar sitios de SharePoint Online al catálogo Administrador de SharePoint

Grupos

Tarea Rol con privilegios mínimos Roles adicionales
Asignar licencia Administrador de usuarios
Crear grupo Administrador de grupos Administrador de usuarios
Crear, actualizar o eliminar revisión de acceso de un grupo o de una aplicación Administrador de usuarios
Administrar expiración de grupos Administrador de usuarios
Administrar configuración de grupo Administrador de grupos Administrador de usuarios
Leer toda la configuración (excepto pertenencia oculta) Lectores de directorio Rol de usuario predeterminado
Leer pertenencia oculta Miembro del grupo Propietario del grupo
Administrador de contraseñas
Administrador de Exchange
Administrador de SharePoint
Administrador de Teams
Administrador de usuarios
Leer pertenencia a grupos con pertenencia oculta Administrador del departamento de soporte técnico Administrador de usuarios
Administrador de Teams
Revocar licencia Administrador de licencias Administrador de usuarios
Actualizar los grupos de pertenencia dinámica Propietario del grupo Administrador de usuarios
Actualizar propietarios de grupo Propietario del grupo Administrador de usuarios
Actualizar propiedades de grupo Propietario del grupo Administrador de usuarios
Eliminar grupo Administrador de grupos Administrador de usuarios

Licencias

Tarea Rol con privilegios mínimos Roles adicionales
Asignar licencia Administrador de licencias Administrador de usuarios
Leer toda la configuración Lectores de directorio Rol de usuario predeterminado
Revocar licencia Administrador de licencias Administrador de usuarios
Probar o comprar suscripción Administrador de facturación

Microsoft Entra Health

Tarea Rol con privilegios mínimos Roles adicionales
Visualización de señales de supervisión de escenarios Lector de informes Lector de seguridad
Operador de seguridad
Administrador de seguridad
Administrador del departamento de soporte técnico
Lector global

Microsoft Entra ID Protection

Tarea Rol con privilegios mínimos Roles adicionales
Configurar notificaciones de alerta Administrador de seguridad
Configurar y habilitar o deshabilitar la directiva de MFA Administrador de seguridad
Configurar y habilitar o deshabilitar la directiva de riesgo de inicio de sesión Administrador de seguridad
Configurar y habilitar o deshabilitar la directiva de riesgo de usuario Administrador de seguridad
Configurar resúmenes semanales Administrador de seguridad
Descartar todas las detecciones de riesgo Administrador de seguridad
Corregir o descartar vulnerabilidad Administrador de seguridad
Leer toda la configuración Lector de seguridad
Leer todas las detecciones de riesgo Lector de seguridad
Leer vulnerabilidades Lector de seguridad

Supervisión y mantenimiento: registros de auditoría

Tarea Rol con privilegios mínimos Roles adicionales
Leer registros de auditoría Lector de informes Lector de seguridad
Administrador de seguridad

Supervisión y mantenimiento: registros de inicio de sesión

Tarea Rol con privilegios mínimos Roles adicionales
Leer registros de inicio de sesión Lector de informes Lector de seguridad
Administrador de seguridad
Lector global

Supervisión y mantenimiento: registros de aprovisionamiento

Supervisión y mantenimiento: recomendaciones

Autenticación multifactor

Tarea Rol con privilegios mínimos Roles adicionales
Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados Administrador de directivas de autenticación Administrador de autenticación
Deshabilitación de MFA por usuario Administrador de autenticación Administrador de autenticación con privilegios
Habilitación de MFA por usuario Administrador de autenticación Administrador de autenticación con privilegios
Administrar la configuración del servicio MFA Administrador de directivas de autenticación
Requerir a los usuarios seleccionados que vuelvan a proporcionar métodos de contacto Administrador de autenticación
Restaurar la autenticación multifactor en todos los dispositivos recordados Administrador de autenticación

Servidor de MFA

Tarea Rol con privilegios mínimos Roles adicionales
Bloquear y desbloquear usuarios Administrador de directivas de autenticación
Configurar bloqueo de cuentas Administrador de directivas de autenticación
Configurar reglas de caché Administrador de directivas de autenticación
Configurar alerta de fraude Administrador de directivas de autenticación
Configurar notificaciones Administrador de directivas de autenticación
Configurar omisión por única vez Administrador de directivas de autenticación
Definir configuración de la llamada de teléfono Administrador de directivas de autenticación
Configurar proveedores Administrador de directivas de autenticación
Definir configuración del servidor Administrador de directivas de autenticación
Leer informe de actividades Lector global
Leer toda la configuración Lector global
Leer estado del servidor Lector global

Relaciones organizativas

Tarea Rol con privilegios mínimos Roles adicionales
Administrar proveedores de identidad Administrador de proveedor de identidades externo
Leer toda la configuración Lector global

Restablecer contraseña

Tarea Rol con privilegios mínimos Roles adicionales
Configurar métodos de autenticación Administrador de directivas de autenticación
Configurar personalización Administrador de directivas de autenticación
Configurar notificación Administrador de directivas de autenticación
Configurar integración en el entorno local Administrador de directivas de autenticación
Configurar propiedades de restablecimiento de contraseña Administrador de usuarios Administrador de directivas de autenticación
Configurar registro Administrador de directivas de autenticación
Leer toda la configuración Administrador de seguridad Administrador de usuarios

Administración de permisos

¿Qué es Administración de permisos de Microsoft Entra?

