Compartir a través de


Roles integrados de Microsoft Entra

En Microsoft Entra ID, si otro administrador o no administrador necesita administrar recursos de Microsoft Entra, se le asignará un rol de Microsoft Entra que le proporcione los permisos que necesita. Por ejemplo, puede asignar roles para permitir la adición o modificación de usuarios, el restablecimiento de contraseñas de usuario, la administración de licencias de usuario o la administración de nombres de dominio.

En este artículo se enumeran los roles integrados de Microsoft Entra que puede asignar para permitir la administración de recursos de Microsoft Entra. Para obtener información sobre cómo asignar roles, vea Asignar roles de Microsoft Entra a los usuarios. Si busca roles para administrar recursos de Azure, consulte Roles integrados de Azure.

Todos los roles

Rol Descripción Id. de plantilla
administrador de IA de Administre todos los aspectos de los servicios empresariales relacionados con Copilot y MICROSOFT 365 en Microsoft 365. d2562ede-74db-457e-a7b6-544e236ebb61
Administrador de aplicaciones Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales.
Icono de etiqueta con privilegios.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Desarrollador de aplicaciones Puede crear registros de aplicación independientemente de la opción de configuración "Los usuarios pueden registrar aplicaciones".
Icono de etiqueta con privilegios.
cf1c38e5-3621-4004-a7cb-879624dced7c
Autor de la carga de ataque Puede crear cargas de ataque que un administrador podrá iniciar más tarde. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrador de simulación de ataque Puede crear y administrar todos los aspectos de las campañas de simulación de ataques. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrador de asignaciones de atributos Asignar valores y claves de atributos de seguridad personalizados a objetos de Microsoft Entra admitidos. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lector de asignaciones de atributos Lectura de valores y claves de atributos de seguridad personalizados para objetos de Microsoft Entra admitidos. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrador de definiciones de atributos Definir y administrar la definición de atributos de seguridad personalizados. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Lector de definiciones de atributos Leer la definición de atributos de seguridad personalizados. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administrador del registro de atributos Leer registros de auditoría y configurar valores de diagnóstico para eventos relacionados con atributos de seguridad personalizados. 5b784334-f94b-471a-a387-e7219fc49ca2
Lector de registro de atributos Leer los registros de auditoría relacionados con los atributos de seguridad personalizados. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Administrador de autenticación Puede ver, configurar y restablecer la información de los métodos de autenticación de cualquier usuario que no sea administrador.
Icono de etiqueta con privilegios.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrador de extensibilidad de autenticación Personalice las experiencias de inicio de sesión y registro para los usuarios mediante la creación y administración de extensiones de autenticación personalizadas.
Icono de etiqueta con privilegios.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Administrador de directivas de autenticación Puede crear y administrar la directiva de métodos de autenticación, la configuración de MFA para todo el inquilino, la directiva de protección de contraseñas y las credenciales verificables. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Administrador de Azure DevOps Puede administrar la configuración y las directivas de Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administrador de Azure Information Protection Puede administrar todos los aspectos del producto Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Administrador de conjuntos de claves B2C con IEF Puede administrar los secretos de federación y cifrado en Identity Experience Framework (IEF).
Icono de etiqueta con privilegios.
aaf43236-0c0d-4d5f-883a-6955382ac081
Administrador de directivas B2C con IEF Puede crear y administrar las directivas relativas a los marcos de confianza en Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrador de facturación Puede realizar tareas comunes relacionadas con la facturación como actualizar la información de pago. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrador de Cloud App Security Puede administrar todos los aspectos del producto para aplicaciones Defender for Cloud. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrador de aplicaciones en la nube Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales, excepto el proxy de aplicación.
Icono de etiqueta con privilegios.
158c047a-c907-4556-b7ef-446551a6b5f7
Administrador de dispositivos en la nube Acceso limitado para administrar dispositivos en Microsoft Entra id.
Icono de etiqueta con privilegios.
7698a772-787b-4ac8-901f-60d6b08affd2
Administrador de cumplimiento Puede leer y administrar la configuración y los informes de cumplimiento en Microsoft Entra ID y Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administrador de datos de cumplimiento Crea y administra el contenido de cumplimiento. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrador de acceso condicional Puede administrar las funcionalidades de acceso condicional.
Icono de etiqueta con privilegios.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Aprobador del acceso a la Caja de seguridad del cliente Puede aprobar solicitudes de soporte técnico de Microsoft para acceder a datos de la organización del cliente. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administrador de Análisis de escritorio Puede acceder a servicios y herramientas de administración de escritorio, y administrarlos. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Lectores de directorio Puede leer la información básica del directorio. Normalmente se usa para conceder acceso de lectura al directorio, a las aplicaciones e invitados. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Cuentas de sincronización de directorios Solo lo usa el servicio Microsoft Entra Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Escritores de directorios Puede leer y escribir información básica del directorio. Para conceder acceso a aplicaciones; no pensado para los usuarios.
Icono de etiqueta con privilegios.
9360feb5-f418-4baa-8175-e2a00bac4301
Administrador de nombres de dominio Puede administrar los nombres de dominio en la nube y en el entorno local.
Icono de etiqueta con privilegios.
8329153b-31d0-4727-b945-745eb3bc5f31
Administrador de Dynamics 365 Puede administrar todos los aspectos del producto Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Administrador de Dynamics 365 Business Central Accede a todas las tareas administrativas y realízalas todas en entornos de Dynamics 365 Business Central. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Administrador de Edge Administración de todos los aspectos de Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Administrador de Exchange Puede administrar todos los aspectos del producto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrador de destinatarios de Exchange Puede crear o actualizar los destinatarios de Exchange Online dentro de la organización de Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrador de flujos de usuarios con identificador externo Puede crear y administrar todos los aspectos de los flujos de usuario. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrador de atributos de flujos de usuarios con identificador externo Puede crear y administrar el esquema de atributos disponible para todos los flujos de usuario. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administrador de proveedor de identidades externo Puede configurar los proveedores de identidades para su uso en la federación directa.
Icono de etiqueta con privilegios.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrador de Fabric Puede administrar todos los aspectos de los productos Fabric y Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Administrador global Puede administrar todos los aspectos de Microsoft Entra ID y los servicios de Microsoft que usan identidades de Microsoft Entra.
Icono de etiqueta con privilegios.
62e90394-69f5-4237-9190-012177145e10
Lector global Puede leer los mismos elementos que un administrador global, pero no puede actualizar nada.
Icono de etiqueta con privilegios.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Administrador de Acceso seguro global Cree y administre todos los aspectos de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra, incluida la administración del acceso a puntos de conexión públicos y privados. ac434307-12b9-4fa1-a708-88bf58caabc1
Administrador de grupos Los miembros de este rol pueden crear o administrar grupos, crear o administrar la configuración de grupos, como directivas de nomenclatura y expiración, y ver informes de actividad y auditoría de grupos. fdd7a751-b60b-444a-984c-02652fe8fa1c
Invitador de usuarios Puede invitar a usuarios independientemente de la configuración "Members can invite guests" (Los miembros pueden invitar a usuarios). 95e79109-95c0-4d8e-aee3-d01accf2d47b
Administrador del departamento de soporte técnico Puede restablecer contraseñas de usuarios que no son administradores y de administradores del departamento de soporte técnico.
Icono de etiqueta con privilegios.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrador de identidades híbridas Puedes administrar el aprovisionamiento en la nube de Microsoft Entra Directory, Microsoft Entra Connect, la autenticación de paso a través (PTA), la sincronización de hash de contraseñas (PHS), el inicio de sesión único de conexión directa (SSO de conexión directa) y la configuración de federación. No tiene acceso para administrar Microsoft Entra Connect Health.
Icono de etiqueta con privilegios.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrador de Identity Governance Administrar el acceso mediante Microsoft Entra ID para escenarios de gobernanza de identidades. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Administrador de Insights Tiene acceso administrativo en la aplicación Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista de Ideas Acceda a las funcionalidades analíticas de Microsoft Viva Insights y ejecute consultas personalizadas. 25df335f-86eb-4119-b717-0ff02de207e9
Coordinador de Insights de la empresa Puede ver y compartir paneles y conclusiones mediante la aplicación Insights de Microsoft 365. 31e939ad-9672-4796-9c2e-873181342d2d
Administrador de Intune Puede administrar todos los aspectos del producto Intune.
Icono de etiqueta con privilegios.
3a2c62db-5318-420d-8d74-23affee5d9d5
Administrador de Kaizala Puede administrar la configuración de Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administrador de conocimientos Puede configurar el conocimiento, el aprendizaje y otras características inteligentes. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Administrador de conocimiento Puede organizar, crear, administrar y promover temas y conocimientos. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrador de licencias Puede administrar licencias de producto de usuarios y grupos. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administrador de flujos de trabajo del ciclo de vida Cree y administre todos los aspectos de los flujos de trabajo y las tareas asociados con los flujos de trabajo del ciclo de vida en Microsoft Entra ID.
Icono de etiqueta con privilegios.
59d46f88-662b-457b-bceb-5c3809e5908f
Lector de privacidad del Centro de mensajes Puede leer los mensajes de seguridad y las actualizaciones solo en el Centro de mensajes de Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Lector del centro de mensajes Puede leer los mensajes y las actualizaciones para su organización solo en el Centro de mensajes de Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Administrador de migración de Microsoft 365 Realice toda la funcionalidad de migración para migrar contenido a Microsoft 365 mediante el Administrador de migración. 8c8b803f-96e1-4129-9349-20738d9f9652
Administrador local de dispositivos unidos a Microsoft Entra Los usuarios asignados a este rol se agregan al grupo de administradores locales en dispositivos unidos a Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Administrador de garantía de hardware de Microsoft Puede crear y administrar todos los aspectos de las reclamaciones y derechos de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Especialista en garantía de hardware de Microsoft Puede crear y leer reclamaciones de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Administrador de comercio moderno Puede administrar las compras comerciales de una empresa, departamento o equipo. d24aef57-1500-4070-84db-2666f29cf966
Administrador de red Puede administrar ubicaciones de red y revisar la información del diseño de las redes de empresa para aplicaciones de software como servicio de Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administrador de aplicaciones de Office Puede administrar los servicios en la nube de las aplicaciones de Office, incluida la administración de las directivas y la configuración. También puede administrar la posibilidad de seleccionar, anular la selección y publicar el contenido relativo a la característica "novedades" para los dispositivos del usuario final. 2b745bdf-0803-4d80-aa65-822c4493daac
Administrador de personalización de marca de la organización Administre todos los aspectos de la personalización de marca de la organización en un inquilino. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Aprobador de mensajes organizativos Revise, apruebe o rechace nuevos mensajes organizativos para su entrega en el Centro de administración de Microsoft 365 antes de enviarlos a los usuarios. e48398e2-f4bb-4074-8f31-4586725e205b
Escritor de mensajes de la organización Puede escribir, publicar, administrar y revisar los mensajes de la organización para los usuarios finales a través de las superficies de productos de Microsoft. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Soporte para asociados de nivel 1 No lo use. No está pensado para el uso general.
Icono de etiqueta con privilegios.
4ba39ca4-527c-499a-b93d-d9b492c50246
Soporte para asociados de nivel 2 No lo use. No está pensado para el uso general.
Icono de etiqueta con privilegios.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administrador de contraseñas Puede restablecer contraseñas para usuarios que no son administradores y para administradores de contraseñas.
Icono de etiqueta con privilegios.
966707d0-3269-4727-9be2-8c3a10f19b9d
Administrador de la administración de permisos Administrar todos los aspectos de administración de permisos de Microsoft Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Administrador de Power Platform Puede crear y administrar todos los aspectos de Microsoft Dynamics 365, Power Apps y Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrador de impresoras Puede administrar todos los aspectos de impresoras y conectores de impresora. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Técnico de impresoras Puede registrar impresoras, así como anular dicho registro, y actualizar su estado. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrador de autenticación con privilegios Puede ver, configurar y restablecer la información de los métodos de autenticación de cualquier usuario (administrador o no administrador).
Icono de etiqueta con privilegios.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrador de roles con privilegios Puede administrar las asignaciones de roles en Microsoft Entra ID y todos los aspectos de Privileged Identity Management.
Icono de etiqueta con privilegios.
e8611ab8-c189-46e8-94e1-60213ab1f814
Lector de informes Puede leer los informes de inicio de sesión y auditoría. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administrador de búsqueda Puede crear y administrar todos los aspectos de la configuración de Búsqueda de Microsoft. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor de búsqueda Puede crear y administrar contenido editorial como marcadores, preguntas y respuestas, ubicaciones y plano de planta. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrador de seguridad Puede leer información de seguridad e informes y administrar la configuración en Microsoft Entra ID y Office 365.
Icono de etiqueta con privilegios.
194ae4cb-b126-40b2-bd5b-6091b380977d
Operador de seguridad Crea y administra los eventos de seguridad.
Icono de etiqueta con privilegios.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Lector de seguridad Puede leer información de seguridad e informes en Microsoft Entra ID y Office 365.
Icono de etiqueta con privilegios.
5d6b6bb7-de71-4623-b4af-96380a352509
Administrador de soporte técnico de servicios Puede leer la información de estado del servicio y administrar las incidencias de soporte técnico. f023fd81-a637-4b56-95fd-791ac0226033
Administrador de SharePoint Puede administrar todos los aspectos del servicio SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Administrador integrado de SharePoint Administrar todos los aspectos de los contenedores de SharePoint Embedded. 1a7d78b6-429f-476b-b8eb-35fb715fffd4
Administrador de Skype Empresarial Puede administrar todos los aspectos del producto Skype Empresarial. 75941009-915a-4869-abe7-691bff18279e
Administrador de Teams Puede administrar el servicio Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administrador de comunicaciones de Teams Puede administrar las características de llamadas y reuniones del servicio Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Ingeniero de soporte técnico de comunicaciones de Teams Puede solucionar los problemas de comunicaciones dentro de Teams mediante herramientas avanzadas. f70938a0-fc10-4177-9e90-2178f8765737
Especialista de soporte técnico de comunicaciones de Teams Puede solucionar los problemas de comunicaciones dentro de Teams mediante herramientas básicas. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrador de dispositivos de Teams Puede realizar tareas relacionadas con la administración en dispositivos certificados para Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Administrador de telefonía de Teams Administre las características de voz y telefonía, y solucione problemas de comunicación del servicio Microsoft Teams. aa38014f-0993-46e9-9b45-30501a20909d
Creador de inquilinos Cree nuevos inquilinos de Microsoft Entra o Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lector de informes de resumen de uso Leer Informes de uso y Puntuación de adopción, pero no puede acceder a los detalles del usuario. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrador de usuarios Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados.
Icono de etiqueta con privilegios.
fe930be7-5e62-47db-91af-98c3a49a38b1
Administrador de Éxito de la experiencia del usuario Ver los comentarios del producto, los resultados de la encuesta y los informes para encontrar oportunidades de entrenamiento y comunicación. 27460883-1df1-4691-b032-3b79643e5e63
Virtual Visits Administrator (Administrador de visitas virtuales) Administrar y compartir métricas e información de visitas virtuales desde los centros de administración o la aplicación Visitas virtuales. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Administrador de Viva Goals Administre y configure todos los aspectos de Microsoft Viva Goals. 92b086b3-e367-4ef2-b869-1de128fb986e
Administrador de Viva Pulse Puede administrar toda la configuración de la aplicación Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Administrador de Windows 365 Puede aprovisionar y administrar todos los aspectos de los PC en la nube. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Administrador de implementación de Windows Update Puede crear y administrar todos los aspectos de las implementaciones de Windows Update a través del servicio de implementación de Windows Update para empresas. 32696413-001a-46ae-978c-ce0f6b3620d2
Administrador de Yammer Administre todos los aspectos del servicio de Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Administrador de IA

Asigne el rol de administrador de IA a los usuarios que necesiten realizar las siguientes tareas:

  • Administrar todos los aspectos de Microsoft 365 Copilot
  • Administrar los servicios empresariales relacionados con la inteligencia artificial, la extensibilidad y los agentes de copilot desde la página Aplicaciones integradas del Centro de administración de Microsoft 365
  • Aprobación y publicación de agentes de copilot de línea de negocio
  • Permitir que los usuarios instalen una aplicación o instalen una aplicación para los usuarios de la organización si la aplicación no requiere permiso
  • Leer y configurar paneles de estado del servicio de Microsoft 365 y Azure
  • Visualización de informes de uso, conclusiones de adopción e información de la organización
  • Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.office365.copilot/allEntities/allProperties/allTasks Crear y administrar toda la configuración de Microsoft 365 Copilot
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.search/content/manage Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de aplicaciones

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. los usuarios con este rol pueden crear y administrar todos los aspectos de las aplicaciones empresariales, los registros de aplicaciones y la configuración del proxy de aplicación. Tenga en cuenta que los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.

Este rol también concede la posibilidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, a excepción de los permisos de aplicación para Microsoft Graph y Azure AD Graph.

Importante

Esta excepción significa que aún puede dar su consentimiento a los permisos de la aplicación para otras aplicaciones (por ejemplo, otras aplicaciones de Microsoft, aplicaciones de terceros o aplicaciones que haya registrado). Estos permisos se pueden seguir solicitando como parte del registro de la aplicación, pero para concederlos (es decir, dar el consentimiento) es necesario ser un administrador de roles con privilegios.

Este rol concede la capacidad de administrar credenciales de la aplicación. Los usuarios asignados a este rol pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. Si a la identidad de la aplicación se le ha concedido acceso a un recurso, como la capacidad para crear o actualizar usuarios u otros objetos, un usuario asignado a este rol puede realizar esas acciones mientras suplanta la identidad de la aplicación. Esta capacidad de suplantar la identidad de la aplicación puede ser una elevación de privilegios sobre qué puede hacer el usuario mediante sus asignaciones de roles. Es importante saber que, al asignar a un usuario el rol de Administrador de aplicaciones, se le concede la capacidad de suplantar la identidad de la aplicación.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Administrar directivas de solicitud de consentimiento del administrador en Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Actualizar las propiedades estándar de las directivas de aplicación
microsoft.directory/applicationPolicies/create Crear directivas de aplicación
microsoft.directory/applicationPolicies/delete Eliminar directivas de aplicación
microsoft.directory/applicationPolicies/owners/read Leer los propietarios en directivas de aplicación
microsoft.directory/applicationPolicies/owners/update Actualizar la propiedad de propietario de las directivas de aplicación
microsoft.directory/applicationPolicies/policyAppliedTo/read Leer las directivas de aplicación aplicadas a la lista de objetos
microsoft.directory/applicationPolicies/standard/read Leer las propiedades estándar de las directivas de aplicación
microsoft.directory/applications/applicationProxyAuthentication/update Actualizar la autenticación en todos los tipos de aplicaciones
microsoft.directory/applications/applicationProxy/read Leer todas las propiedades del proxy de aplicación
microsoft.directory/applications/applicationProxySslCertificate/update Actualización de la configuración del certificado SSL para el proxy de aplicación
microsoft.directory/applications/applicationProxy/update Actualizar todas las propiedades del proxy de aplicación
microsoft.directory/applications/applicationProxyUrlSettings/update Actualización de la configuración de la dirección URL para el proxy de aplicación
microsoft.directory/applications/appRoles/update Actualizar la propiedad appRoles en todos los tipos de aplicaciones
microsoft.directory/applications/audience/update Actualizar la propiedad de público para las aplicaciones
microsoft.directory/applications/authentication/update Actualizar la autenticación en todos los tipos de aplicaciones
microsoft.directory/applications/basic/update Actualizar las propiedades básicas de las aplicaciones
microsoft.directory/applications/create Crear todos los tipos de aplicaciones
microsoft.directory/applications/credentials/update Actualizar las credenciales de la aplicación
Icono de etiqueta con privilegios.
microsoft.directory/applications/delete Eliminar todos los tipos de aplicaciones
microsoft.directory/applications/extensionProperties/update Actualizar las propiedades de extensión en aplicaciones
microsoft.directory/applications/notes/update Actualizar las notas de las aplicaciones
microsoft.directory/applications/owners/update Actualizar los propietarios de las aplicaciones
microsoft.directory/applications/permissions/update Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones
microsoft.directory/applications/policies/update Actualizar las directivas de las aplicaciones
microsoft.directory/applications/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación
microsoft.directory/applications/tag/update Actualizar las etiquetas de las aplicaciones
microsoft.directory/applications/verification/update Actualizar la propiedad applicationsverification
microsoft.directory/applicationTemplates/instantiate Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación.
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/connectorGroups/allProperties/read Leer todas las propiedades de los grupos de conectores de red privada
microsoft.directory/connectorGroups/allProperties/update Actualizar todas las propiedades de los grupos de conectores de red privada
microsoft.directory/connectorGroups/create Crear grupos de conectores de red privada
microsoft.directory/connectorGroups/delete Eliminar grupos de conectores de red privada
microsoft.directory/connectors/allProperties/read Leer todas las propiedades de los conectores de red privada
microsoft.directory/connectors/create Crear conectores de red privada
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Crear y administrar extensiones de autenticación personalizadas
Icono de etiqueta con privilegios.
microsoft.directory/deletedItems.applications/delete Eliminar permanente las aplicaciones, que ya no se pueden restaurar
microsoft.directory/deletedItems.applications/restore Restaurar las aplicaciones eliminadas temporalmente a su estado original
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/servicePrincipals/audience/update Actualizar las propiedades de público en las entidades de servicio
microsoft.directory/servicePrincipals/authentication/update Actualizar las propiedades de autenticación en las entidades de servicio
microsoft.directory/servicePrincipals/basic/update Actualizar las propiedades básicas de las entidades de servicio
microsoft.directory/servicePrincipals/create Creación de entidades de servicio
microsoft.directory/servicePrincipals/credentials/update Actualizar las credenciales de las entidades de servicio
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/delete Eliminar entidades de servicio
microsoft.directory/servicePrincipals/disable Deshabilitar entidades de servicio
microsoft.directory/servicePrincipals/enable Habilitación de entidades de servicio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Administrar las credenciales de inicio de sesión único con contraseña en las entidades de servicio
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leer las credenciales de inicio de sesión único con contraseña en las entidades de servicio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimiento para permisos de aplicación y permisos delegados en nombre de cualquier usuario o de todos los usuarios, excepto los permisos de aplicación para Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Actualizar las notas de las entidades de servicio
microsoft.directory/servicePrincipals/owners/update Actualizar los propietarios de las entidades de servicio
microsoft.directory/servicePrincipals/permissions/update Actualizar los permisos de las entidades de servicio
microsoft.directory/servicePrincipals/policies/update Actualizar las directivas de las entidades de servicio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Administra las credenciales y los secretos de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationJobs/manage Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
microsoft.directory/servicePrincipals/tag/update Actualizar la propiedad de etiqueta de las entidades de servicio
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Desarrollador de aplicaciones

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. los usuarios con este rol pueden crear registros de aplicaciones cuando la opción "Los usuarios pueden registrar aplicaciones" está establecida en No. Esta función también concede permiso para dar consentimiento en nombre propio cuando la opción "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" está establecida en No. Los usuarios asignados a este rol se agregan como propietarios al crear nuevos registros de aplicaciones.

Acciones Descripción
microsoft.directory/applications/createAsOwner Crear todos los tipos de aplicaciones y agregar el creador como primer propietario
microsoft.directory/oAuth2PermissionGrants/createAsOwner Crear concesiones de permisos de OAuth 2.0, con el creador como primer propietario
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/createAsOwner Crear entidades de servicio, con el creador como primer propietario

Autor de carga de ataque

Los usuarios de este rol pueden crear cargas de ataque, pero no iniciarlas ni programarlas. Las cargas de ataque están disponibles para todos los administradores del inquilino, que pueden usarlas para crear una simulación.

Para obtener más información, consulte Permisos de Microsoft Defender para Office 365 en el portal de Microsoft 365 Defender y Permisos en el portal de cumplimiento Microsoft Purview.

Acciones Descripción
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Crear y administrar cargas de ataque en el Simulador de ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado

Administrador de simulación de ataque

Los usuarios de este rol pueden crear y administrar todos los aspectos de la creación de una simulación de ataque, iniciar o programar una simulación y revisar los resultados de la simulación. Los miembros de este rol tienen este acceso para todas las simulaciones del inquilino.

Para obtener más información, consulte Permisos de Microsoft Defender para Office 365 en el portal de Microsoft 365 Defender y Permisos en el portal de cumplimiento Microsoft Purview.

Acciones Descripción
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Crear y administrar cargas de ataque en el Simulador de ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Crear y administrar plantillas de simulaciones de ataques en el Simulador de ataques

Administrador de asignaciones de atributos

Los usuarios con este rol pueden asignar y quitar claves y valores de atributos de seguridad personalizados en objetos de Microsoft Entra admitidos, como usuarios, entidades de servicio y dispositivos.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Acciones Descripción
microsoft.directory/attributeSets/allProperties/read Leer todas las propiedades de los conjuntos de atributos
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lectura de valores de atributos de seguridad personalizados para identidades administradas de Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Actualización de valores de atributos de seguridad personalizados para identidades administradas de Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leer todas las propiedades de las definiciones de atributos de seguridad personalizados
microsoft.directory/devices/customSecurityAttributes/read Leer los valores de los atributos de seguridad personalizados para los dispositivos
microsoft.directory/devices/customSecurityAttributes/update Actualizar los valores de los atributos de seguridad personalizados para los dispositivos
microsoft.directory/servicePrincipals/customSecurityAttributes/read Leer los valores de los atributos de seguridad personalizados para las entidades de servicio
microsoft.directory/servicePrincipals/customSecurityAttributes/update Actualizar los valores de los atributos de seguridad personalizados para las entidades de servicio
microsoft.directory/users/customSecurityAttributes/read Leer los valores de los atributos de seguridad personalizados para los usuarios
microsoft.directory/users/customSecurityAttributes/update Actualizar los valores de los atributos de seguridad personalizados para los usuarios

Lector de asignaciones de atributos

Los usuarios con este rol pueden leer valores y claves de atributos de seguridad personalizados en objetos de Microsoft Entra admitidos.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Acciones Descripción
microsoft.directory/attributeSets/allProperties/read Leer todas las propiedades de los conjuntos de atributos
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lectura de valores de atributos de seguridad personalizados para identidades administradas de Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leer todas las propiedades de las definiciones de atributos de seguridad personalizados
microsoft.directory/devices/customSecurityAttributes/read Leer los valores de los atributos de seguridad personalizados para los dispositivos
microsoft.directory/servicePrincipals/customSecurityAttributes/read Leer los valores de los atributos de seguridad personalizados para las entidades de servicio
microsoft.directory/users/customSecurityAttributes/read Leer los valores de los atributos de seguridad personalizados para los usuarios

Administrador de definiciones de atributos

Los usuarios con este rol pueden definir un conjunto válido de atributos de seguridad personalizados que se pueden asignar a objetos de Microsoft Entra admitidos. Este rol también puede activar y desactivar atributos de seguridad personalizados.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Acciones Descripción
microsoft.directory/attributeSets/allProperties/allTasks Administrar todos los aspectos de los conjuntos de atributos
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Administrar todos los aspectos de las definiciones de atributos de seguridad personalizados

Lector de definiciones de atributos

Los usuarios con este rol pueden leer la definición de los atributos de seguridad personalizados.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Acciones Descripción
microsoft.directory/attributeSets/allProperties/read Leer todas las propiedades de los conjuntos de atributos
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leer todas las propiedades de las definiciones de atributos de seguridad personalizados

Administrador del registro de atributos

Asigne el rol Lector de registro de atributos a los usuarios que necesiten realizar las siguientes tareas:

  • Leer de registros de auditoría para cambios de valor de atributos de seguridad personalizados
  • Leer registros de auditoría para cambios y asignaciones de definiciones de atributos de seguridad personalizados
  • Configuración de opciones de diagnóstico para atributos de seguridad personalizados

Los usuarios con este rol no pueden leer los registros de auditoría de otros eventos.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Acciones Descripción
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Configuración de todos los aspectos de los valores de diagnóstico de atributos de seguridad personalizados
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Leer los registros de auditoría relacionados con los atributos de seguridad personalizados

Lector de registro de atributos

Asigne el rol Lector de registro de atributos a los usuarios que necesiten realizar las siguientes tareas:

  • Leer de registros de auditoría para cambios de valor de atributos de seguridad personalizados
  • Leer registros de auditoría para cambios y asignaciones de definiciones de atributos de seguridad personalizados

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • Configuración de opciones de diagnóstico para atributos de seguridad personalizados
  • Leer registros de auditoría para otros eventos

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Acciones Descripción
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Leer los registros de auditoría relacionados con los atributos de seguridad personalizados

Administrador de autenticación

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Asigne el rol Administrador de autenticación a los usuarios que necesiten realizar estas tareas:

  • Establecer o restablecer cualquier método de autenticación (incluidas las contraseñas) para los usuarios que no son administradores y algunos otros roles. Para obtener una lista de los roles para los que un administrador de autenticación puede leer o actualizar sus métodos de autenticación, consulte Quién puede restablecer las contraseñas.
  • Exigir que los usuarios que no son administradores o que tienen asignados algunos roles vuelvan a registrase con las credenciales existentes que no sean la contraseña (por ejemplo, MFA o FIDO) y también pueden revocar la opción recordar MFA en el dispositivo, que solicita MFA en el siguiente inicio de sesión.
  • Administre la configuración de MFA en el Portal de administración de MFA heredado.
  • Realizar acciones confidenciales para algunos usuarios. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
  • Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365.

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • No pueden cambiar las credenciales ni restablecer la autenticación multifactor para los miembros y propietarios de un grupo al que se pueden asignar roles.
  • No se pueden administrar tokens OATH de hardware.

En la tabla siguiente se comparan las funcionalidades de roles relacionados con la autenticación.

Rol Administrar los métodos de autenticación del usuario Administrar MFA por usuario Administrar la configuración de MFA Administrar la directiva del método de autenticación Administrar la directiva de protección de contraseñas Actualizar las propiedades confidenciales Eliminar y restaurar usuarios
Administrador de autenticación Sí, para algunos usuarios Sí, para algunos usuarios No No Sí, para algunos usuarios Sí, para algunos usuarios
Administrador de autenticación con privilegios Sí, para todos los usuarios Sí, para todos los usuarios No No No Sí, para todos los usuarios Sí, para todos los usuarios
Administrador de directivas de autenticación No No No
Administrador de usuarios No No No No No Sí, para algunos usuarios Sí, para algunos usuarios

Importante

Los usuarios con este rol pueden cambiar las credenciales de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar las credenciales de un usuario puede significar la capacidad de asumir la identidad y los permisos de ese usuario. Por ejemplo:

  • Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores de autenticación. Mediante esta ruta de acceso, un Administrador de autenticación puede asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
  • Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
  • Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
  • Los administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
  • Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/deletedItems.users/restore Restauración de usuarios eliminados temporalmente al estado original
microsoft.directory/users/authenticationMethods/basic/update Actualizar las propiedades básicas de los métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/create Actualizar métodos de autenticación para usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/delete Eliminar métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leer las propiedades estándar de los métodos de autenticación que no incluyen información de identificación personal para los usuarios
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/delete Eliminación de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/disable Deshabilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/enable Habilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/restore Restaurar usuarios eliminados
microsoft.directory/users/userPrincipalName/update Actualizar el nombre principal de usuario de los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de extensibilidad de autenticación

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Asigne el rol Administrador de extensibilidad de autenticación a los usuarios que necesiten realizar las siguientes tareas:

  • Crear y administrar todos los aspectos de las extensiones de autenticación personalizadas.

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • No pueden asignar extensiones de autenticación personalizadas a las aplicaciones para modificar las experiencias de autenticación y no pueden dar su consentimiento a los permisos de aplicación ni crear registros de aplicaciones asociados a la extensión de autenticación personalizada. En su lugar, debe usar los roles Administrador de aplicaciones, Desarrollador de aplicaciones o Administrador de aplicaciones en la nube.

Una extensión de autenticación personalizada es un punto de conexión de API creado por un desarrollador para eventos de autenticación y se registra en Microsoft Entra ID. Los administradores de aplicaciones y los propietarios de aplicaciones pueden usar extensiones de autenticación personalizadas para personalizar las experiencias de autenticación de su aplicación, como el inicio de sesión y el registro, o el restablecimiento de contraseña.

Más información

Acciones Descripción
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Crear y administrar extensiones de autenticación personalizadas
Icono de etiqueta con privilegios.

Administrador de directivas de autenticación

Asigne el rol Administrador de directiva de autenticación a los usuarios que necesiten realizar estas tareas:

  • Configurar la directiva de métodos de autenticación, la configuración de MFA para todo el inquilino y la directiva de protección de contraseñas que determinan qué métodos puede registrar y usar cada usuario.
  • Administrar la configuración de protección de contraseñas: configuraciones de bloqueo inteligente y actualización de la lista de contraseñas prohibidas personalizadas.
  • Administre la configuración de MFA en el Portal de administración de MFA heredado.
  • Crear y administrar credenciales verificables.
  • Crea y administra incidencias de soporte técnico de Azure.

Los usuarios con este rol no pueden realizar las siguientes tareas:

En la tabla siguiente se comparan las funcionalidades de roles relacionados con la autenticación.

Rol Administrar los métodos de autenticación del usuario Administrar MFA por usuario Administrar la configuración de MFA Administrar la directiva del método de autenticación Administrar la directiva de protección de contraseñas Actualizar las propiedades confidenciales Eliminar y restaurar usuarios
Administrador de autenticación Sí, para algunos usuarios Sí, para algunos usuarios No No Sí, para algunos usuarios Sí, para algunos usuarios
Administrador de autenticación con privilegios Sí, para todos los usuarios Sí, para todos los usuarios No No No Sí, para todos los usuarios Sí, para todos los usuarios
Administrador de directivas de autenticación No No No
Administrador de usuarios No No No No No Sí, para algunos usuarios Sí, para algunos usuarios
Acciones Descripción
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/organization/strongAuthentication/allTasks Administrar todos los aspectos de las propiedades de autenticación sólida de una organización
microsoft.directory/userCredentialPolicies/basic/update Actualizar las directivas básicas de los usuarios
microsoft.directory/userCredentialPolicies/create Crear directivas de credenciales para los usuarios
microsoft.directory/userCredentialPolicies/delete Eliminar directivas de credenciales para los usuarios
microsoft.directory/userCredentialPolicies/owners/read Leer los propietarios de directivas de credenciales para los usuarios
microsoft.directory/userCredentialPolicies/owners/update Actualizar los propietarios de directivas de credenciales para los usuarios
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Leer el vínculo de navegación policy.appliesTo
microsoft.directory/userCredentialPolicies/standard/read Leer las propiedades estándar de las directivas de credenciales para los usuarios
microsoft.directory/userCredentialPolicies/tenantDefault/update Actualizar la propiedad policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lea la configuración necesaria para crear y administrar credenciales verificables.
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuración de actualización necesaria para crear y administrar credenciales verificables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lea un contrato de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Actualice un contrato de credencial verificable
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lea una tarjeta de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Revoque una tarjeta de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/create Cree un contrato de credencial verificable
microsoft.directory/verifiableCredentials/configuration/create Cree la configuración necesaria para crear y administrar credenciales verificables.
microsoft.directory/verifiableCredentials/configuration/delete Elimine la configuración necesaria para crear y administrar credenciales verificables y elimine todas las credenciales verificables

Administrador de Azure DevOps

Los usuarios con este rol pueden administrar todas las directivas empresariales de Azure DevOps, aplicables a todas las organizaciones de Azure DevOps respaldadas por Microsoft Entra ID. Los usuarios de este rol pueden administrar estas directivas; para ello, vaya a cualquier organización de Azure DevOps respaldada por Microsoft Entra ID de la empresa. Además, los usuarios de este rol pueden reclamar la propiedad de organizaciones huérfanas de Azure DevOps. Este rol no concede ningún otro permiso específico de Azure DevOps (por ejemplo, administradores de la colección de proyectos) en ninguna de las organizaciones de Azure DevOps respaldadas por la organización de Microsoft Entra de la empresa.

Acciones Descripción
microsoft.azure.devOps/allEntities/allTasks Leer y configurar Azure DevOps

Administrador de Azure Information Protection

los usuarios con este rol tienen todos los permisos en el servicio Azure Information Protection. Este rol permite configurar las etiquetas de la directiva de Azure Information Protection, administrar plantillas de protección y activar la protección. Este rol no concede ningún permiso en Protección de Microsoft Entra ID, Privileged Identity Management, la supervisión del estado del servicio de Microsoft365, el portal de Microsoft 365 Defender o el portal de cumplimiento de Microsoft Purview.

Acciones Descripción
microsoft.azure.informationProtection/allEntities/allTasks Administrar todos los aspectos de Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de conjuntos de claves B2C con IEF

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. El usuario puede crear y administrar claves de directiva y secretos de cifrado de tokens, firmas de tokens y cifrado y descifrado de notificaciones. Al agregar nuevas claves a los contenedores de claves existentes, este administrador limitado puede rotar los secretos según sea necesario sin que ello afecte a las aplicaciones existentes. Este usuario puede ver todo el contenido de estos secretos y sus fechas de expiración incluso después de su creación.

Importante

Se trata de un rol confidencial. El rol Administrador del conjunto de claves se debe auditar y asignar con cuidado durante las fases de preproducción y producción.

Acciones Descripción
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Leer y configurar los conjuntos de claves en Azure Active Directory B2C
Icono de etiqueta con privilegios.

Administrador de directivas B2C con IEF

Los usuarios con este rol tienen la posibilidad de crear, leer, actualizar y eliminar todas las directivas personalizadas de Azure AD B2C y, por tanto, tienen control total sobre Identity Experience Framework en la organización de Azure AD B2C pertinente. Mediante la edición de directivas, este usuario puede establecer la federación directa con proveedores de identidades externos, cambiar el esquema de directorios, cambiar todo el contenido al que pueden acceder los usuarios (HTML, CSS, JavaScript), cambiar los requisitos para realizar una autenticación, crear nuevos usuarios, enviar datos de usuario a sistemas externos incluyendo migraciones completas, y editar la información de todos los usuarios, incluidos los campos confidenciales como las contraseñas y los números de teléfono. Por el contrario, este rol no puede cambiar las claves de cifrado ni editar los secretos usados para la federación en la organización.

Importante

El rol de administrador de directivas B2C con IEF es un rol delicado que se debe asignar de manera muy limitada para las organizaciones de producción. Las actividades de estos usuarios se deben auditar estrechamente, en especial en las organizaciones de producción.

Acciones Descripción
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Leer y configurar las directivas personalizadas en Azure Active Directory B2C

Administrador de facturación

hace compras, administra suscripciones, administra incidencias de soporte técnico y supervisa el estado del servicio.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Administrar todos los aspectos de la facturación de Office 365
microsoft.directory/organization/basic/update Actualizar las propiedades básicas de la organización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Cloud App Security

Los usuarios con este rol tienen permisos totales en Defender for Cloud para aplicaciones. Pueden agregar administradores, agregar directivas y configuraciones de Microsoft Defender for Cloud para aplicaciones, cargar registros y realizar acciones de gobernanza.

Acciones Descripción
microsoft.directory/cloudAppSecurity/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de aplicaciones en la nube

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. los usuarios con este rol tienen los mismos permisos que el rol de administrador de la aplicación, excluida la capacidad de administrar el proxy de aplicación. Este rol concede la capacidad de crear y administrar todos los aspectos de las aplicaciones empresariales y los registros de aplicaciones. Los usuarios asignados a este rol no se agregan como propietarios al crear nuevos registros de aplicaciones o aplicaciones empresariales.

Este rol también concede la posibilidad de dar el consentimiento para permisos delegados y permisos de aplicaciones, a excepción de los permisos de aplicación para Microsoft Graph y Azure AD Graph.

Importante

Esta excepción significa que aún puede dar su consentimiento a los permisos de la aplicación para otras aplicaciones (por ejemplo, otras aplicaciones de Microsoft, aplicaciones de terceros o aplicaciones que haya registrado). Estos permisos se pueden seguir solicitando como parte del registro de la aplicación, pero para concederlos (es decir, dar el consentimiento) es necesario ser un administrador de roles con privilegios.