Tarea Rol con privilegios mínimos Roles adicionales
Incorporación de inquilinos Administrador de la administración de permisos
Incorporar entornos en la nube Administrador de la administración de permisos
Asignar permisos en Administración de permisos de Microsoft Entra Administrador de la administración de permisos
Iniciar la prueba y comprar licencias de Administración de permisos de Microsoft Entra Administrador de facturación

Privileged Identity Management

Tarea Rol con privilegios mínimos Roles adicionales
Asignar usuarios a roles Administrador de roles con privilegios
Definir configuración de los roles Administrador de roles con privilegios
Ver actividad de auditoría Lector de seguridad
Ver pertenencias a roles Lector de seguridad

Roles y administradores

Tarea Rol con privilegios mínimos Roles adicionales
Administrar asignaciones de roles Administrador de roles con privilegios
Leer la revisión de acceso de un rol de Microsoft Entra Lector de seguridad Administrador de seguridad
Administrador de roles con privilegios
Leer toda la configuración Rol de usuario predeterminado

Seguridad: métodos de autenticación

Tarea Rol con privilegios mínimos Roles adicionales
Habilitar o deshabilitar métodos de autenticación Administrador de directivas de autenticación
Ver, aprovisionar en nombre de y administrar métodos de autenticación de usuario individuales Administrador de autenticación Administrador de autenticación con privilegios
Configurar protección con contraseña Administrador de seguridad
Configurar bloqueo inteligente Administrador de seguridad
Leer toda la configuración Lector global

Seguridad: acceso condicional

Seguridad: puntuación de seguridad de la identidad

Tarea Rol con privilegios mínimos Roles adicionales
Leer toda la configuración Lector de seguridad Administrador de seguridad
Leer puntuación de seguridad Lector de seguridad Administrador de seguridad
Actualizar estado del evento Administrador de seguridad

Seguridad: inicios de sesión de riesgo

Tarea Rol con privilegios mínimos Roles adicionales
Leer toda la configuración Lector de seguridad
Leer inicios de sesión de riesgo Lector de seguridad

Seguridad: usuarios marcados en riesgo

Tarea Rol con privilegios mínimos Roles adicionales
Descartar todos los eventos Administrador de seguridad
Leer toda la configuración Lector de seguridad
Leer usuarios marcados en riesgo Lector de seguridad

Pase de acceso temporal

Tarea Rol con privilegios mínimos Roles adicionales
Crear, eliminar o visualizar un pase de acceso temporal para administradores o miembros (excepto para ellos mismos) Administrador de autenticación con privilegios
Crear, eliminar o visualizar un pase de acceso temporal para miembros (excepto para ellos mismos) Administrador de autenticación
Ver los detalles de un pase de acceso temporal para un usuario (sin leer el código) Lector global
Configurar o actualizar la directiva del método de autenticación del pase de acceso temporal Administrador de directivas de autenticación

Inquilino

Tarea Rol con privilegios mínimos Roles adicionales
Crear inquilino de Microsoft Entra ID o Azure AD B2C Creador de inquilinos
Actualizar las propiedades del inquilino de Microsoft Entra Administrador de facturación
Administración de la declaración de privacidad y el contacto Administrador de facturación

Usuarios

Tarea Rol con privilegios mínimos Roles adicionales
Agregar usuario a rol de directorio Administrador de roles con privilegios
Agregar usuario a un grupo Administrador de usuarios
Asignar licencia Administrador de licencias Administrador de usuarios
Crear usuario invitado Invitador de usuarios Administrador de usuarios
Restablecer invitación de usuario invitado Administrador del departamento de soporte técnico Administrador de usuarios
Crear usuario Administrador de usuarios
Eliminación de usuarios Administrador de usuarios
Invalidar tokens de actualización de los administradores limitados Administrador de usuarios
Invalidar tokens de actualización de usuarios que no son administradores Administrador del departamento de soporte técnico Administrador de usuarios
Invalidar tokens de actualización de administradores con privilegios Administrador de autenticación con privilegios
Leer configuración básica Rol de usuario predeterminado
Restablecer contraseña para administradores limitados Administrador de usuarios
Restablecer contraseña de usuarios que no son administradores Administrador de contraseñas Administrador de usuarios
Restablecer contraseñas de administradores con privilegios Administrador de autenticación con privilegios
Revocar licencia Administrador de licencias Administrador de usuarios
Actualizar todas las propiedades excepto el nombre principal de usuario Administrador de usuarios
Actualizar la propiedad habilitada para la sincronización en el entorno local Administrador de identidades híbridas
Actualizar el nombre principal de usuario para administradores limitados Administrador de usuarios
Actualizar la propiedad de nombre principal de usuario en administradores con privilegios Administrador de autenticación con privilegios
Actualizar la configuración del usuario: permisos de rol de usuario predeterminados Administrador de roles con privilegios
Actualización de la configuración del usuario: acceso de usuario invitado Administrador de roles con privilegios
Actualizar la configuración del usuario: centro de administración Administrador global
Actualización de la configuración del usuario: conexiones de cuentas de LinkedIn Administrador global
Actualización de la configuración del usuario: mostrar el mensaje para mantener la sesión del usuario iniciada Administrador global
Actualizar métodos de autenticación Administrador de autenticación Administrador de autenticación con privilegios

Soporte

Pasos siguientes