Este rol concede la capacidad de administrar credenciales de la aplicación. Los usuarios asignados a este rol pueden agregar credenciales a una aplicación y usarlas para suplantar la identidad de la aplicación. Si a la identidad de la aplicación se le ha concedido acceso a un recurso, como la capacidad para crear o actualizar usuarios u otros objetos, un usuario asignado a este rol puede realizar esas acciones mientras suplanta la identidad de la aplicación. Esta capacidad de suplantar la identidad de la aplicación puede ser una elevación de privilegios sobre qué puede hacer el usuario mediante sus asignaciones de roles. Es importante saber que, al asignar a un usuario el rol de Administrador de aplicaciones, se le concede la capacidad de suplantar la identidad de la aplicación.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Administrar directivas de solicitud de consentimiento del administrador en Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Actualizar las propiedades estándar de las directivas de aplicación
microsoft.directory/applicationPolicies/create Crear directivas de aplicación
microsoft.directory/applicationPolicies/delete Eliminar directivas de aplicación
microsoft.directory/applicationPolicies/owners/read Leer los propietarios en directivas de aplicación
microsoft.directory/applicationPolicies/owners/update Actualizar la propiedad de propietario de las directivas de aplicación
microsoft.directory/applicationPolicies/policyAppliedTo/read Leer las directivas de aplicación aplicadas a la lista de objetos
microsoft.directory/applicationPolicies/standard/read Leer las propiedades estándar de las directivas de aplicación
microsoft.directory/applications/appRoles/update Actualizar la propiedad appRoles en todos los tipos de aplicaciones
microsoft.directory/applications/audience/update Actualizar la propiedad de público para las aplicaciones
microsoft.directory/applications/authentication/update Actualizar la autenticación en todos los tipos de aplicaciones
microsoft.directory/applications/basic/update Actualizar las propiedades básicas de las aplicaciones
microsoft.directory/applications/create Crear todos los tipos de aplicaciones
microsoft.directory/applications/credentials/update Actualizar las credenciales de la aplicación
Icono de etiqueta con privilegios.
microsoft.directory/applications/delete Eliminar todos los tipos de aplicaciones
microsoft.directory/applications/extensionProperties/update Actualizar las propiedades de extensión en aplicaciones
microsoft.directory/applications/notes/update Actualizar las notas de las aplicaciones
microsoft.directory/applications/owners/update Actualizar los propietarios de las aplicaciones
microsoft.directory/applications/permissions/update Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones
microsoft.directory/applications/policies/update Actualizar las directivas de las aplicaciones
microsoft.directory/applications/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación
microsoft.directory/applications/tag/update Actualizar las etiquetas de las aplicaciones
microsoft.directory/applications/verification/update Actualizar la propiedad applicationsverification
microsoft.directory/applicationTemplates/instantiate Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación.
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/deletedItems.applications/delete Eliminar permanente las aplicaciones, que ya no se pueden restaurar
microsoft.directory/deletedItems.applications/restore Restaurar las aplicaciones eliminadas temporalmente a su estado original
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/servicePrincipals/audience/update Actualizar las propiedades de público en las entidades de servicio
microsoft.directory/servicePrincipals/authentication/update Actualizar las propiedades de autenticación en las entidades de servicio
microsoft.directory/servicePrincipals/basic/update Actualizar las propiedades básicas de las entidades de servicio
microsoft.directory/servicePrincipals/create Creación de entidades de servicio
microsoft.directory/servicePrincipals/credentials/update Actualizar las credenciales de las entidades de servicio
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/delete Eliminar entidades de servicio
microsoft.directory/servicePrincipals/disable Deshabilitar entidades de servicio
microsoft.directory/servicePrincipals/enable Habilitación de entidades de servicio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Administrar las credenciales de inicio de sesión único con contraseña en las entidades de servicio
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leer las credenciales de inicio de sesión único con contraseña en las entidades de servicio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimiento para permisos de aplicación y permisos delegados en nombre de cualquier usuario o de todos los usuarios, excepto los permisos de aplicación para Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Actualizar las notas de las entidades de servicio
microsoft.directory/servicePrincipals/owners/update Actualizar los propietarios de las entidades de servicio
microsoft.directory/servicePrincipals/permissions/update Actualizar los permisos de las entidades de servicio
microsoft.directory/servicePrincipals/policies/update Actualizar las directivas de las entidades de servicio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Administra las credenciales y los secretos de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationJobs/manage Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
microsoft.directory/servicePrincipals/tag/update Actualizar la propiedad de etiqueta de las entidades de servicio
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de dispositivos en la nube

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios de este rol pueden habilitar, deshabilitar y eliminar dispositivos en Microsoft Entra ID y leer las claves de BitLocker de Windows 10 (si están presentes) en Azure Portal. El rol no concede permisos para administrar otras propiedades en el dispositivo.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/deletedItems.devices/delete Eliminar permanente los dispositivos que ya no se pueden restaurar
microsoft.directory/deletedItems.devices/restore Restaurar los dispositivos eliminados temporalmente a su estado original
microsoft.directory/deviceLocalCredentials/password/read Lectura de todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, incluida la contraseña
microsoft.directory/deviceManagementPolicies/basic/update Actualización de las propiedades básicas en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
Icono de etiqueta con privilegios.
microsoft.directory/deviceManagementPolicies/standard/read Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
microsoft.directory/deviceRegistrationPolicy/basic/update Actualizar las propiedades básicas en las directivas de registro de dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/deviceRegistrationPolicy/standard/read Lectura de las propiedades estándar de las directivas de registro de dispositivos.
microsoft.directory/devices/delete Eliminar los dispositivos de Microsoft Entra ID
microsoft.directory/devices/disable Deshabilitar los dispositivos en Microsoft Entra ID
microsoft.directory/devices/enable Habilitar los dispositivos en Microsoft Entra ID
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365

Administrador de cumplimiento

Los usuarios con este rol tienen permisos para administrar las características relacionadas con el cumplimiento en el portal de cumplimiento de Microsoft Purview, el Centro de administración de Microsoft 365, Azure y el portal de Microsoft 365 Defender. Los usuarios asignados también pueden administrar todas las características dentro del Centro de administración de Exchange, así como crear incidencias de soporte técnico para Azure y Microsoft 365. Para obtener más información, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.

En Puede hacer
Portal de cumplimiento de Microsoft Purview Proteger y administrar los datos de la organización en los servicios de Microsoft 365
Administrar las alertas de cumplimiento
Administrador de cumplimiento de Microsoft Purview Controlar, asignar y verificar las actividades de cumplimiento normativo de su organización
Portal de Microsoft 365 Defender Administrar la gobernanza de datos
Realizar investigaciones legales y de datos
Administrar solicitudes de interesados de datos

Este rol tiene los mismos permisos que el grupo de roles Administrador de cumplimiento en el control de acceso basado en roles del portal de Microsoft 365 Defender.
Intune Ver todos los datos de auditoría de Intune
Microsoft Defender para aplicaciones en la nube Tiene permisos de solo lectura y puede administrar alertas
Puede crear y modificar las directivas de archivo y permitir acciones de gobernanza de archivos
Puede ver todos los informes integrados en Administración de datos
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/entitlementManagement/allProperties/read Leer todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Administra todos los aspectos del Administrador de cumplimiento de Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de datos de cumplimiento

Los usuarios con este rol tienen permisos para realizar un seguimiento de los datos del Portal de cumplimiento de Microsoft Purview, el Centro de administración de Microsoft 365 y Azure. Los usuarios también pueden hacer un seguimiento de los datos de cumplimiento en el Centro de administración de Exchange, el Administrador de cumplimiento y el Centro de administración de Teams y Skype for Business, así como crear incidencias de soporte técnico para Azure y Microsoft 365. Para obtener más información sobre las diferencias entre el Administrador de cumplimiento y el Administrador de datos de cumplimiento, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y el cumplimiento de Microsoft Purview.

En Puede hacer
Portal de cumplimiento de Microsoft Purview Supervisión de las directivas relacionadas con el cumplimiento en servicios de Microsoft 365
Administrar las alertas de cumplimiento
Administrador de cumplimiento de Microsoft Purview Controlar, asignar y verificar las actividades de cumplimiento normativo de su organización
Portal de Microsoft 365 Defender Administrar la gobernanza de datos
Realizar investigaciones legales y de datos
Administrar solicitudes de interesados de datos

Este rol tiene los mismos permisos que el grupo de roles Administrador de datos de cumplimiento en el control de acceso basado en roles del portal de Microsoft 365 Defender.
Intune Ver todos los datos de auditoría de Intune
Microsoft Defender para aplicaciones en la nube Tiene permisos de solo lectura y puede administrar alertas
Puede crear y modificar las directivas de archivo y permitir acciones de gobernanza de archivos
Puede ver todos los informes integrados en Administración de datos
Acciones Descripción
microsoft.azure.informationProtection/allEntities/allTasks Administrar todos los aspectos de Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/cloudAppSecurity/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones
microsoft.office365.complianceManager/allEntities/allTasks Administra todos los aspectos del Administrador de cumplimiento de Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de acceso condicional

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol tienen la capacidad de administrar la configuración de acceso condicional de Microsoft Entra.

Acciones Descripción
microsoft.directory/conditionalAccessPolicies/basic/update Actualizar las propiedades básicas de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/create Creación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/delete Eliminación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/owners/read Leer los propietarios de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/owners/update Actualizar los propietarios de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leer la propiedad "applied to" para las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/standard/read Leer el acceso condicional de las directivas
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Actualizar el inquilino predeterminado de las directivas de acceso condicional
microsoft.directory/namedLocations/basic/update Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/create Cree reglas personalizadas que definan las ubicaciones de red
microsoft.directory/namedLocations/delete Elimine las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/standard/read Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365
Icono de etiqueta con privilegios.

Aprobador del acceso a la Caja de seguridad del cliente

Administra las solicitudes de la Caja de seguridad del cliente de Microsoft Purview en la organización. Reciben notificaciones por correo electrónico para las solicitudes de la Caja de seguridad del cliente y pueden aprobar y rechazar solicitudes del centro de administración de Microsoft 365. También pueden activar o desactivar la característica de la Caja de seguridad del cliente. Solo los Administradores globales pueden restablecer las contraseñas de las personas asignadas a este rol.

Acciones Descripción
microsoft.office365.lockbox/allEntities/allTasks Administrar todos los aspectos de la Caja de seguridad del cliente
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de análisis de escritorio

Los usuarios con este rol pueden administrar el servicio de Análisis de escritorio. Esto incluye la posibilidad de ver el inventario de recursos, crear planes de implementación y ver la implementación y el estado de mantenimiento.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.desktopAnalytics/allEntities/allTasks Administrar todos los aspectos del Análisis de escritorio

Lectores de directorios

Los usuarios que tienen este rol pueden leer la información básica del directorio. Debe utilizarse para:

  • Conceder acceso de lectura a un conjunto específico de usuarios invitados, en lugar de hacerlo para todos los usuarios invitados.
  • Conceder acceso al centro de administración de Microsoft Entra a un conjunto específico de usuarios que no sean administradores cuando la opción "Restringir el acceso al Centro de administración Microsoft Entra" está establecida en "Sí".
  • Conceder acceso a las entidades de servicio a aquellos directorios en los que Directory.Read.All no sea una opción.
Acciones Descripción
microsoft.directory/administrativeUnits/members/read Leer los miembros de unidades administrativas
microsoft.directory/administrativeUnits/standard/read Leer las propiedades básicas en unidades administrativas
microsoft.directory/applicationPolicies/standard/read Leer las propiedades estándar de las directivas de aplicación
microsoft.directory/applications/owners/read Leer los propietarios de las aplicaciones
microsoft.directory/applications/policies/read Leer las directivas de las aplicaciones
microsoft.directory/applications/standard/read Leer las propiedades estándar de las aplicaciones
microsoft.directory/contacts/memberOf/read Leer la pertenencia a grupos para todos los contactos de Microsoft Entra ID
microsoft.directory/contacts/standard/read Leer las propiedades básicas de los contactos en Microsoft Entra ID
microsoft.directory/contracts/standard/read Leer las propiedades básicas en los contratos de socios
microsoft.directory/devices/memberOf/read Leer las pertenencias de dispositivos
microsoft.directory/devices/registeredOwners/read Leer los propietarios registrados de los dispositivos
microsoft.directory/devices/registeredUsers/read Leer los usuarios registrados de los dispositivos
microsoft.directory/devices/standard/read Leer las propiedades básicas en los dispositivos
microsoft.directory/directoryRoles/eligibleMembers/read Leer los miembros aptos de los roles de Microsoft Entra
microsoft.directory/directoryRoles/members/read Leer todos los miembros de los roles de Microsoft Entra
microsoft.directory/directoryRoles/standard/read Lectura de las propiedades básicas de los roles de Microsoft Entra
microsoft.directory/domains/standard/read Leer las propiedades básicas en los dominios
microsoft.directory/groups/appRoleAssignments/read Leer asignaciones de roles de aplicación de grupos
microsoft.directory/groupSettings/standard/read Leer las propiedades básicas de la configuración de grupo
microsoft.directory/groupSettingTemplates/standard/read Leer las propiedades básicas de las plantillas de configuración de grupo
microsoft.directory/groups/memberOf/read Leer la propiedad memberOf de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups/members/read Leer los miembros de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups/owners/read Leer los propietarios de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups/settings/read Leer la configuración de los grupos
microsoft.directory/groups/standard/read Leer las propiedades estándar de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/oAuth2PermissionGrants/standard/read Leer las propiedades básicas de las concesiones de permisos de OAuth 2.0
microsoft.directory/organization/standard/read Leer las propiedades básicas de una organización
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Leer las entidades de certificación de confianza para la autenticación sin contraseña
microsoft.directory/roleAssignments/standard/read Leer las propiedades básicas de las asignaciones de roles
microsoft.directory/roleDefinitions/standard/read Leer las propiedades básicas de las definiciones de roles
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Leer las asignaciones de roles de la entidad de servicio
microsoft.directory/servicePrincipals/appRoleAssignments/read Leer las asignaciones de roles asignadas a las entidades de servicio
microsoft.directory/servicePrincipals/memberOf/read Leer las pertenencias a grupos en entidades de servicio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Leer las concesiones de permisos delegados de las entidades de servicio
microsoft.directory/servicePrincipals/ownedObjects/read Leer los objetos de propiedad de las entidades de servicio
microsoft.directory/servicePrincipals/owners/read Leer los propietarios de las entidades de servicio
microsoft.directory/servicePrincipals/policies/read Leer las directivas de las entidades de servicio
microsoft.directory/servicePrincipals/standard/read Leer las propiedades básicas de las entidades de servicio
microsoft.directory/subscribedSkus/standard/read Lee las propiedades básicas de las suscripciones.
microsoft.directory/users/appRoleAssignments/read Leer las asignaciones de roles de aplicación para los usuarios
microsoft.directory/users/deviceForResourceAccount/read Leer deviceForResourceAccount de los usuarios
microsoft.directory/users/directReports/read Leer los informes directos para los usuarios
microsoft.directory/users/invitedBy/read Leer el usuario que ha invitado a un usuario externo a un inquilino
microsoft.directory/users/licenseDetails/read Leer los detalles de las licencias de los usuarios
microsoft.directory/users/manager/read Leer el administrador de usuarios
microsoft.directory/users/memberOf/read Leer las pertenencias a grupos de los usuarios
microsoft.directory/users/oAuth2PermissionGrants/read Leer las concesiones de permisos delegados en los usuarios
microsoft.directory/users/ownedDevices/read Leer los dispositivos de propiedad de los usuarios
microsoft.directory/users/ownedObjects/read Leer los objetos de propiedad de los usuarios
microsoft.directory/users/photo/read Leer la foto de los usuarios
microsoft.directory/users/registeredDevices/read Leer los dispositivos registrados de los usuarios
microsoft.directory/users/scopedRoleMemberOf/read Leer la pertenencia de un usuario a un rol de Microsoft Entra, que está limitado a una unidad administrativa
microsoft.directory/users/sponsors/read Leer los patrocinadores de los usuarios
microsoft.directory/users/standard/read Leer las propiedades básicas en los usuarios

Cuentas de sincronización de directorios

No utilice. Este rol se asigna automáticamente al servicio Microsoft Entra Connect y no está pensado ni es compatible con ningún otro uso.

Acciones Descripción
microsoft.directory/onPremisesSynchronization/standard/read Leer y administrar objetos para habilitar la sincronización de directorios local.

Escritores de directorios

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol pueden leer y actualizar información básica de usuarios, grupos y entidades de servicio.

Acciones Descripción
microsoft.directory/applications/extensionProperties/update Actualizar las propiedades de extensión en aplicaciones
microsoft.directory/contacts/create Crear contactos
microsoft.directory/groups/assignLicense Asignar las licencias de producto a grupos para las licencias basadas en grupos
microsoft.directory/groups/basic/update Actualizar las propiedades básicas de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/classification/update Actualizar la propiedad de clasificación de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/create Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/dynamicMembershipRule/update Actualizar la regla de membresía dinámica de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groupSettings/basic/update Actualizar las propiedades básicas de la configuración de grupo
microsoft.directory/groupSettings/create Creación de configuración de grupo
microsoft.directory/groupSettings/delete Eliminación de la configuración de grupo
microsoft.directory/groups/groupType/update Actualizar las propiedades que afectarían al tipo de grupo de los grupos de seguridad y los de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/members/update Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/onPremWriteBack/update Actualizar los grupos de Microsoft Entra para que se escriban en el entorno local con Microsoft Entra Connect
microsoft.directory/groups/owners/update Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para las licencias basadas en grupo
microsoft.directory/groups/settings/update Actualizar la configuración de los grupos
microsoft.directory/groups/visibility/update Actualizar la propiedad de visibilidad de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/oAuth2PermissionGrants/basic/update Actualizar las concesiones de permisos de OAuth 2.0
Icono de etiqueta con privilegios.
microsoft.directory/oAuth2PermissionGrants/create Crear concesiones de permisos de OAuth 2.0
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Administre el inquilino en la nube a los secretos y las credenciales del aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Inicie, reinicie y pause el inquilino en la nube en los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Cree y administre el inquilino en la nube al esquema y los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Administra las credenciales y los secretos de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationJobs/manage Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/users/assignLicense Administrar licencias de usuario
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/create Agregar usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/disable Deshabilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/enable Habilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/inviteGuest Invitar a usuarios externos
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/photo/update Actualizar la foto de los usuarios
microsoft.directory/users/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para los usuarios
microsoft.directory/users/sponsors/update Actualizar los patrocinadores de los usuarios
microsoft.directory/users/userPrincipalName/update Actualizar el nombre principal de usuario de los usuarios
Icono de etiqueta con privilegios.

Administrador de nombres de dominio

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol pueden administrar (leer, agregar, comprobar, actualizar y eliminar) los nombres de dominio. También pueden leer información de directorios sobre usuarios, grupos y aplicaciones, ya que estos objetos poseen dependencias de dominio. En entornos locales, los usuarios con este rol pueden configurar nombres de dominio para la federación, de modo que los usuarios asociados siempre se autentiquen de forma local. Estos usuarios pueden iniciar sesión en los servicios basados en Microsoft Entra con sus contraseñas locales a través del inicio de sesión único. La configuración de federación debe sincronizarse a través de Microsoft Entra Connect, por lo que los usuarios también tienen permisos para administrar Microsoft Entra Connect.

Acciones Descripción
microsoft.directory/domains/allProperties/allTasks Crear y eliminar dominios, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Dynamics 365

los usuarios con este rol tienen permisos globales en Microsoft Dynamics 365 Online, cuando el servicio está presente, así como también la capacidad de administrar incidencias de soporte técnico y supervisar el estado del servicio. Para más información, consulte Uso de roles de administrador de servicios para administrar el inquilino.

Nota:

En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Dynamics 365. En Azure Portal, se denomina Administrador de Dynamics 365.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.dynamics365/allEntities/allTasks Administrar todos los aspectos de Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Dynamics 365 Business Central

Asigne el rol Administrador de Dynamics 365 Business Central a los usuarios que necesiten realizar las siguientes tareas:

  • Acceder a los entornos de Dynamics 365 Business Central
  • Realizar todas las tareas administrativas en los entornos
  • Administrar el ciclo de vida de los entornos del cliente
  • Supervisar las extensiones instaladas en los entornos
  • Controlar las actualizaciones de los entornos
  • Realizar exportaciones de datos de los entornos
  • Leer y configurar paneles de estado del servicio de Microsoft 365 y Azure

Este rol no proporciona ningún permiso para otros productos de Dynamics 365.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/domains/standard/read Leer las propiedades básicas en los dominios
microsoft.directory/organization/standard/read Leer las propiedades básicas de una organización
microsoft.directory/subscribedSkus/standard/read Lee las propiedades básicas de las suscripciones.
microsoft.directory/users/standard/read Leer las propiedades básicas en los usuarios
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Administrar todos los aspectos de Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Edge

Los usuarios con este rol pueden crear y administrar la lista de sitios de empresa necesaria para Internet Explorer en Microsoft Edge. Este rol concede permisos para crear, editar y publicar la lista de sitios y, además, permite el acceso para administrar incidencias de soporte técnico. Más información

Acciones Descripción
microsoft.edge/allEntities/allProperties/allTasks Administrar todos los aspectos de Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Exchange

los usuarios con este rol tienen permisos globales en Microsoft Exchange Online, cuando el servicio está presente. También se ofrece la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar las incidencias de soporte técnico y supervisar el estado del servicio. Para más información, consulte Roles de administrador en el centro de administración de Microsoft 365.

Nota:

En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Exchange. En Azure Portal, se denomina Administrador de Exchange. En el Centro de administración de Exchange, se denomina Administrador de Exchange Online.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Crear y administrar la directiva de Exchange Online Protection en la Copia de seguridad Microsoft 365
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Leer y configurar la sesión de restauración para Exchange Online en la Copia de seguridad Microsoft 365
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Administrar todos los puntos de restauración asociados a los buzones de Exchange Online seleccionados en la Copia de seguridad Microsoft M365
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Administrar buzones agregados a la directiva de Exchange Online Protection en la Copia de seguridad Microsoft 365
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Administrar buzones agregados para la sesión de restauración de Exchange Online en la Copia de seguridad Microsoft 365
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups.unified/basic/update Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/create Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/delete Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/members/update Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/unified/owners/update Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/restore Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles
microsoft.office365.exchange/allEntities/basic/allTasks Administrar todos los aspectos de Exchange Online
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de destinatarios de Exchange

Los usuarios con este rol tienen acceso de lectura a los destinatarios y acceso de escritura a los atributos de dichos destinatarios en Exchange Online. Para más información, consulte Destinatarios en Exchange Server.

Acciones Descripción
microsoft.office365.exchange/migration/allProperties/allTasks Administrar todas las tareas relacionadas con la migración de destinatarios en Exchange Online.
microsoft.office365.exchange/recipients/allProperties/allTasks Crear y eliminar todos los destinatarios, y leer y actualizar todas la propiedades de los destinatarios en Exchange Online.

Administrador de flujos de usuarios con id. externo

Los usuarios con este rol pueden crear y administrar flujos de usuario (también conocidos como directivas "integradas") en Azure Portal. Estos usuarios pueden personalizar el contenido HTML/CSS/JavaScript, cambiar los requisitos de MFA, seleccionar notificaciones en el token, administrar conectores de API y sus credenciales, y configurar las opciones de sesión para todos los flujos de usuario de la organización de Microsoft Entra. Por otro lado, este rol no incluye la posibilidad de revisar los datos de usuario ni de realizar cambios en los atributos que están incluidos en el esquema de la organización. Los cambios en las directivas de Identity Experience Framework (también conocidas como directivas personalizadas) quedan igualmente fuera del ámbito de este rol.

Acciones Descripción
microsoft.directory/b2cUserFlow/allProperties/allTasks Leer y configurar un flujo de usuario en Azure Active Directory B2C

Administrador de atributos de flujos de usuarios con id. externo

Los usuarios con este rol agregan o eliminan atributos personalizados disponibles para todos los flujos de usuario de la organización de Microsoft Entra. En este sentido, pueden cambiar el esquema de usuario final o agregarle nuevos elementos e influir sobre el comportamiento de todos los flujos de usuario y que el resultado indirecto sean cambios en los datos que se pueden solicitar de los usuarios finales y, a la larga, enviarse como notificaciones a las aplicaciones. Este rol no puede editar flujos de usuario.

Acciones Descripción
microsoft.directory/b2cUserAttribute/allProperties/allTasks Leer y configurar un atributo de usuario en Azure Active Directory B2C

Administrador de proveedor de identidades externo

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Este administrador administra la federación entre las organizaciones de Microsoft Entra y los proveedores de identidades externos. Con este rol, los usuarios pueden agregar nuevos proveedores de identidades y configurar todos los valores disponibles (por ejemplo, la ruta de autenticación, el identificador de servicio o los contenedores de claves asignados). Este usuario puede permitir que la organización de Microsoft Entra confíe en las autenticaciones de proveedores de identidades externos. El efecto resultante en las experiencias del usuario final depende del tipo de organización:

  • Organizaciones de Microsoft Entra para empleados y asociados: La adición de una federación (por ejemplo, con Gmail) afectará inmediatamente a todas las invitaciones de invitado que aún no se han canjeado. Consulte Incorporación de Google como proveedor de identidades para los usuarios invitados de B2B.
  • Organizaciones de Azure Active Directory B2C: La adición de una federación (por ejemplo, con Facebook o con otra organización de Microsoft Entra) no afecta inmediatamente a los flujos de usuario final hasta que el proveedor de identidades se agrega como una opción en un flujo de usuario (también denominado directiva integrada). Consulte Configuración de una cuenta Microsoft como proveedor de identidades para ver un ejemplo. Para cambiar los flujos de usuario, se requiere el rol limitado de "Administrador de flujos de usuario B2C".
Acciones Descripción
microsoft.directory/domains/federation/update Actualizar la propiedad de federación de los dominios
Icono de etiqueta con privilegios.
microsoft.directory/identityProviders/allProperties/allTasks Leer y configurar los proveedores de identidades en Azure Active Directory B2C
Icono de etiqueta con privilegios.

Administrador de Fabric

los usuarios con este rol tienen permisos globales en Microsoft Fabric y Power BI, cuando existe el servicio, así como también la posibilidad de administrar incidencias de soporte técnico y supervisar el mantenimiento del servicio. Para más información, consulte Descripción de los roles de administrador de Fabric.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Administrar todos los aspectos de Fabric y Power BI

Administrador global

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol tienen acceso a todas las características administrativas de Microsoft Entra ID, así como a los servicios que usan identidades de Microsoft Entra, como el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview, Exchange Online, SharePoint Online y Skype Empresarial Online. Los administradores globales pueden ver los registros de actividad de directorio. Además, los Administradores globales pueden elevar el acceso para administrar todas las suscripciones y los grupos de administración de Azure. Esto permite a los administradores globales obtener acceso completo a todos los recursos de Azure mediante el inquilino correspondiente de Microsoft Entra. La persona que se suscribe a la organización de Microsoft Entra se convierte en administrador global. Puede haber más de un Administrador global en su empresa. Los Administradores globales pueden restablecer la contraseña de todos los usuarios y de todos los demás administradores. Un Administrador global no puede quitar su propia asignación de Administrador global. Esto es para evitar una situación en la que una organización no tenga ningún Administrador global.

Nota:

Como procedimiento recomendado, Microsoft recomienda que se asigne el rol Administrador global a menos de cinco personas de la organización. Para obtener más información, consulte Procedimientos recomendados para los roles de Microsoft Entra.

Acciones Descripción
microsoft.azure.advancedThreatProtection/allEntities/allTasks Administrar todos los aspectos de Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Administrar todos los aspectos de Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.backup/allEntities/allProperties/allTasks Administrar todos los aspectos de la Copia de seguridad Microsoft 365
microsoft.cloudPC/allEntities/allProperties/allTasks Administrar todos los aspectos de Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Administrar todos los aspectos de la facturación de Office 365
microsoft.commerce.billing/purchases/standard/read Leer los servicios de compra en el Centro de administración de M365
microsoft.directory/accessReviews/allProperties/allTasks (En desuso) Crear y eliminar revisiones de acceso, leer y actualizar todas las propiedades de las revisiones de acceso y administrar las revisiones de acceso de grupos en Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Administrar las revisiones de acceso de todos los recursos revisables en Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Administrar directivas de solicitud de consentimiento del administrador en Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Crea y administra unidades administrativas (incluidos los miembros).
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Crear y eliminar aplicaciones, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/applications/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación
microsoft.directory/applicationTemplates/instantiate Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación.
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/authorizationPolicy/allProperties/allTasks Administrar todos los aspectos de una directiva de autorización
Icono de etiqueta con privilegios.
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Actualizar todas las propiedades de las directivas de acceso condicional
microsoft.directory/connectorGroups/allProperties/read Leer todas las propiedades de los grupos de conectores de red privada
microsoft.directory/connectorGroups/allProperties/update Actualizar todas las propiedades de los grupos de conectores de red privada
microsoft.directory/connectorGroups/create Crear grupos de conectores de red privada
microsoft.directory/connectorGroups/delete Eliminar grupos de conectores de red privada
microsoft.directory/connectors/allProperties/read Leer todas las propiedades de los conectores de red privada
microsoft.directory/connectors/create Crear conectores de red privada
microsoft.directory/contacts/allProperties/allTasks Crear y eliminar contactos, y leer y actualizar todas las propiedades
microsoft.directory/contracts/allProperties/allTasks Crear y eliminar contratos de asociados, y leer y actualizar todas las propiedades
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos
microsoft.directory/crossTenantAccessPolicy/basic/update Actualizar la configuración básica de la directiva de acceso entre inquilinos
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Actualización de la configuración de colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Actualización de la configuración de conexión directa de Microsoft Entra B2B de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/create Crear una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminar una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Actualizar la configuración básica de la directiva de sincronización entre inquilinos
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Crear una directiva de sincronización entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leer las propiedades básicas de la directiva de sincronización entre inquilinos
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Actualización de plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Restablecer la plantilla de directiva de sincronización entre inquilinos para la organización multiinquilino a la configuración predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino.
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Actualización de plantillas de directiva de acceso entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Restablecer la plantilla de directiva de acceso entre inquilinos para la organización multiinquilino a la configuración predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Crear y administrar extensiones de autenticación personalizadas
Icono de etiqueta con privilegios.
microsoft.directory/deletedItems/delete Eliminar permanente los objetos, que ya no se pueden restaurar
microsoft.directory/deletedItems/restore Restaurar los objetos eliminados temporalmente a su estado original
microsoft.directory/deviceLocalCredentials/password/read Lectura de todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, incluida la contraseña
microsoft.directory/deviceManagementPolicies/basic/update Actualización de las propiedades básicas en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
Icono de etiqueta con privilegios.
microsoft.directory/deviceManagementPolicies/standard/read Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
microsoft.directory/deviceRegistrationPolicy/basic/update Actualizar las propiedades básicas en las directivas de registro de dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/deviceRegistrationPolicy/standard/read Lectura de las propiedades estándar de las directivas de registro de dispositivos.
microsoft.directory/devices/allProperties/allTasks Crear y eliminar dispositivos, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/directoryRoles/allProperties/allTasks Crear y eliminar roles de directorio, y leer y actualizar todas las propiedades
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Crear y eliminar plantillas de rol de Microsoft Entra y leer y actualizar todas las propiedades
microsoft.directory/domains/allProperties/allTasks Crear y eliminar dominios, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/domains/federationConfiguration/basic/update Actualiza la configuración de federación básica de los dominios.
microsoft.directory/domains/federationConfiguration/create Crea la configuración de federación de los dominios.
microsoft.directory/domains/federationConfiguration/delete Elimina la configuración de federación de los dominios.
microsoft.directory/domains/federationConfiguration/standard/read Lee las propiedades estándar de la configuración de federación de los dominios.
microsoft.directory/entitlementManagement/allProperties/allTasks Crear y eliminar recursos y leer y actualizar todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/externalUserProfiles/delete Eliminar perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/externalUserProfiles/standard/read Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/groups/allProperties/allTasks Crear y eliminar grupos, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/groupsAssignableToRoles/allProperties/update Actualizar grupos asignables de roles
microsoft.directory/groupsAssignableToRoles/assignLicense Asignación de una licencia a grupos a los que se pueden asignar roles
microsoft.directory/groupsAssignableToRoles/create Creación de grupos a los que se pueden asignar roles
microsoft.directory/groupsAssignableToRoles/delete Eliminar grupos asignables de roles
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Volver a procesar las asignaciones de licencias a grupos a los que se pueden asignar roles
microsoft.directory/groupsAssignableToRoles/restore Restaurar de grupos asignables de roles
microsoft.directory/groupSettings/allProperties/allTasks Crear y eliminar la configuración de grupos, y leer y actualizar todas las propiedades
microsoft.directory/groupSettingTemplates/allProperties/allTasks Crear y eliminar plantillas de configuración de grupos, y leer y actualizar todas las propiedades
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Administrar la directiva de autenticación híbrida en Microsoft Entra ID
Icono de etiqueta con privilegios.
microsoft.directory/identityProtection/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Protección de Microsoft Entra ID.
Icono de etiqueta con privilegios.
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Administrar todos los aspectos de los flujos de trabajo y las tareas del ciclo de vida en Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Crear y eliminar loginTenantBranding, y leer y actualizar todas las propiedades
microsoft.directory/multiTenantOrganization/basic/update Actualización de las propiedades básicas de una organización multiinquilino
microsoft.directory/multiTenantOrganization/create Creación de una organización multiinquilino
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Únase a una organización multiinquilino
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leer las propiedades de una solicitud de unión a una organización multiinquilino
microsoft.directory/multiTenantOrganization/standard/read Leer las propiedades básicas de una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/create Creación de un inquilino en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/delete Eliminación de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Actualización de las propiedades básicas de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/standard/read Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino
microsoft.directory/namedLocations/basic/update Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/create Cree reglas personalizadas que definan las ubicaciones de red
microsoft.directory/namedLocations/delete Elimine las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/standard/read Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/onPremisesSynchronization/basic/update Actualización de la información básica de sincronización de directorios en el entorno local
microsoft.directory/onPremisesSynchronization/standard/read Leer la información estándar de sincronización de directorios en el entorno local
microsoft.directory/organization/allProperties/allTasks Leer y actualizar todas las propiedades de una organización
microsoft.directory/passwordHashSync/allProperties/allTasks Administrar todos los aspectos de la sincronización de hash de contraseñas (PHS) en Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/basic/update Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/pendingExternalUserProfiles/create Crear perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/pendingExternalUserProfiles/delete Eliminar perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/permissionGrantPolicies/basic/update Actualizar las propiedades básicas de las directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/create Crear directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/delete Eliminar directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/standard/read Lear las propiedades estándar de las directivas de concesión de permisos
microsoft.directory/policies/allProperties/allTasks Crear y eliminar directivas, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leer todos los recursos de Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365
Icono de etiqueta con privilegios.
microsoft.directory/roleAssignments/allProperties/allTasks Crea y elimina asignaciones de roles, y lee y actualiza todas las propiedades de asignación de roles.
microsoft.directory/roleDefinitions/allProperties/allTasks Crea y elimina definiciones de roles, y lee y actualiza todas las propiedades.
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Crea y elimina la propiedad scopedRoleMemberships, y lee y actualiza todas las propiedades.
microsoft.directory/serviceAction/activateService Poder realizar la acción "activar servicio" para un servicio
microsoft.directory/serviceAction/disableDirectoryFeature Poder realizar la acción de servicio "deshabilitar la característica de directorio"
microsoft.directory/serviceAction/enableDirectoryFeature Poder realizar la acción de servicio "habilitar la característica de directorio"
microsoft.directory/serviceAction/getAvailableExtentionProperties Poder realizar la acción de servicio getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/basic/update Actualizar las propiedades estándar de las directivas de creación de entidades de servicio
microsoft.directory/servicePrincipalCreationPolicies/create Crear directivas de creación de entidad de servicio
microsoft.directory/servicePrincipalCreationPolicies/delete Eliminar directivas de creación de entidad de servicio
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leer las propiedades estándar de las directivas de creación de entidades de servicio
microsoft.directory/servicePrincipals/allProperties/allTasks Crear y eliminar entidades de servicio, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Conceder consentimiento para cualquier permiso a cualquier aplicación
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Administre el inquilino en la nube a los secretos y las credenciales del aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Inicie, reinicie y pause el inquilino en la nube en los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Cree y administre el inquilino en la nube al esquema y los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Administra las credenciales y los secretos de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.directory/subscribedSkus/allProperties/allTasks Comprar y administrar suscripciones, y eliminar suscripciones
microsoft.directory/tenantManagement/tenants/create Creación de nuevos inquilinos en Microsoft Entra ID
microsoft.directory/users/allProperties/allTasks Crear y eliminar usuarios, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/basic/update Actualizar las propiedades básicas de los métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/create Actualizar métodos de autenticación para usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/delete Eliminar métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/standard/read Leer las propiedades básicas de los métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/convertExternalToInternalMemberUser Conversión de usuario externo en usuario interno
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lea la configuración necesaria para crear y administrar credenciales verificables.
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuración de actualización necesaria para crear y administrar credenciales verificables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lea un contrato de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Actualice un contrato de credencial verificable
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lea una tarjeta de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Revoque una tarjeta de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/create Cree un contrato de credencial verificable
microsoft.directory/verifiableCredentials/configuration/create Cree la configuración necesaria para crear y administrar credenciales verificables.
microsoft.directory/verifiableCredentials/configuration/delete Elimine la configuración necesaria para crear y administrar credenciales verificables y elimine todas las credenciales verificables
microsoft.dynamics365/allEntities/allTasks Administrar todos los aspectos de Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Administrar todos los aspectos de Microsoft Edge
microsoft.flow/allEntities/allTasks Administrar todos los aspectos de Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Administración de aspectos de Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/allTasks Crear, leer, actualizar y eliminar direcciones de envío para reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío creadas por otros usuarios
microsoft.hardware.support/shippingStatus/allProperties/read Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Crear y administrar todos los aspectos de las reclamaciones de garantía de hardware de Microsoft
microsoft.insights/allEntities/allProperties/allTasks Administrar todos los aspectos de la aplicación de información
microsoft.intune/allEntities/allTasks Administrar todos los aspectos de Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks Administrar todos los aspectos de Microsoft Entra Network Access
microsoft.office365.complianceManager/allEntities/allTasks Administra todos los aspectos del Administrador de cumplimiento de Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Administrar todos los aspectos del Análisis de escritorio
microsoft.office365.exchange/allEntities/basic/allTasks Administrar todos los aspectos de Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Administre todos los aspectos de los contenedores de SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lea y actualice todas las propiedades de la descripción del contenido en el centro de administración de Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lea los informes de análisis relativos a la comprensión de contenidos en el centro de administración de Microsoft 365.
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lea y actualice todas las propiedades de la red de conocimiento en el centro de administración de Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Administre la visibilidad de los temas en la red de conocimientos en el centro de administración de Microsoft 365.
microsoft.office365.knowledge/learningSources/allProperties/allTasks Administre los orígenes de aprendizaje y todas sus propiedades en Learning App.
microsoft.office365.lockbox/allEntities/allTasks Administrar todos los aspectos de la Caja de seguridad del cliente
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.messageCenter/securityMessages/read Leer los mensajes de seguridad del centro de mensajes del centro de administración de Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Administración de todos los aspectos de las migraciones de Microsoft 365
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Puede administrar todos los aspectos de creación de mensajes de la organización de Microsoft 365.
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Administre todos los aspectos del Centro de seguridad y Cumplimiento
microsoft.office365.search/content/manage Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft
microsoft.office365.securityComplianceCenter/allEntities/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar del Centro de seguridad y cumplimiento de Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.userCommunication/allEntities/allTasks Leer y actualizar la visibilidad de los mensajes sobre novedades
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Administrar todos los aspectos de Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Administrar todos los aspectos de administración de permisos de Microsoft Entra
microsoft.powerApps/allEntities/allTasks Administrar todos los aspectos de Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Administrar todos los aspectos de Fabric y Power BI
microsoft.teams/allEntities/allProperties/allTasks Administrar todos los recursos de Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Administración y uso compartido de métricas y información de visitas virtuales desde los centros de administración o la aplicación Visitas virtuales
microsoft.viva.goals/allEntities/allProperties/allTasks Administrar todos los aspectos de los Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/allTasks Administración de todos los aspectos de Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Administrar todos los aspectos de Microsoft Defender para punto de conexión
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leer y configurar todos los aspectos del servicio Windows Update

Lector global

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios de este rol pueden leer la configuración y la información administrativa en los servicios de Microsoft 365, pero no pueden llevar a cabo acciones de administración. El rol Lector global es la contrapartida de solo lectura del Administrador global. Asigne el rol Lector global en lugar del rol Administrador global para planeamiento, auditoría o investigación. Use el rol Lector global en combinación con otros roles de administrador limitados, como el de administrador de Exchange, para facilitar que se lleve a cabo el trabajo sin asignar el rol de administrador global. Lector global funciona con el Centro de administración de Microsoft 365, el Centro de administración de Exchange, el Centro de administración de SharePoint, el Centro de administración de Teams, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview, Azure Portal y el Centro de administración de dispositivos.

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • No pueden acceder al área Servicios de compra del Centro de administración de Microsoft 365.

Nota:

El rol Lector global tiene las siguientes limitaciones:

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.backup/allEntities/allProperties/read Leer todos los aspectos de la Copia de seguridad Microsoft 365
microsoft.cloudPC/allEntities/allProperties/read Leer todos los aspectos de Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Leer todos los recursos de facturación de Office 365
microsoft.commerce.billing/purchases/standard/read Leer los servicios de compra en el Centro de administración de M365
microsoft.directory/accessReviews/allProperties/read (En desuso) Leer todas las propiedades de las revisiones de acceso
microsoft.directory/accessReviews/definitions/allProperties/read Leer todas las propiedades de las revisiones de acceso de todos los recursos revisables en Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Leer todas las propiedades de las directivas de solicitud de consentimiento del administrador en Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/read Leer todas las propiedades de las unidades administrativas, incluidos los miembros
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leer todas las propiedades de las solicitudes de consentimiento para las aplicaciones registradas con Microsoft Entra ID
microsoft.directory/applications/allProperties/read Leer todas las propiedades (incluidas las propiedades con privilegios) en todos los tipos de aplicaciones
microsoft.directory/applications/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/cloudAppSecurity/allProperties/read Leer todas las propiedades de Defender for Cloud para aplicaciones
microsoft.directory/conditionalAccessPolicies/allProperties/read Leer todas las propiedades de las directivas de acceso condicional
microsoft.directory/connectorGroups/allProperties/read Leer todas las propiedades de los grupos de conectores de red privada
microsoft.directory/connectors/allProperties/read Leer todas las propiedades de los conectores de red privada
microsoft.directory/contacts/allProperties/read Leer todas las propiedades de los contactos
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leer las propiedades básicas de la directiva de sincronización entre inquilinos
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino.
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos
microsoft.directory/customAuthenticationExtensions/allProperties/read Leer extensiones de autenticación personalizadas
microsoft.directory/deviceLocalCredentials/standard/read Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña
microsoft.directory/deviceManagementPolicies/standard/read Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
microsoft.directory/deviceRegistrationPolicy/standard/read Lectura de las propiedades estándar de las directivas de registro de dispositivos.
microsoft.directory/devices/allProperties/read Leer todas las propiedades de los dispositivos
microsoft.directory/directoryRoles/allProperties/read Leer todas las propiedades de los roles de directorio
microsoft.directory/directoryRoleTemplates/allProperties/read Leer todas las propiedades de las plantillas de roles de directorio
microsoft.directory/domains/allProperties/read Leer todas las propiedades de los dominios
microsoft.directory/domains/federationConfiguration/standard/read Lee las propiedades estándar de la configuración de federación de los dominios.
microsoft.directory/entitlementManagement/allProperties/read Leer todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/groups/allProperties/read Lea todas las propiedades (incluidas las propiedades con privilegios) de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groupSettings/allProperties/read Leer todas las propiedades de la configuración del grupo
microsoft.directory/groupSettingTemplates/allProperties/read Leer todas las propiedades de las plantillas de configuración del grupo
microsoft.directory/identityProtection/allProperties/read Leer todos los recursos de Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Leer todas las propiedades de los flujos de trabajo y las tareas del ciclo de vida en Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/read Leer todas las propiedades de la página de inicio de sesión con marca de la organización
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leer las propiedades de una solicitud de unión a una organización multiinquilino
microsoft.directory/multiTenantOrganization/standard/read Leer las propiedades básicas de una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/standard/read Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino
microsoft.directory/namedLocations/standard/read Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/oAuth2PermissionGrants/allProperties/read Leer todas las propiedades de las concesiones de permisos de OAuth 2.0
microsoft.directory/organization/allProperties/read Leer todas las propiedades de una organización
microsoft.directory/pendingExternalUserProfiles/standard/read Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/permissionGrantPolicies/standard/read Lear las propiedades estándar de las directivas de concesión de permisos
microsoft.directory/policies/allProperties/read Leer todas las propiedades de las directivas
microsoft.directory/privilegedIdentityManagement/allProperties/read Leer todos los recursos de Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/roleAssignments/allProperties/read Leer todas las propiedades de las asignaciones de roles
microsoft.directory/roleDefinitions/allProperties/read Leer todas las propiedades de las definiciones de roles
microsoft.directory/scopedRoleMemberships/allProperties/read Ver los miembros de las unidades administrativas
microsoft.directory/serviceAction/getAvailableExtentionProperties Poder realizar la acción de servicio getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leer las propiedades estándar de las directivas de creación de entidades de servicio
microsoft.directory/servicePrincipals/allProperties/read Leer todas las propiedades, incluidas las propiedades con privilegios, en servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.directory/subscribedSkus/allProperties/read Leer todas las propiedades de las suscripciones de productos
microsoft.directory/users/allProperties/read Leer todas las propiedades de los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leer las propiedades estándar de los métodos de autenticación que no incluyen información de identificación personal para los usuarios
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lea la configuración necesaria para crear y administrar credenciales verificables.
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lea un contrato de credencial verificable.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lea una tarjeta de credencial verificable.
microsoft.edge/allEntities/allProperties/read Leer todos los aspectos de Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read Leer aspectos de Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/read Leer las direcciones de envío de las reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío existentes creadas por otros usuarios
microsoft.hardware.support/shippingStatus/allProperties/read Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas
microsoft.hardware.support/warrantyClaims/allProperties/read Leer las reclamaciones de garantía de hardware de Microsoft
microsoft.insights/allEntities/allProperties/read Leer todos los aspectos de Viva Insights
microsoft.networkAccess/allEntities/allProperties/read Leer todos los aspectos de Microsoft Entra Network Access
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Lectura de entidades y permisos de contenedores de SharePoint Embedded
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.messageCenter/securityMessages/read Leer los mensajes de seguridad del centro de mensajes del centro de administración de Microsoft 365
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365.
microsoft.office365.protectionCenter/allEntities/allProperties/read Leer todas las propiedades de los Centros de seguridad y Cumplimiento
microsoft.office365.securityComplianceCenter/allEntities/read Leer las propiedades estándar en el Centro de seguridad y cumplimiento de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Leer todos los aspectos de Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Leer todos los aspectos de administración de permisos de Microsoft Entra
microsoft.teams/allEntities/allProperties/read Leer todas las propiedades de Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Leer todos los aspectos de las visitas virtuales
microsoft.viva.goals/allEntities/allProperties/read Leer todos los aspectos de Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/read Leer todos los aspectos de Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Leer todos los aspectos del servicio Windows Update

Administrador de Acceso seguro global

Asigne el rol de Administrador de Acceso seguro global a los usuarios que necesiten hacer lo siguiente:

  • Crear y administrar todos los aspectos de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra
  • Administración del acceso a puntos de conexión públicos y privados

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • No se pueden administrar aplicaciones empresariales, registros de aplicaciones, acceso condicional o configuración de proxy de aplicación

Más información

Acciones Descripción
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/applicationPolicies/standard/read Leer las propiedades estándar de las directivas de aplicación
microsoft.directory/applications/applicationProxy/read Leer todas las propiedades del proxy de aplicación
microsoft.directory/applications/owners/read Leer los propietarios de las aplicaciones
microsoft.directory/applications/policies/read Leer las directivas de las aplicaciones
microsoft.directory/applications/standard/read Leer las propiedades estándar de las aplicaciones
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/conditionalAccessPolicies/standard/read Leer el acceso condicional de las directivas
microsoft.directory/connectorGroups/allProperties/read Leer todas las propiedades de los grupos de conectores de red privada
microsoft.directory/connectors/allProperties/read Leer todas las propiedades de los conectores de red privada
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos
microsoft.directory/namedLocations/standard/read Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.networkAccess/allEntities/allProperties/allTasks Administrar todos los aspectos de Microsoft Entra Network Access
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de grupos

Los usuarios de este rol pueden crear y administrar grupos y su configuración como directivas de nomenclatura y expiración. Es importante comprender que la asignación de un usuario a este rol les permite administrar todos los grupos de la organización en varias cargas de trabajo, como Teams, SharePoint, Yammer y Outlook. Además, el usuario podrá administrar la configuración de varios grupos en varios portales de administración, como el centro de administración de Microsoft, Azure Portal, así como los específicos de cargas de trabajo, como Teams y los centros de administración de SharePoint.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/deletedItems.groups/delete Eliminar de manera permanente los grupos que ya no se pueden restaurar
microsoft.directory/deletedItems.groups/restore Restaurar los grupos eliminados temporalmente a su estado original
microsoft.directory/groups/assignLicense Asignar las licencias de producto a grupos para las licencias basadas en grupos
microsoft.directory/groups/basic/update Actualizar las propiedades básicas de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/classification/update Actualizar la propiedad de clasificación de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/create Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/delete Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/dynamicMembershipRule/update Actualizar la regla de membresía dinámica de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/groupType/update Actualizar las propiedades que afectarían al tipo de grupo de los grupos de seguridad y los de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups/members/update Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/onPremWriteBack/update Actualizar los grupos de Microsoft Entra para que se escriban en el entorno local con Microsoft Entra Connect
microsoft.directory/groups/owners/update Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para las licencias basadas en grupo
microsoft.directory/groups/restore Restaurar grupos desde un contenedor eliminado temporalmente
microsoft.directory/groups/settings/update Actualizar la configuración de los grupos
microsoft.directory/groups/visibility/update Actualizar la propiedad de visibilidad de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Invitador de usuarios

Los usuarios de este rol pueden administrar las invitaciones de usuario invitado de Microsoft Entra B2B cuando losmiembros pueden invitar a configuración de usuario está establecida en No. Más información sobre la colaboración B2B en Acerca de la colaboración B2B de Microsoft Entra. No incluye otros permisos.

Acciones Descripción
microsoft.directory/users/appRoleAssignments/read Leer las asignaciones de roles de aplicación para los usuarios
microsoft.directory/users/deviceForResourceAccount/read Leer deviceForResourceAccount de los usuarios
microsoft.directory/users/directReports/read Leer los informes directos para los usuarios
microsoft.directory/users/invitedBy/read Leer el usuario que ha invitado a un usuario externo a un inquilino
microsoft.directory/users/inviteGuest Invitar a usuarios externos
microsoft.directory/users/licenseDetails/read Leer los detalles de las licencias de los usuarios
microsoft.directory/users/manager/read Leer el administrador de usuarios
microsoft.directory/users/memberOf/read Leer las pertenencias a grupos de los usuarios
microsoft.directory/users/oAuth2PermissionGrants/read Leer las concesiones de permisos delegados en los usuarios
microsoft.directory/users/ownedDevices/read Leer los dispositivos de propiedad de los usuarios
microsoft.directory/users/ownedObjects/read Leer los objetos de propiedad de los usuarios
microsoft.directory/users/photo/read Leer la foto de los usuarios
microsoft.directory/users/registeredDevices/read Leer los dispositivos registrados de los usuarios
microsoft.directory/users/scopedRoleMemberOf/read Leer la pertenencia de un usuario a un rol de Microsoft Entra, que está limitado a una unidad administrativa
microsoft.directory/users/sponsors/read Leer los patrocinadores de los usuarios
microsoft.directory/users/standard/read Leer las propiedades básicas en los usuarios

Administrador del departamento de soporte técnico

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol pueden cambiar contraseñas, invalidar tokens de actualización, crear y administrar solicitudes de soporte técnico con Microsoft para Azure y los servicios de Microsoft 365 y supervisar el estado del servicio. Si invalida un token de actualización, obligará al usuario a iniciar sesión de nuevo. El hecho de que un Administrador de del departamento de soporte técnico pueda restablecer la contraseña de un usuario e invalidar los tokens de actualización depende del rol que tenga asignado el usuario. Para obtener una lista de los roles para los que un administrador del departamento de soporte técnico puede restablecer las contraseñas e invalidar los tokens de actualización, consulte Quién puede restablecer las contraseñas.

Los usuarios con este rol no pueden realizar las siguientes tareas:

Importante

Los usuarios con este rol pueden cambiar las contraseñas de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar la contraseña de un usuario puede significar la capacidad de asumir la identidad y los permisos del usuario. Por ejemplo:

  • Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores del departamento de soporte técnico. Mediante esta ruta de acceso, un administrador del departamento de soporte técnico puede ser capaz de asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
  • Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
  • Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
  • Los administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
  • Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.

Delegar permisos administrativos en subconjuntos de usuarios y aplicar directivas a uno de estos subconjuntos es posible con Unidades administrativas.

Este rol se llamaba anteriormente Administrador de contraseñas en Azure Portal. Se cambió el nombre a Administrador del departamento de soporte técnico para que coincida con el nombre ya existente en Microsoft Graph API y Microsoft Graph PowerShell.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/deviceLocalCredentials/standard/read Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de identidades híbridas

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios de este rol pueden crear, administrar e implementar la configuración de aprovisionamiento desde Active Directory a Microsoft Entra ID mediante el aprovisionamiento en la nube, así como administrar Microsoft Entra Connect, autenticación de paso a través (PTA), sincronización de hash de contraseña (PHS), inicio de sesión único de conexión directa (SSO de conexión directa) y configuración de federación. No tiene acceso para administrar Microsoft Entra Connect Health. Los usuarios también pueden solucionar problemas y supervisar los registros mediante este rol.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/applications/appRoles/update Actualizar la propiedad appRoles en todos los tipos de aplicaciones
microsoft.directory/applications/audience/update Actualizar la propiedad de público para las aplicaciones
microsoft.directory/applications/authentication/update Actualizar la autenticación en todos los tipos de aplicaciones
microsoft.directory/applications/basic/update Actualizar las propiedades básicas de las aplicaciones
microsoft.directory/applications/create Crear todos los tipos de aplicaciones
microsoft.directory/applications/delete Eliminar todos los tipos de aplicaciones
microsoft.directory/applications/notes/update Actualizar las notas de las aplicaciones
microsoft.directory/applications/owners/update Actualizar los propietarios de las aplicaciones
microsoft.directory/applications/permissions/update Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones
microsoft.directory/applications/policies/update Actualizar las directivas de las aplicaciones
microsoft.directory/applications/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación
microsoft.directory/applications/tag/update Actualizar las etiquetas de las aplicaciones
microsoft.directory/applicationTemplates/instantiate Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación.
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/cloudProvisioning/allProperties/allTasks Lea y configure todas las propiedades del servicio de aprovisionamiento en la nube de Microsoft Entra.
microsoft.directory/deletedItems.applications/delete Eliminar permanente las aplicaciones, que ya no se pueden restaurar
microsoft.directory/deletedItems.applications/restore Restaurar las aplicaciones eliminadas temporalmente a su estado original
microsoft.directory/domains/allProperties/read Leer todas las propiedades de los dominios
microsoft.directory/domains/federationConfiguration/basic/update Actualiza la configuración de federación básica de los dominios.
microsoft.directory/domains/federationConfiguration/create Crea la configuración de federación de los dominios.
microsoft.directory/domains/federationConfiguration/delete Elimina la configuración de federación de los dominios.
microsoft.directory/domains/federationConfiguration/standard/read Lee las propiedades estándar de la configuración de federación de los dominios.
microsoft.directory/domains/federation/update Actualizar la propiedad de federación de los dominios
Icono de etiqueta con privilegios.
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Administrar la directiva de autenticación híbrida en Microsoft Entra ID
Icono de etiqueta con privilegios.
microsoft.directory/onPremisesSynchronization/basic/update Actualización de la información básica de sincronización de directorios en el entorno local
microsoft.directory/onPremisesSynchronization/standard/read Leer la información estándar de sincronización de directorios en el entorno local
microsoft.directory/organization/dirSync/update Actualizar la propiedad de sincronización de los directorios de la organización
microsoft.directory/passwordHashSync/allProperties/allTasks Administrar todos los aspectos de la sincronización de hash de contraseñas (PHS) en Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/servicePrincipals/audience/update Actualizar las propiedades de público en las entidades de servicio
microsoft.directory/servicePrincipals/authentication/update Actualizar las propiedades de autenticación en las entidades de servicio
microsoft.directory/servicePrincipals/basic/update Actualizar las propiedades básicas de las entidades de servicio
microsoft.directory/servicePrincipals/create Creación de entidades de servicio
microsoft.directory/servicePrincipals/delete Eliminar entidades de servicio
microsoft.directory/servicePrincipals/disable Deshabilitar entidades de servicio
microsoft.directory/servicePrincipals/enable Habilitación de entidades de servicio
microsoft.directory/servicePrincipals/notes/update Actualizar las notas de las entidades de servicio
microsoft.directory/servicePrincipals/owners/update Actualizar los propietarios de las entidades de servicio
microsoft.directory/servicePrincipals/permissions/update Actualizar los permisos de las entidades de servicio
microsoft.directory/servicePrincipals/policies/update Actualizar las directivas de las entidades de servicio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Administre el inquilino en la nube a los secretos y las credenciales del aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Inicie, reinicie y pause el inquilino en la nube en los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Cree y administre el inquilino en la nube al esquema y los trabajos de sincronización de aprovisionamiento de aplicaciones de inquilino en la nube.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Administra las credenciales y los secretos de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Inicia, reinicia y detiene los trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationJobs/manage Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronization/standard/read Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
microsoft.directory/servicePrincipals/tag/update Actualizar la propiedad de etiqueta de las entidades de servicio
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.directory/users/authorizationInfo/update Actualizar la propiedad de id. de usuario de certificado multivalor de los usuarios
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Identity Governance

Los usuarios con este rol pueden administrar la configuración de gobernanza de Microsoft Entra ID, incluidos los paquetes de acceso, las revisiones de acceso, los catálogos y las directivas, lo que garantiza que el acceso se aprueba y revisa y se quitan los usuarios invitados que ya no necesitan acceso.

Acciones Descripción
microsoft.directory/accessReviews/allProperties/allTasks (En desuso) Crear y eliminar revisiones de acceso, leer y actualizar todas las propiedades de las revisiones de acceso y administrar las revisiones de acceso de grupos en Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Administrar las revisiones de acceso de las asignaciones de roles de aplicación en Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Administrar las revisiones de acceso para las asignaciones de los paquetes de acceso en la administración de derechos
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leer todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Actualizar todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, a excepción de los grupos a los que se pueden asignar roles.
microsoft.directory/accessReviews/definitions.groups/create Crear revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Eliminar revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks Crear y eliminar recursos y leer y actualizar todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.directory/groups/members/update Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.

Administrador de Insights

Los usuarios con este rol pueden acceder al conjunto completo de funcionalidades administrativas de la aplicación Microsoft Viva Insights. Este rol tiene la capacidad de leer información de directorios, supervisar el mantenimiento del servicio, presentar vales de soporte técnico y acceder a aspectos de configuración del administrador de Insights.

Más información

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.insights/allEntities/allProperties/allTasks Administrar todos los aspectos de la aplicación de información
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Analista de Ideas

Asigne el rol de Analista de Ideas a usuarios que necesiten hacer lo siguiente:

  • Analizar datos en la aplicación Microsoft Viva Insights, pero no puede gestionar ninguna configuración
  • Crear, administrar y ejecutar consultas
  • Vea propiedades básicas e informes de uso en el Centro de administración de Microsoft 365
  • Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365

Más información

Acciones Descripción
microsoft.insights/queries/allProperties/allTasks Ejecución y gestión de consultas en Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Coordinador de Insights de la empresa

Los usuarios con este rol pueden acceder a un conjunto de paneles y conclusiones mediante la aplicación Microsoft Viva Insights. Esto incluye el acceso completo a todos los paneles y la funcionalidad de exploración de datos y conclusiones presentadas. Los usuarios con este rol no tienen acceso a las opciones de configuración del producto, que es responsabilidad del rol de administrador de Insights.

Más información

Acciones Descripción
microsoft.insights/programs/allProperties/update Implementar y administrar programas en la aplicación de información
microsoft.insights/reports/allProperties/read Consultar los informes y el panel en la aplicación de información

Administrador de Intune

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. los usuarios con este rol tienen permisos globales en Microsoft Intune Online, cuando existe el servicio. Además, este rol contiene la capacidad de administrar usuarios y dispositivos para asociar una directiva, así como también para crear y administrar grupos. Para obtener más información, vea Control de administración basada en roles (RBAC) con Microsoft Intune.

Este rol puede crear y administrar todos los grupos de seguridad. Sin embargo, el administrador de Intune no tiene derechos de administrador sobre grupos de Microsoft 365. Esto significa que el administrador no puede actualizar propietarios o pertenencias de todos los grupos de Microsoft 365 de la organización. Sin embargo, puede administrar el grupo de Microsoft 365 que crea y que forma parte de sus privilegios de usuario final. Por lo tanto, cualquier grupo de Microsoft 365 (no grupo de seguridad) que cree debe contarse con su cuota de 250.

Nota:

En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Intune. En Azure Portal, se denomina Administrador de Intune.

Acciones Descripción
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Administrar todos los aspectos de Windows 365
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/contacts/basic/update Actualizar las propiedades básicas en los contactos
microsoft.directory/contacts/create Crear contactos
microsoft.directory/contacts/delete Eliminar contactos
microsoft.directory/deletedItems.devices/delete Eliminar permanente los dispositivos que ya no se pueden restaurar
microsoft.directory/deletedItems.devices/restore Restaurar los dispositivos eliminados temporalmente a su estado original
microsoft.directory/deviceLocalCredentials/password/read Lectura de todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, incluida la contraseña
microsoft.directory/deviceManagementPolicies/standard/read Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
microsoft.directory/deviceRegistrationPolicy/standard/read Lectura de las propiedades estándar de las directivas de registro de dispositivos.
microsoft.directory/devices/basic/update Actualizar las propiedades básicas en los dispositivos
microsoft.directory/devices/create Crear dispositivos (inscribirse en Microsoft Entra ID)
microsoft.directory/devices/delete Eliminar los dispositivos de Microsoft Entra ID
microsoft.directory/devices/disable Deshabilitar los dispositivos en Microsoft Entra ID
microsoft.directory/devices/enable Habilitar los dispositivos en Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Actualizar las propiedades de extensionAttribute1 a extensionAttribute5 en los dispositivos
microsoft.directory/devices/extensionAttributeSet2/update Actualizar las propiedades de extensionAttribute6 a extensionAttribute10 en los dispositivos
microsoft.directory/devices/extensionAttributeSet3/update Actualizar las propiedades de extensionAttribute11 a extensionAttribute15 en los dispositivos
microsoft.directory/devices/registeredOwners/update Actualizar los propietarios registrados de los dispositivos
microsoft.directory/devices/registeredUsers/update Actualizar los usuarios registrados de los dispositivos
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups.security/basic/update Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/classification/update Actualizar la propiedad de clasificación de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/create Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/delete Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/dynamicMembershipRule/update Actualizar la regla de pertenencia dinámica de grupos de seguridad, excepto los grupos a los que se pueden asignar roles.
microsoft.directory/groups.security/members/update Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/owners/update Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/visibility/update Actualizar la propiedad de visibilidad de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/photo/update Actualizar la foto de los usuarios
microsoft.intune/allEntities/allTasks Administrar todos los aspectos de Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Kaizala

los usuarios con este rol tienen permisos globales para administrar la configuración en Microsoft Kaizala, cuando existe el servicio, así como también la posibilidad de administrar incidencias de soporte técnico y supervisar el mantenimiento del servicio. Además, el usuario puede acceder a informes relacionados con la adopción y el uso de Kaizala por parte de miembros de la organización, y a los informes empresariales que generan las acciones de Kaizala.

Acciones Descripción
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de conocimientos

Los usuarios en este rol tienen acceso completo a toda la configuración de conocimientos, aprendizaje y características inteligentes en el centro de administración de Microsoft 365. Tienen una descripción general del conjunto de productos, detalles de licencia y tienen la responsabilidad de controlar el acceso. El administrador del conocimiento puede crear y administrar contenido, como temas, acrónimos y recursos de aprendizaje. Además, estos usuarios pueden crear centros de contenido, supervisar el estado del servicio y crear solicitudes de servicio.

Acciones Descripción
microsoft.directory/groups.security/basic/update Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/create Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/createAsOwner Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles El creador se agrega como primer propietario.
microsoft.directory/groups.security/delete Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/members/update Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/owners/update Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lea y actualice todas las propiedades de la descripción del contenido en el centro de administración de Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lea y actualice todas las propiedades de la red de conocimiento en el centro de administración de Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Administre los orígenes de aprendizaje y todas sus propiedades en Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Leer todas las propiedades de las etiquetas de confidencialidad en los Centros de seguridad y cumplimiento
microsoft.office365.sharePoint/allEntities/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de conocimientos

Los usuarios con este rol pueden crear y administrar contenido, como temas, acrónimos y contenido de aprendizaje. Estos usuarios son responsables principalmente de la calidad y la estructura del conocimiento. Este usuario tiene derechos completos sobre las acciones de administración de los temas para confirmar un tema, eliminarlo o aprobar modificaciones. Este rol también puede administrar taxonomías como parte de la herramienta de administración del almacén de términos y crear centros de contenido.

Acciones Descripción
microsoft.directory/groups.security/basic/update Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/create Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/createAsOwner Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles El creador se agrega como primer propietario.
microsoft.directory/groups.security/delete Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/members/update Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/owners/update Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lea los informes de análisis relativos a la comprensión de contenidos en el centro de administración de Microsoft 365.
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Administre la visibilidad de los temas en la red de conocimientos en el centro de administración de Microsoft 365.
microsoft.office365.sharePoint/allEntities/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de licencias

Los usuarios con este rol pueden leer, agregar, quitar y actualizar las asignaciones de licencias de usuarios y grupos (mediante licencias basadas en grupo) y administrar la ubicación de uso de los usuarios. El rol no otorga la posibilidad de adquirir o administrar suscripciones, crear o administrar grupos o crear o administrar usuarios más allá de la ubicación de uso. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/groups/assignLicense Asignar las licencias de producto a grupos para las licencias basadas en grupos
microsoft.directory/groups/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para las licencias basadas en grupo
microsoft.directory/users/assignLicense Administrar licencias de usuario
microsoft.directory/users/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para los usuarios
microsoft.directory/users/usageLocation/update Actualizar la ubicación de uso de los usuarios
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de flujos de trabajo del ciclo de vida

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Asigne el rol Administrador de flujos de trabajo de ciclo de vida a los usuarios que necesiten realizar estas tareas:

  • Crear y administrar todos los aspectos de los flujos de trabajo y las tareas asociados con los flujos de trabajo del ciclo de vida en Microsoft Entra ID
  • Comprobación de la ejecución de flujos de trabajo programados
  • Inicio de ejecuciones de flujo de trabajo a petición
  • Inspección de los registros de ejecución de flujos de trabajo
Acciones Descripción
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Administrar todos los aspectos de los flujos de trabajo y las tareas del ciclo de vida en Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read Leer las propiedades de autenticación segura de una organización
microsoft.directory/users/lifeCycleInfo/read Leer información del ciclo de vida de los usuarios, como employeeLeaveDateTime
Icono de etiqueta con privilegios.

Lector de privacidad del Centro de mensajes

los usuarios con este rol pueden supervisar todas las notificaciones del Centro de mensajes, incluidos los mensajes de privacidad de datos. Los lectores de privacidad del Centro de mensajes reciben notificaciones por correo electrónico, incluidas las relacionadas con la privacidad de los datos, y pueden cancelar la suscripción mediante las preferencias del Centro de mensajes. Solo el administrador global y el lector de privacidad del Centro de mensajes pueden leer los mensajes de privacidad de los datos. Además, este rol incluye la posibilidad de ver los grupos, dominios y suscripciones. Este rol no tiene permiso para ver, crear o administrar solicitudes de servicio.

Acciones Descripción
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.messageCenter/securityMessages/read Leer los mensajes de seguridad del centro de mensajes del centro de administración de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Lector del Centro de mensajes

Los usuarios con este rol pueden supervisar las notificaciones y las actualizaciones de estado de advertencia en el centro de mensajes de su organización en los servicios configurados, como Exchange, Intune y Microsoft Teams. Los lectores del centro de mensajes reciben resúmenes semanales por correo electrónico de publicaciones y actualizaciones y pueden compartir entradas del centro de mensajes en Microsoft 365. En Microsoft Entra ID, los usuarios asignados a este rol solamente tienen acceso de solo lectura en los servicios de Microsoft Entra, como usuarios y grupos. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.

Acciones Descripción
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de migración de Microsoft 365

Asigne el rol Administrador de migración de Microsoft 365 a usuarios que necesiten realizar las siguientes tareas:

  • Use el Administrador de migración en el Centro de administración de Microsoft 365 para administrar la migración de contenido a Microsoft 365, incluidos los sitios de Teams, OneDrive para empresas y SharePoint, desde Google Drive, Dropbox, Box y Egnyte
  • Selección de orígenes de migración, creación de inventarios de migración (como listas de usuarios de Google Drive), programación y ejecución de migraciones y descarga de informes
  • Creación de nuevos sitios de SharePoint si los sitios de destino aún no existen, creación de listas de SharePoint en los sitios de administración de SharePoint y creación y actualización de elementos en listas de SharePoint
  • Administración de la configuración del proyecto de migración y el ciclo de vida de la migración para tareas
  • Administración de asignaciones de permisos de origen a destino

Nota:

Este rol no permite migrar desde orígenes de recursos compartidos de archivos mediante el Centro de administración de SharePoint. Puede usar el rol Administrador de SharePoint para migrar desde orígenes de recursos compartidos de archivos.

Más información

Acciones Descripción
microsoft.office365.migrations/allEntities/allProperties/allTasks Administración de todos los aspectos de las migraciones de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador local de dispositivos unidos a Microsoft Entra

este rol está disponible solo para la asignación como un administrador local adicional en la Configuración del dispositivo. Los usuarios con este rol se convierten en administradores de máquinas locales en todos los dispositivos Windows 10 que están unidos a Microsoft Entra ID. No tienen la capacidad de administrar objetos de dispositivos en Microsoft Entra ID.

Acciones Descripción
microsoft.directory/groupSettings/standard/read Leer las propiedades básicas de la configuración de grupo
microsoft.directory/groupSettingTemplates/standard/read Leer las propiedades básicas de las plantillas de configuración de grupo

Administrador de garantía de hardware de Microsoft

Asigne el rol Administrador de garantía de hardware de Microsoft a usuarios que necesiten realizar las siguientes tareas:

  • Crear reclamaciones de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens
  • Buscar y leer reclamaciones de garantía abiertas o cerradas
  • Buscar y leer reclamaciones de garantía por número de serie
  • Crear, leer, actualizar y eliminar direcciones de envío
  • Leer el estado del envío de las reclamaciones de garantía abiertas
  • Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365
  • Leer anuncios del centro de mensajes en el Centro de administración de Microsoft 365

Una reclamación de garantía es una solicitud de reparación o sustitución del hardware de acuerdo con los términos de la garantía. Para obtener más información, vea Autoservicio de solicitudes de servicio y garantía de Surface.

Acciones Descripción
microsoft.hardware.support/shippingAddress/allProperties/allTasks Crear, leer, actualizar y eliminar direcciones de envío para reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío creadas por otros usuarios
microsoft.hardware.support/shippingStatus/allProperties/read Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Crear y administrar todos los aspectos de las reclamaciones de garantía de hardware de Microsoft
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Especialista en garantía de hardware de Microsoft

Asigne el rol Especialista en garantía de hardware de Microsoft a usuarios que necesiten realizar las siguientes tareas:

  • Crear reclamaciones de garantía para el hardware fabricado por Microsoft, como Surface y HoloLens
  • Leer las reclamaciones de garantía que han creado
  • Leer y actualizar las direcciones de envío existentes
  • Leer el estado del envío de las reclamaciones de garantía abiertas que han creado
  • Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365

Una reclamación de garantía es una solicitud de reparación o sustitución del hardware de acuerdo con los términos de la garantía. Para obtener más información, vea Autoservicio de solicitudes de servicio y garantía de Surface.

Acciones Descripción
microsoft.hardware.support/shippingAddress/allProperties/read Leer las direcciones de envío de las reclamaciones de garantía de hardware de Microsoft, incluidas las direcciones de envío existentes creadas por otros usuarios
microsoft.hardware.support/warrantyClaims/createAsOwner Crear reclamaciones de garantía de hardware de Microsoft en las que el creador sea el propietario
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Leer el estado de envío de las reclamaciones de garantía de hardware de Microsoft abiertas
microsoft.hardware.support/warrantyClaims/allProperties/read Leer las reclamaciones de garantía de hardware de Microsoft

Administrador de comercio moderno

No utilice. Este rol se asigna automáticamente al servicio desde el comercio y no está previsto ni se admite para ningún otro uso. Vea los detalles a continuación.

El rol de administrador de comercio moderno concede a ciertos usuarios permiso para acceder al centro de administración de Microsoft 365 y ver las entradas de navegación izquierda para Inicio, Facturación y Soporte. El contenido disponible en estas áreas se controla mediante roles específicos de comercio asignados a los usuarios para administrar los productos que han comprado para ellos mismos o para su organización. Esto puede incluir tareas como el pago de facturas o el acceso a cuentas de facturación y perfiles de facturación.

Normalmente, los usuarios con el rol de administrador de comercio moderno tienen permisos administrativos en otros sistemas de adquisición de Microsoft, pero no tienen roles de Administrador global o de Administrador de facturación usados para acceder al centro de administración.

¿Cuándo se asigna el rol de administrador de comercio moderno?

  • Compra de autoservicio en el centro de administración de Microsoft 365: la compra de autoservicio proporciona a los usuarios la oportunidad de probar nuevos productos comprando o suscribiéndose ellos mismos. Estos productos se administran en el centro de administración. A los usuarios que realizan una compra de autoservicio se les asigna un rol en el sistema de comercio y el rol de administrador de comercio moderno para que puedan administrar sus compras en el centro de administración. Los administradores pueden bloquear las compras de autoservicio (para Fabric, Power BI, Power Apps, Power Automatic) mediante PowerShell. Para más información, consulte preguntas más frecuentes sobre compras de autoservicio.
  • Compras de Marketplace comercial de Microsoft: similar a la compra de autoservicio, cuando un usuario adquiere un producto o servicio de Microsoft AppSource o de Azure Marketplace, se asigna el rol de administrador de comercio moderno si no tiene el rol administrador global o administrador de facturación. En algunos casos, es posible que los usuarios no puedan realizar estas compras. Para más información, consulte Marketplace comercial de Microsoft.
  • Propuestas de Microsoft: Una propuesta es una oferta formal de Microsoft para que su organización compre productos y servicios de Microsoft. Cuando la persona que acepta la propuesta no tiene un rol de administrador global o administrador de facturación en Microsoft Entra ID, se les asigna un rol específico del comercio para completar la propuesta y el rol administrador de comercio moderno para acceder al centro de administración. Cuando acceden al centro de administración, solo pueden usar características autorizadas por su rol específico de comercio.
  • Roles específicos de comercio: a algunos usuarios se les asignan roles específicos de comercio. Si un usuario no tiene el rol de Administrador global o Administrador de facturación, obtiene el rol de administrador de comercio moderno para que pueda acceder al centro de administración.

Si el rol de administrador de comercio moderno no está asignado a un usuario, pierde el acceso al centro de administración de Microsoft 365. Si estuvieran administrando cualquier producto, ya sea por sí mismos o para su organización, no podrán administrarlos. Esto puede incluir la asignación de licencias, el cambio de métodos de pago, el pago de facturas u otras tareas para administrar las suscripciones.

Acciones Descripción
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Administrar todos los aspectos del centro de servicios de licencias por volumen
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de red

Los usuarios de este rol pueden revisar las recomendaciones de la arquitectura de perímetro de red de Microsoft que se basan en la telemetría de red desde sus ubicaciones de usuario. El rendimiento de red de Microsoft 365 se basa en una cuidadosa arquitectura de perímetro de red de cliente empresarial que suele ser específica de la ubicación del usuario. Este rol permite la edición de ubicaciones de usuario detectadas y la configuración de parámetros de red para esas ubicaciones con el fin de facilitar la mejora de las medidas de telemetría y las recomendaciones de diseño.

Acciones Descripción
microsoft.office365.network/locations/allProperties/allTasks Administrar todos los aspectos de las ubicaciones de red
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de aplicaciones de Office

Los usuarios con este rol pueden administrar la configuración de la nube de las aplicaciones de Microsoft 365. Esto incluye la administración de directivas en la nube, la administración de la descarga de autoservicio y la capacidad de ver el informe relacionado con las aplicaciones de Office. Este rol además ofrece la capacidad de crear y administrar las incidencias de soporte técnico y supervisar el estado del servicio. Los usuarios asignados a este rol también pueden administrar la comunicación de las nuevas características de las aplicaciones de Office.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Leer y actualizar la visibilidad de los mensajes sobre novedades
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de personalización de marca organizativa

Asigne el rol Administrador de personalización de marca organizativa a los usuarios que necesiten realizar las tareas siguientes:

  • Administración de todos los aspectos de la personalización de marca organizativa en un inquilino
  • Leer, crear, actualizar y eliminar temas de personalización de marca
  • Administrar el tema de personalización de marca predeterminado y todos los temas de localización de personalización de marca
Acciones Descripción
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Crear y eliminar loginTenantBranding, y leer y actualizar todas las propiedades

Aprobador de mensajes organizativos

Asigne el rol Aprobador de mensajes organizativos a los usuarios que necesiten realizar las siguientes tareas:

  • Revise, apruebe o rechace nuevos mensajes organizativos para su entrega en el Centro de administración de Microsoft 365 antes de que se envíen a los usuarios mediante la plataforma Mensajes organizativos de Microsoft 365
  • Leer todos los aspectos de los mensajes organizativos
  • Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
Acciones Descripción
microsoft.office365.organizationalMessages/allEntities/allProperties/read Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365.
microsoft.office365.organizationalMessages/allEntities/allProperties/update Aprobar o rechazar nuevos mensajes organizativos para su entrega en el Centro de administración de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Escritor de mensajes de la organización

Asigne el rol Escritor de mensajes de la organización a los usuarios que necesiten realizar las siguientes tareas:

  • Escribir, publicar y eliminar mensajes de la organización mediante el Centro de administración de Microsoft 365 o Microsoft Intune
  • Administrar las opciones de entrega de mensajes de la organización mediante el Centro de administración de Microsoft 365 o Microsoft Intune
  • Leer los resultados de entrega de mensajes de la organización mediante el Centro de administración de Microsoft 365 o Microsoft Intune
  • Ver informes de uso y la mayoría de las opciones de configuración en el Centro de administración de Microsoft 365, pero no realizar cambios
Acciones Descripción
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Puede administrar todos los aspectos de creación de mensajes de la organización de Microsoft 365.
microsoft.office365.usageReports/allEntities/standard/read Leer informes de uso de Office 365 agregados de nivel de inquilino
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Soporte para asociados de nivel 1

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. No utilice. Este rol ha quedado en desuso y se quitará del Microsoft Entra ID en el futuro. Este rol está diseñado para que lo usen un pequeño número de asociados de reventa de Microsoft, no para un uso general.

Importante

Este rol puede restablecer las contraseñas e invalidar los tokens de actualización solo para los usuarios que no sean administradores. Este rol no debe usarse porque está en desuso.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/applications/appRoles/update Actualizar la propiedad appRoles en todos los tipos de aplicaciones
microsoft.directory/applications/audience/update Actualizar la propiedad de público para las aplicaciones
microsoft.directory/applications/authentication/update Actualizar la autenticación en todos los tipos de aplicaciones
microsoft.directory/applications/basic/update Actualizar las propiedades básicas de las aplicaciones
microsoft.directory/applications/credentials/update Actualizar las credenciales de la aplicación
Icono de etiqueta con privilegios.
microsoft.directory/applications/notes/update Actualizar las notas de las aplicaciones
microsoft.directory/applications/owners/update Actualizar los propietarios de las aplicaciones
microsoft.directory/applications/permissions/update Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones
microsoft.directory/applications/policies/update Actualizar las directivas de las aplicaciones
microsoft.directory/applications/tag/update Actualizar las etiquetas de las aplicaciones
microsoft.directory/contacts/basic/update Actualizar las propiedades básicas en los contactos
microsoft.directory/contacts/create Crear contactos
microsoft.directory/contacts/delete Eliminar contactos
microsoft.directory/deletedItems.groups/restore Restaurar los grupos eliminados temporalmente a su estado original
microsoft.directory/deletedItems.users/restore Restauración de usuarios eliminados temporalmente al estado original
microsoft.directory/groups/create Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/delete Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/members/update Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/owners/update Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/restore Restaurar grupos desde un contenedor eliminado temporalmente
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/users/assignLicense Administrar licencias de usuario
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/create Agregar usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/delete Eliminación de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/disable Deshabilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/enable Habilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/photo/update Actualizar la foto de los usuarios
microsoft.directory/users/restore Restaurar usuarios eliminados
microsoft.directory/users/userPrincipalName/update Actualizar el nombre principal de usuario de los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Soporte para asociados de nivel 2

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. No utilice. Este rol ha quedado en desuso y se quitará del Microsoft Entra ID en el futuro. Este rol está diseñado para que lo usen un pequeño número de asociados de reventa de Microsoft, no para un uso general.

Importante

Este rol puede restablecer las contraseñas e invalidar los tokens de actualización para todos los no administradores y los administradores (incluidos los administradores globales). Este rol no debe usarse porque está en desuso.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/applications/appRoles/update Actualizar la propiedad appRoles en todos los tipos de aplicaciones
microsoft.directory/applications/audience/update Actualizar la propiedad de público para las aplicaciones
microsoft.directory/applications/authentication/update Actualizar la autenticación en todos los tipos de aplicaciones
microsoft.directory/applications/basic/update Actualizar las propiedades básicas de las aplicaciones
microsoft.directory/applications/credentials/update Actualizar las credenciales de la aplicación
Icono de etiqueta con privilegios.
microsoft.directory/applications/notes/update Actualizar las notas de las aplicaciones
microsoft.directory/applications/owners/update Actualizar los propietarios de las aplicaciones
microsoft.directory/applications/permissions/update Actualizar los permisos expuestos y los necesarios en todos los tipos de aplicaciones
microsoft.directory/applications/policies/update Actualizar las directivas de las aplicaciones
microsoft.directory/applications/tag/update Actualizar las etiquetas de las aplicaciones
microsoft.directory/contacts/basic/update Actualizar las propiedades básicas en los contactos
microsoft.directory/contacts/create Crear contactos
microsoft.directory/contacts/delete Eliminar contactos
microsoft.directory/deletedItems.groups/restore Restaurar los grupos eliminados temporalmente a su estado original
microsoft.directory/deletedItems.users/restore Restauración de usuarios eliminados temporalmente al estado original
microsoft.directory/domains/allProperties/allTasks Crear y eliminar dominios, y leer y actualizar todas las propiedades
Icono de etiqueta con privilegios.
microsoft.directory/groups/create Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/delete Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/members/update Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/owners/update Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/restore Restaurar grupos desde un contenedor eliminado temporalmente
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/organization/basic/update Actualizar las propiedades básicas de la organización
microsoft.directory/roleAssignments/allProperties/allTasks Crea y elimina asignaciones de roles, y lee y actualiza todas las propiedades de asignación de roles.
microsoft.directory/roleDefinitions/allProperties/allTasks Crea y elimina definiciones de roles, y lee y actualiza todas las propiedades.
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Crea y elimina la propiedad scopedRoleMemberships, y lee y actualiza todas las propiedades.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/subscribedSkus/standard/read Lee las propiedades básicas de las suscripciones.
microsoft.directory/users/assignLicense Administrar licencias de usuario
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/create Agregar usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/delete Eliminación de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/disable Deshabilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/enable Habilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/photo/update Actualizar la foto de los usuarios
microsoft.directory/users/restore Restaurar usuarios eliminados
microsoft.directory/users/userPrincipalName/update Actualizar el nombre principal de usuario de los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de contraseñas

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. los usuarios con este rol tienen una capacidad limitada para administrar las contraseñas. Este rol no concede la capacidad de administrar solicitudes de servicio ni supervisar el estado del servicio. El hecho de que un Administrador de contraseñas pueda restablecer la contraseña de un usuario depende del rol que tenga asignado el usuario. Para obtener una lista de los roles para los que un administrador de contraseñas puede restablecer las contraseñas, consulte Quién puede restablecer las contraseñas.

Los usuarios con este rol no pueden realizar las siguientes tareas:

Acciones Descripción
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de la administración de permisos

Asigne el rol Administrador de administración de permisos a los usuarios que necesiten realizar estas tareas:

  • Administrar todos los aspectos de administración de permisos de Microsoft Entra, cuando el servicio está presente

Obtenga más información sobre los roles y directivas de administración de permisos en Ver información sobre roles y directivas.

Acciones Descripción
microsoft.permissionsManagement/allEntities/allProperties/allTasks Administrar todos los aspectos de administración de permisos de Microsoft Entra

Administrador de Power Platform

Los usuarios de este rol pueden crear y administrar todos los aspectos de las directivas de entornos, Power Apps, flujos y prevención de pérdida de datos. Además, los usuarios con este rol tienen la capacidad de administrar incidencias de soporte técnico y supervisar el estado del servicio.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.dynamics365/allEntities/allTasks Administrar todos los aspectos de Dynamics 365
microsoft.flow/allEntities/allTasks Administrar todos los aspectos de Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.powerApps/allEntities/allTasks Administrar todos los aspectos de Power Apps

Administrador de impresoras

Los usuarios de este rol pueden registrar impresoras y administrar todos los aspectos de todas las configuraciones de impresora de la solución de impresión universal de Microsoft, incluida la configuración del conector de impresión universal. Pueden dar su consentimiento a todas las solicitudes de permiso de impresión delegada. Los administradores de impresoras también tienen acceso a los informes de impresión.

Acciones Descripción
microsoft.azure.print/allEntities/allProperties/allTasks Crear y eliminar impresoras y conectores, y leer y actualizar todas las propiedades de la impresión de Microsoft

Técnico de impresoras

Los usuarios con este rol pueden registrar impresoras y administrar el estado de la impresora en la solución de impresión universal de Microsoft. También pueden leer toda la información del conector. Una tarea clave que un técnico de impresora no puede realizar es establecer permisos de usuario en impresoras y compartir impresoras.

Acciones Descripción
microsoft.azure.print/connectors/allProperties/read Leer todas las propiedades de los conectores de la impresión de Microsoft
microsoft.azure.print/printers/allProperties/read Leer todas las propiedades de las impresoras de la impresión de Microsoft
microsoft.azure.print/printers/basic/update Actualizar las propiedades básicas de las impresoras de la impresión de Microsoft
microsoft.azure.print/printers/register Registrar impresoras en la impresión de Microsoft
microsoft.azure.print/printers/unregister Anular el registro de las impresoras en la impresión de Microsoft

Administrador de autenticación con privilegios

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Asignar el rol Administrador de autenticación con privilegios a los usuarios que necesiten realizar estas tareas:

  • Establecer o restablecer cualquier método de autenticación (incluidas las contraseñas) para cualquier usuario, incluidos Administradores globales.
  • Eliminar o restaurar los usuarios, incluidos los Administradores globales. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
  • Obligue a los usuarios a volver a registrarse en las credenciales no con contraseña existentes (como MFA o FIDO2) y revocar recordar MFA en el dispositivo, que solicita MFA en el siguiente inicio de sesión de todos los usuarios.
  • Actualice las propiedades confidenciales para todos los usuarios. Para obtener más información, consulte Quién puede realizar acciones confidenciales.
  • Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365.
  • Configuración de entidades de certificación con un almacén de confianza basado en PKI (versión preliminar)

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • No pueden administrar MFA por usuario en el portal de administración de MFA heredado.

En la tabla siguiente se comparan las funcionalidades de roles relacionados con la autenticación.

Rol Administrar los métodos de autenticación del usuario Administrar MFA por usuario Administrar la configuración de MFA Administrar la directiva del método de autenticación Administrar la directiva de protección de contraseñas Actualizar las propiedades confidenciales Eliminar y restaurar usuarios
Administrador de autenticación Sí, para algunos usuarios Sí, para algunos usuarios No No Sí, para algunos usuarios Sí, para algunos usuarios
Administrador de autenticación con privilegios Sí, para todos los usuarios Sí, para todos los usuarios No No No Sí, para todos los usuarios Sí, para todos los usuarios
Administrador de directivas de autenticación No No No
Administrador de usuarios No No No No No Sí, para algunos usuarios Sí, para algunos usuarios

Importante

Los usuarios con este rol pueden cambiar las credenciales de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar las credenciales de un usuario puede significar la capacidad de asumir la identidad y los permisos de ese usuario. Por ejemplo:

  • Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores de autenticación. Mediante esta ruta de acceso, un Administrador de autenticación puede asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
  • Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
  • Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
  • Administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
  • Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/deletedItems.users/restore Restauración de usuarios eliminados temporalmente al estado original
microsoft.directory/users/authenticationMethods/basic/update Actualizar las propiedades básicas de los métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/create Actualizar métodos de autenticación para usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/delete Eliminar métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authenticationMethods/standard/read Leer las propiedades básicas de los métodos de autenticación para los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/authorizationInfo/update Actualizar la propiedad de id. de usuario de certificado multivalor de los usuarios
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/delete Eliminación de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/disable Deshabilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/enable Habilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/restore Restaurar usuarios eliminados
microsoft.directory/users/userPrincipalName/update Actualizar el nombre principal de usuario de los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de roles con privilegios

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol pueden administrar las asignaciones de roles en Microsoft Entra ID, así como en Microsoft Entra Privileged Identity Management. Pueden crear y administrar grupos que se pueden asignar a roles de Microsoft Entra. Además, este rol permite administrar todos los aspectos de Privileged Identity Management y de las unidades administrativas.

Importante

Este rol concede la capacidad de administrar asignaciones para todos los roles de Microsoft Entra, incluido el rol de administrador global. Este rol no incluye ninguna otra capacidad con privilegios en Microsoft Entra ID, como crear o actualizar usuarios. Sin embargo, los usuarios asignados a este rol pueden concederse a sí mismos o a otros usuarios privilegios adicionales mediante la asignación de roles adicionales.

Acciones Descripción
microsoft.directory/accessReviews/definitions.applications/allProperties/read Leer todas las propiedades de las revisiones de acceso de las asignaciones de roles de aplicación en Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Administrar revisiones de acceso para asignaciones de roles de Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leer todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Actualizar todas las propiedades de las revisiones de acceso para la pertenencia a grupos que se pueden asignar a roles de Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Crear revisiones de acceso para la pertenencia a grupos que se pueden asignar a roles de Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Eliminación de revisiones de acceso para la pertenencia a grupos que se pueden asignar a roles de Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks Crea y administra unidades administrativas (incluidos los miembros).
microsoft.directory/authorizationPolicy/allProperties/allTasks Administrar todos los aspectos de una directiva de autorización
Icono de etiqueta con privilegios.
microsoft.directory/directoryRoles/allProperties/allTasks Crear y eliminar roles de directorio, y leer y actualizar todas las propiedades
microsoft.directory/groupsAssignableToRoles/allProperties/update Actualizar grupos asignables de roles
microsoft.directory/groupsAssignableToRoles/assignLicense Asignación de una licencia a grupos a los que se pueden asignar roles
microsoft.directory/groupsAssignableToRoles/create Creación de grupos a los que se pueden asignar roles
microsoft.directory/groupsAssignableToRoles/delete Eliminar grupos asignables de roles
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Volver a procesar las asignaciones de licencias a grupos a los que se pueden asignar roles
microsoft.directory/groupsAssignableToRoles/restore Restaurar de grupos asignables de roles
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/permissionGrantPolicies/allProperties/read Lectura de todas las propiedades de las directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/allProperties/update Actualice todas las propiedades de las directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/create Crear directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/delete Eliminar directivas de concesión de permisos
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Crea y elimina asignaciones de roles, y lee y actualiza todas las propiedades de asignación de roles.
microsoft.directory/roleDefinitions/allProperties/allTasks Crea y elimina definiciones de roles, y lee y actualiza todas las propiedades.
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Crea y elimina la propiedad scopedRoleMemberships, y lee y actualiza todas las propiedades.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Conceder consentimiento para cualquier permiso a cualquier aplicación
microsoft.directory/servicePrincipals/permissions/update Actualizar los permisos de las entidades de servicio
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Lector de informes

los usuarios con este rol pueden ver datos de informes de uso y el panel de informes en el centro de administración de Microsoft 365 y el paquete del contexto de adopción en Fabric y Power BI. Además, el rol proporciona acceso a todos los registros de inicio de sesión, registros de auditoría e informes de actividad de Microsoft Entra ID y a los datos devueltos por la API de informes de Microsoft Graph. Un usuario asignado al rol de lector de informes puede acceder solo a métricas de uso y adopción pertinentes. No tienen permisos de administrador para configurar valores ni acceder a los centros de administración específicos de productos como Exchange. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de búsqueda

los usuarios con este rol tienen acceso total a las características de administración de Búsqueda de Microsoft en el centro de administración de Microsoft 365. Además, estos usuarios pueden ver el Centro de mensajes, supervisar el estado del servicio y crear solicitudes de servicio.

Acciones Descripción
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.search/content/manage Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Editor de búsqueda

los usuarios con este rol pueden crear, administrar y eliminar contenido de Búsqueda de Microsoft en el centro de administración de Microsoft 365, incluidos los marcadores, las preguntas y respuestas y las ubicaciones.

Acciones Descripción
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.search/content/manage Crear y eliminar el contenido, y leer y actualizar todas las propiedades en la Búsqueda de Microsoft
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de seguridad

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol tienen permisos para administrar características relacionadas con la seguridad en el portal de Microsoft 365 Defender, Protección de Microsoft Entra ID, Autenticación de Microsoft Entra, Azure Information Protection y portal de cumplimiento de Microsoft Purview. Para obtener más información sobre los permisos de Office 365, consulta Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.

En Puede hacer
Portal de Microsoft 365 Defender Supervisar las directivas relacionadas con la seguridad en servicios de Microsoft 365
Administrar alertas y amenazas de seguridad
Ver informes
Microsoft Entra ID Protection Todos los permisos del rol Lector de seguridad
Realizar todas las operaciones de Protección de id., excepto la de restablecer contraseñas
Privileged Identity Management Todos los permisos del rol Lector de seguridad
No se puede administrar las asignaciones o configuraciones de roles de Microsoft Entra
Portal de cumplimiento de Microsoft Purview Administrar directivas de seguridad
Ver e investigar amenazas de seguridad y responder a ellas
Ver informes
Azure Advanced Threat Protection Supervisar la actividad sospechosa de seguridad y responder a ella
Microsoft Defender para punto de conexión Asignación de roles
Administración de grupos de máquinas
Configurar la detección de amenazas de punto de conexión y la corrección automatizada
Ver e investigar alertas y responder a ellas
Visualizar el inventario de máquinas o dispositivos
Intune Se asigna al rol de administrador de seguridad de puntos de conexión de Intune
Microsoft Defender para aplicaciones en la nube Agregar administradores, agregar directivas y configuraciones, cargar registros y realizar acciones de gobernanza
Estado del servicio de Microsoft 365 Vea el estado de los servicios de Microsoft 365.
Bloqueo inteligente Definir el umbral y la duración de los bloqueos cuando se produzcan eventos de inicio de sesión erróneos.
Protección con contraseña Configurar la lista personalizada de contraseñas prohibidas o la protección de contraseña local.
Sincronización entre inquilinos Configurar las opciones de acceso entre inquilinos para los usuarios de otro inquilino. Los administradores de seguridad no pueden crear y eliminar usuarios directamente, pero pueden crear y eliminar indirectamente usuarios sincronizados de otro inquilino cuando ambos inquilinos están configurados para la sincronización entre inquilinos, que es un permiso con privilegios.
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/applications/policies/update Actualizar las directivas de las aplicaciones
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/conditionalAccessPolicies/basic/update Actualizar las propiedades básicas de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/create Creación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/delete Eliminación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/owners/read Leer los propietarios de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/owners/update Actualizar los propietarios de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leer la propiedad "applied to" para las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/standard/read Leer el acceso condicional de las directivas
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Actualizar el inquilino predeterminado de las directivas de acceso condicional
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos
microsoft.directory/crossTenantAccessPolicy/basic/update Actualizar la configuración básica de la directiva de acceso entre inquilinos
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Actualización de la configuración de colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Actualización de la configuración de conexión directa de Microsoft Entra B2B de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/create Crear una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminar una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Actualizar la configuración básica de la directiva de sincronización entre inquilinos
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Crear una directiva de sincronización entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leer las propiedades básicas de la directiva de sincronización entre inquilinos
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Actualización de plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Restablecer la plantilla de directiva de sincronización entre inquilinos para la organización multiinquilino a la configuración predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino.
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Actualización de plantillas de directiva de acceso entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Restablecer la plantilla de directiva de acceso entre inquilinos para la organización multiinquilino a la configuración predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos
microsoft.directory/deviceLocalCredentials/standard/read Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña
microsoft.directory/domains/federationConfiguration/basic/update Actualiza la configuración de federación básica de los dominios.
microsoft.directory/domains/federationConfiguration/create Crea la configuración de federación de los dominios.
microsoft.directory/domains/federationConfiguration/delete Elimina la configuración de federación de los dominios.
microsoft.directory/domains/federationConfiguration/standard/read Lee las propiedades estándar de la configuración de federación de los dominios.
microsoft.directory/domains/federation/update Actualizar la propiedad de federación de los dominios
Icono de etiqueta con privilegios.
microsoft.directory/entitlementManagement/allProperties/read Leer todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leer todos los recursos de Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Actualizar todos los recursos de Microsoft Entra ID Protection
Icono de etiqueta con privilegios.
microsoft.directory/multiTenantOrganization/basic/update Actualización de las propiedades básicas de una organización multiinquilino
microsoft.directory/multiTenantOrganization/create Creación de una organización multiinquilino
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Únase a una organización multiinquilino
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leer las propiedades de una solicitud de unión a una organización multiinquilino
microsoft.directory/multiTenantOrganization/standard/read Leer las propiedades básicas de una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/create Creación de un inquilino en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/delete Eliminación de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Actualización de las propiedades básicas de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/standard/read Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino
microsoft.directory/namedLocations/basic/update Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/create Cree reglas personalizadas que definan las ubicaciones de red
microsoft.directory/namedLocations/delete Elimine las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/standard/read Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/policies/basic/update Actualizar las propiedades básicas en las directivas
Icono de etiqueta con privilegios.
microsoft.directory/policies/create Creación de directivas en Microsoft Entra ID
microsoft.directory/policies/delete Eliminar directivas en Microsoft Entra ID.
microsoft.directory/policies/owners/update Actualizar los propietarios de las directivas
microsoft.directory/policies/tenantDefault/update Actualizar las directivas de organización predeterminadas
microsoft.directory/privilegedIdentityManagement/allProperties/read Leer todos los recursos de Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365
Icono de etiqueta con privilegios.
microsoft.directory/servicePrincipals/policies/update Actualizar las directivas de las entidades de servicio
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.networkAccess/allEntities/allProperties/allTasks Administrar todos los aspectos de Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/basic/update Actualización de las propiedades básicas de todos los recursos de los Centros de seguridad y Cumplimiento
microsoft.office365.protectionCenter/allEntities/standard/read Lea las propiedades estándar de todos los recursos de los Centros de seguridad y Cumplimiento
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Crear y administrar cargas de ataque en el Simulador de ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Crear y administrar plantillas de simulaciones de ataques en el Simulador de ataques
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Operador de seguridad

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol pueden administrar alertas y tener acceso global de solo lectura en características relacionadas con la seguridad, incluida toda la información en el portal de Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management y portal de cumplimiento de Microsoft Purview. Para obtener más información sobre los permisos de Office 365, consulta Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.

En Puede hacer
Portal de Microsoft 365 Defender Todos los permisos del rol Lector de seguridad
Ver e investigar amenazas de seguridad y responder a ellas
Administración de la configuración de seguridad en el portal de Microsoft 365 Defender
Microsoft Entra ID Protection Todos los permisos del rol Lector de seguridad
Realizar todas las operaciones de Protección de id., excepto las de configurar o cambiar directivas basadas en riesgos, restablecer contraseñas y configurar correos electrónicos de alerta.
Privileged Identity Management Todos los permisos del rol Lector de seguridad
Portal de cumplimiento de Microsoft Purview Todos los permisos del rol Lector de seguridad
Ver e investigar amenazas de seguridad y responder a ellas
Microsoft Defender para punto de conexión Todos los permisos del rol Lector de seguridad
Ver e investigar amenazas de seguridad y responder a ellas
Al activar el control de acceso basado en rol en Microsoft Defender para punto de conexión, los usuarios con permisos de solo lectura, como el rol Lector de seguridad, pierden el acceso hasta que se les asigne un rol de Microsoft Defender para punto de conexión.
Intune Todos los permisos del rol Lector de seguridad
Microsoft Defender para aplicaciones en la nube Todos los permisos del rol Lector de seguridad
Ver e investigar amenazas de seguridad y responder a ellas
Estado del servicio de Microsoft 365 Vea el estado de los servicios de Microsoft 365.
Acciones Descripción
microsoft.azure.advancedThreatProtection/allEntities/allTasks Administrar todos los aspectos de Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/cloudAppSecurity/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Microsoft Defender for Cloud para aplicaciones
microsoft.directory/identityProtection/allProperties/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en Protección de Microsoft Entra ID.
Icono de etiqueta con privilegios.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leer todos los recursos de Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.intune/allEntities/read Leer todos los recursos de Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar del Centro de seguridad y cumplimiento de Office 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Administrar todos los aspectos de Microsoft Defender para punto de conexión

Lector de seguridad

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Los usuarios con este rol tienen acceso de solo lectura global en la característica relacionada con la seguridad, incluida toda la información en el portal de Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management, así como la capacidad de leer informes de inicio de sesión y registros de auditoría de Microsoft Entra, y en el portal de cumplimiento de Microsoft Purview. Para obtener más información sobre los permisos de Office 365, consulta Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.

En Puede hacer
Portal de Microsoft 365 Defender Ver las directivas relacionadas con la seguridad en los servicios de Microsoft 365
Ver las alertas y amenazas de seguridad
Ver informes
Microsoft Entra ID Protection Ver la información general y todos los informes de Identity Protection
Privileged Identity Management Tiene acceso de solo lectura a toda la información expuesta en Microsoft Entra Privileged Identity Management: Directivas e informes para asignaciones de roles y revisiones de seguridad de Microsoft Entra.
No se puede suscribirse a Microsoft Entra Privileged Identity Management ni realizar cambios en él. En el portal de Privileged Identity Management o mediante PowerShell, alguien con este rol puede activar roles adicionales (por ejemplo, Administrador de roles con privilegios), si el usuario es apto para ellos.
Portal de cumplimiento de Microsoft Purview Visualización de directivas de seguridad
Ver e investigar las amenazas de seguridad
Ver informes
Microsoft Defender para punto de conexión Ver e investigar alertas
Al activar el control de acceso basado en rol en Microsoft Defender para punto de conexión, los usuarios con permisos de solo lectura, como el rol Lector de seguridad, pierden el acceso hasta que se les asigne un rol de Microsoft Defender para punto de conexión.
Intune Ver información sobre usuarios, dispositivos, inscripciones, configuración y aplicaciones No se pueden realizar cambios en Intune
Microsoft Defender para aplicaciones en la nube Tiene permisos de lectura.
Estado del servicio de Microsoft 365 Vea el estado de los servicios de Microsoft 365.
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/accessReviews/definitions/allProperties/read Leer todas las propiedades de las revisiones de acceso de todos los recursos revisables en Microsoft Entra ID
microsoft.directory/auditLogs/allProperties/read Lee todas las propiedades de los registros de auditoría, excepto los registros de auditoría de atributos de seguridad personalizados
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/bitlockerKeys/key/read Leer los metadatos y la clave de BitLocker en los dispositivos
Icono de etiqueta con privilegios.
microsoft.directory/conditionalAccessPolicies/owners/read Leer los propietarios de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leer la propiedad "applied to" para las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/standard/read Leer el acceso condicional de las directivas
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lea las propiedades básicas de las plantillas de directiva de sincronización entre inquilinos para la organización multiinquilino.
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lea las propiedades básicas de las plantillas de directiva de acceso entre inquilinos para la organización multiinquilino
microsoft.directory/deviceLocalCredentials/standard/read Lea todas las propiedades de las credenciales de la cuenta de administrador local de los dispositivos unidos a Microsoft Entra, excepto la contraseña
microsoft.directory/domains/federationConfiguration/standard/read Lee las propiedades estándar de la configuración de federación de los dominios.
microsoft.directory/entitlementManagement/allProperties/read Leer todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leer todos los recursos de Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leer las propiedades de una solicitud de unión a una organización multiinquilino
microsoft.directory/multiTenantOrganization/standard/read Leer las propiedades básicas de una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leer los detalles de la organización de un inquilino que participa en una organización multiinquilino
microsoft.directory/multiTenantOrganization/tenants/standard/read Leer las propiedades básicas de un inquilino que participa en una organización multiinquilino
microsoft.directory/namedLocations/standard/read Lea las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/policies/owners/read Leer los propietarios de las directivas
microsoft.directory/policies/policyAppliedTo/read Leer la propiedad policies.policyAppliedTo
microsoft.directory/policies/standard/read Leer las propiedades básicas en las directivas
microsoft.directory/privilegedIdentityManagement/allProperties/read Leer todos los recursos de Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Permite leer todas las propiedades de los registros de aprovisionamiento
microsoft.directory/signInReports/allProperties/read Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios
microsoft.networkAccess/allEntities/allProperties/read Leer todos los aspectos de Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read Lea las propiedades estándar de todos los recursos de los Centros de seguridad y Cumplimiento
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Leer todas las propiedades de las cargas de ataque en el Simulador de ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leer informes de simulaciones de ataques, respuestas y entrenamiento asociado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Leer todas las propiedades de las plantillas de simulación de ataque en el Simulador de ataques
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador del soporte técnico del servicio

Los usuarios con este rol pueden crear y administrar solicitudes de soporte técnico con Microsoft relativas a servicios de Azure y Microsoft 365, y consultar el centro de mensajes y el panel de servicios de Azure Portal y el Centro de administración de Microsoft 365. Para más información, consulte Roles de administrador en el centro de administración de Microsoft 365.

Nota:

Antes, este rol se llamaba Administrador de servicios en Azure Portal y en el Centro de administración de Microsoft 365. Se cambió el nombre a Administrador de soporte técnico del servicio para que coincida con el nombre ya existente en Microsoft Graph API y Microsoft Graph PowerShell.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de SharePoint

Los usuarios con este rol tienen permisos globales en Microsoft SharePoint Online, cuando existe el servicio, así como también la posibilidad de crear y administrar todos los grupos de Microsoft 365, administrar las incidencias de soporte técnico y supervisar el mantenimiento del servicio. Para más información, consulte Roles de administrador en el centro de administración de Microsoft 365.

Nota:

En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de SharePoint. En Azure Portal se denomina Administrador de SharePoint.

Nota:

Este rol también concede permisos de ámbito a Microsoft Graph API para Microsoft Intune, lo que facilita la administración y configuración de directivas relacionadas con los recursos de SharePoint y OneDrive.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks Crear y administrar la directiva de protección de OneDrive en la Copia de seguridad Microsoft 365
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Leer y configurar la sesión de restauración para OneDrive en la Copia de seguridad Microsoft 365
microsoft.backup/restorePoints/sites/allProperties/allTasks Administrar todos los puntos de restauración asociados a sitios de SharePoint seleccionados en la Copia de seguridad M365
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Administrar todos los puntos de restauración asociados a cuentas de OneDrive seleccionadas en la Copia de seguridad M365
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks Crear y administrar la directiva de protección de SharePoint en la Copia de seguridad Microsoft 365
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Leer y configurar la sesión de restauración para SharePoint en la Copia de seguridad Microsoft 365
microsoft.backup/siteProtectionUnits/allProperties/allTasks Administrar sitios agregados a la directiva de protección de SharePoint en la Copia de seguridad Microsoft 365
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Administrar sitios agregados para restaurar la sesión de SharePoint en la Copia de seguridad Microsoft 365
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Administrar cuentas agregadas a la directiva de protección de OneDrive en la Copia de seguridad Microsoft 365
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Administrar cuentas agregadas para restaurar la sesión de OneDrive en la Copia de seguridad Microsoft 365
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups.unified/basic/update Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/create Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/delete Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/members/update Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/unified/owners/update Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/restore Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles
microsoft.office365.migrations/allEntities/allProperties/allTasks Administración de todos los aspectos de las migraciones de Microsoft 365
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Crear y eliminar todos los recursos, y leer y actualizar las propiedades estándar en SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador integrado de SharePoint

Asigne el rol Administrador incrustado de SharePoint a los usuarios que necesiten realizar las siguientes tareas:

  • Realizar todas las tareas con PowerShell, API de Microsoft Graph o el Centro de administración de SharePoint
  • Administrar, configurar y mantener contenedores integrados de SharePoint
  • Enumerar y administrar contenedores integrados de SharePoint
  • Enumerar y administrar permisos para contenedores integrados de SharePoint
  • Administrar el almacenamiento de contenedores integrados de SharePoint en un inquilino
  • Asignar políticas de seguridad y cumplimiento en contenedores integrados de SharePoint
  • Aplicar políticas de seguridad y cumplimiento en contenedores integrados de SharePoint en un inquilino

Más información

Acciones Descripción
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Administre todos los aspectos de los contenedores de SharePoint Embedded
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Skype Empresarial

Los usuarios con este rol tienen permisos globales dentro de Microsoft Skype Empresarial, cuando el servicio está presente, así como administrar atributos de usuario específicos de Skype en Microsoft Entra ID. Además, este rol concede la posibilidad de administrar incidencias de soporte técnico, supervisar el estado del servicio y acceder al centro de administración de Teams y de Skype Empresarial. La cuenta también debe tener licencia para Teams o no podrá ejecutar los cmdlets de PowerShell de Teams. Para más información, consulte Administración online de Skype Empresarial y la información de licencias de Teams en Licencias de complementos para Skype Empresarial.

Nota:

En Microsoft Graph API y Microsoft Graph PowerShell, este rol se denomina Administrador de servicios de Lync. En Azure Portal, se denomina Administrador de Skype Empresarial.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de Teams

los usuarios con este rol pueden administrar todos los aspectos de la carga de trabajo de Microsoft Teams a través del centro de administración de Microsoft Teams y Skype Empresarial y los módulos de PowerShell correspondientes. Esto incluye, entre otras áreas, todas las herramientas de administración relacionadas con telefonía, mensajería, reuniones y los propios equipos. Este rol además ofrece la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar las incidencias de soporte técnico y supervisar el estado del servicio.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/create Crear una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/standard/read Leer las propiedades básicas de la directiva de acceso entre inquilinos
microsoft.directory/externalUserProfiles/basic/update Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/externalUserProfiles/delete Eliminar perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/externalUserProfiles/standard/read Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups.unified/basic/update Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/create Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/delete Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/members/update Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/unified/owners/update Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/restore Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles
microsoft.directory/pendingExternalUserProfiles/basic/update Actualizar las propiedades básicas de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/pendingExternalUserProfiles/create Crear perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/pendingExternalUserProfiles/delete Eliminar perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leer las propiedades estándar de los perfiles de usuario externos en el directorio extendido para Teams
microsoft.directory/permissionGrantPolicies/standard/read Lear las propiedades estándar de las directivas de concesión de permisos
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Administrar todos los recursos de Teams

Administrador de comunicaciones de Teams

los usuarios con este rol pueden administrar aspectos de la carga de trabajo de Microsoft Teams relacionados con la voz y la telefonía. Esto incluye las herramientas de administración para la asignación de números de teléfono, directivas de voz y reunión, y acceso total al conjunto de herramientas de análisis de llamada.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.teams/callQuality/allProperties/read Leer todos los datos del Panel de calidad de llamadas (CQD)
microsoft.teams/meetings/allProperties/allTasks Administrar reuniones, incluidas sus directivas, configuraciones y puentes de conferencia
microsoft.teams/voice/allProperties/allTasks Administrar los servicios de voz, como las directivas de llamada y el inventario y la asignación de números de teléfono

Ingeniero de soporte técnico de comunicaciones de Teams

los usuarios con este rol pueden solucionar problemas de comunicación de Microsoft Teams y Skype Empresarial mediante las herramientas de solución de problemas de llamadas del usuario del centro de administración de Microsoft Teams y Skype Empresarial. Los usuarios con este rol pueden ver la información completa de registro de llamadas de todos los participantes implicados. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.teams/callQuality/allProperties/read Leer todos los datos del Panel de calidad de llamadas (CQD)

Especialista de soporte técnico de comunicaciones de Teams

los usuarios con este rol pueden solucionar problemas de comunicación de Microsoft Teams y Skype Empresarial mediante las herramientas de solución de problemas de llamadas del usuario del centro de administración de Microsoft Teams y Skype Empresarial. Los usuarios con este rol solo pueden ver los detalles del usuario en la llamada al usuario específico que han buscado. Este rol no tiene acceso para ver, crear o administrar incidencias de soporte técnico.

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.teams/callQuality/standard/read Leer los datos básicos del Panel de calidad de llamadas (CQD)

Administrador de dispositivos de Teams

Los usuarios con este rol pueden administrar dispositivos certificados para Teams desde el centro de administración de Teams. Este rol permite ver todos los dispositivos de un solo vistazo, con la posibilidad de buscar y filtrar dispositivos. El usuario puede comprobar los detalles de cada dispositivo, por ejemplo, la cuenta con la que se ha iniciado sesión, la marca y el modelo del dispositivo. El usuario puede cambiar la configuración en el dispositivo y actualizar las versiones de software. Este rol no concede permisos para comprobar la actividad de Teams ni la calidad de las llamadas del dispositivo.

Acciones Descripción
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.teams/devices/standard/read Administrar todos los aspectos de los dispositivos certificados para Teams, incluidas las directivas de configuración

Administrador de telefonía de Teams

Asigne el rol Administrador de telefonía de Teams a los usuarios que necesiten realizar estas tareas:

  • Administrar la voz y la telefonía, incluidas las directivas de llamada, la administración y asignación de números de teléfono y las aplicaciones de voz
  • Acceder solo a informes de uso de la red telefónica conmutada (RTC) pública desde el Centro de administración de Teams
  • Ver la página de perfil de usuario
  • Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365

Más información

Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/authorizationPolicy/standard/read Leer las propiedades estándar de la directiva de autorización
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Administra todos los aspectos de Skype Empresarial Online.
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.teams/callQuality/allProperties/read Leer todos los datos del Panel de calidad de llamadas (CQD)
microsoft.teams/voice/allProperties/allTasks Administrar los servicios de voz, como las directivas de llamada y el inventario y la asignación de números de teléfono

Creador de inquilinos

Asigne el rol Creador de inquilinos a los usuarios que necesiten realizar estas tareas:

  • Cree inquilinos de Microsoft Entra y Azure Active Directory B2C incluso si el botón de alternancia de creación de inquilinos está desactivado en la configuración de usuario

Nota:

A los creadores de inquilinos se les asignará el rol de administrador global en los nuevos inquilinos que crean.

Acciones Descripción
microsoft.directory/tenantManagement/tenants/create Creación de nuevos inquilinos en Microsoft Entra ID

Resumen de uso de Lector de informes

Asigne el rol Lector de informes de resumen de uso a los usuarios que necesiten realizar las siguientes tareas en el Centro de administración de Microsoft 365:

  • Visualización de los Informes de uso y la Puntuación de adopción
  • Leer información de la organización, pero no información de identificación personal (PII) de los usuarios

Este rol solo permite a los usuarios ver los datos de nivel organizativo con las excepciones siguientes:

  • Los usuarios miembros pueden ver los datos y la configuración de administración de usuarios.
  • Los usuarios invitados asignados a este rol no pueden ver los datos y la configuración de administración de usuarios.
Acciones Descripción
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leer informes de uso de Office 365 agregados de nivel de inquilino
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de usuarios

Icono de etiqueta con privilegios.

Se trata de un rol con privilegios. Asignar el rol Administrador de usuarios a los usuarios que necesiten realizar estas tareas:

Permiso Más información
Creación de usuarios
Actualizar la mayoría de las propiedades de usuario para todos los usuarios, incluidos todos los administradores Quién puede realizar acciones confidenciales
Actualizar las propiedades confidenciales (incluido el nombre principal de usuario) para algunos usuarios Quién puede realizar acciones confidenciales
Deshabilitar o habilitar algunos usuarios Quién puede realizar acciones confidenciales
Eliminar o restaurar algunos usuarios Quién puede realizar acciones confidenciales
Crear y administrar vistas de usuario
Crear y administrar todos los grupos
Asignar y leer licencias para todos los usuarios, incluidos todos los administradores
Restablecimiento de contraseñas Quién puede restablecer contraseñas
Invalide los tokens de actualización. Quién puede restablecer contraseñas
Actualizar las claves de dispositivo (FIDO)
Actualización de directivas de expiración de contraseñas
Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365
Supervisar el estado del servicio

Los usuarios con este rol no pueden realizar las siguientes tareas:

  • No pueden administrar MFA.
  • No pueden cambiar las credenciales ni restablecer la autenticación multifactor para los miembros y propietarios de un grupo al que se pueden asignar roles.
  • No pueden administrar buzones compartidos.
  • No se pueden modificar las preguntas de seguridad para la operación de restablecimiento de contraseña.

Importante

Los usuarios con este rol pueden cambiar las contraseñas de las personas que pueden tener acceso a información confidencial o privada o a una configuración crítica dentro y fuera de Microsoft Entra ID. Cambiar la contraseña de un usuario puede significar la capacidad de asumir la identidad y los permisos del usuario. Por ejemplo:

  • Propietarios de registro de la aplicación y la aplicación de empresa, que pueden administrar las credenciales de las aplicaciones que poseen. Esas aplicaciones pueden tener permisos con privilegios en Microsoft Entra ID y en otros lugares no concedidos a los administradores de usuarios. Mediante esta ruta de acceso, un administrador de usuarios puede ser capaz de asumir la identidad del propietario de la aplicación y después asumir la identidad de una aplicación con privilegios mediante la actualización de las credenciales de la aplicación.
  • Propietarios de suscripción de Azure, que pueden tener acceso a información confidencial o privada o configuración crítica en Azure.
  • Propietarios del grupo de seguridad y el grupo de Microsoft 365, que pueden administrar la pertenencia a grupos. Esos grupos pueden conceder acceso a información confidencial o privada o a una configuración crítica en Microsoft Entra ID y en cualquier otro lugar.
  • Los administradores de otros servicios fuera de Microsoft Entra ID, como Exchange Online, el portal de Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y los sistemas de recursos humanos.
  • Usuarios no administradores como empleados ejecutivos, de asesoramiento jurídico y de recursos humanos que pueden tener acceso a información confidencial o privada.
Acciones Descripción
microsoft.azure.serviceHealth/allEntities/allTasks Leer y configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Administrar las revisiones de acceso de las asignaciones de roles de aplicación en Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Leer todas las propiedades de las revisiones de acceso para las asignaciones de roles de Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Administrar las revisiones de acceso para las asignaciones de los paquetes de acceso en la administración de derechos
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leer todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Actualizar todas las propiedades de las revisiones de acceso para la pertenencia en grupos de seguridad y de Microsoft 365, a excepción de los grupos a los que se pueden asignar roles.
microsoft.directory/accessReviews/definitions.groups/create Crear revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Eliminar revisiones de acceso para la pertenencia en los grupos de seguridad y de Microsoft 365.
microsoft.directory/contacts/basic/update Actualizar las propiedades básicas en los contactos
microsoft.directory/contacts/create Crear contactos
microsoft.directory/contacts/delete Eliminar contactos
microsoft.directory/deletedItems.groups/restore Restaurar los grupos eliminados temporalmente a su estado original
microsoft.directory/deletedItems.users/restore Restauración de usuarios eliminados temporalmente al estado original
microsoft.directory/entitlementManagement/allProperties/allTasks Crear y eliminar recursos y leer y actualizar todas las propiedades de la administración de derechos de Microsoft Entra
microsoft.directory/groups/assignLicense Asignar las licencias de producto a grupos para las licencias basadas en grupos
microsoft.directory/groups/basic/update Actualizar las propiedades básicas de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/classification/update Actualizar la propiedad de clasificación de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/create Crear grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/delete Eliminar grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/dynamicMembershipRule/update Actualizar la regla de membresía dinámica de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/groupType/update Actualizar las propiedades que afectarían al tipo de grupo de los grupos de seguridad y los de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups/members/update Actualizar los miembros de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/onPremWriteBack/update Actualizar los grupos de Microsoft Entra para que se escriban en el entorno local con Microsoft Entra Connect
microsoft.directory/groups/owners/update Actualizar los propietarios de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/groups/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para las licencias basadas en grupo
microsoft.directory/groups/restore Restaurar grupos desde un contenedor eliminado temporalmente
microsoft.directory/groups/settings/update Actualizar la configuración de los grupos
microsoft.directory/groups/visibility/update Actualizar la propiedad de visibilidad de los grupos de seguridad y de Microsoft 365, excepto los grupos a los que se puedan asignar roles
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Crea y elimina concesiones de permisos OAuth 2.0, y lee y actualiza todas las propiedades.
Icono de etiqueta con privilegios.
microsoft.directory/policies/standard/read Leer las propiedades básicas en las directivas
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Actualiza las asignaciones de rol de la entidad de servicio.
microsoft.directory/users/assignLicense Administrar licencias de usuario
microsoft.directory/users/basic/update Actualizar las propiedades básicas en los usuarios
microsoft.directory/users/convertExternalToInternalMemberUser Conversión de usuario externo en usuario interno
microsoft.directory/users/create Agregar usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/delete Eliminación de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/disable Deshabilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/enable Habilita usuarios.
Icono de etiqueta con privilegios.
microsoft.directory/users/invalidateAllRefreshTokens Forzar el cierre de sesión mediante la invalidación de tokens de actualización de usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/inviteGuest Invitar a usuarios externos
microsoft.directory/users/manager/update Actualizar el administrador de los usuarios
microsoft.directory/users/password/update Restablecer las contraseñas para todos los usuarios
Icono de etiqueta con privilegios.
microsoft.directory/users/photo/update Actualizar la foto de los usuarios
microsoft.directory/users/reprocessLicenseAssignment Volver a procesar las asignaciones de licencia para los usuarios
microsoft.directory/users/restore Restaurar usuarios eliminados
microsoft.directory/users/sponsors/update Actualizar los patrocinadores de los usuarios
microsoft.directory/users/usageLocation/update Actualizar la ubicación de uso de los usuarios
microsoft.directory/users/userPrincipalName/update Actualizar el nombre principal de usuario de los usuarios
Icono de etiqueta con privilegios.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de éxito de la experiencia del usuario

Asigne el rol Administrador de éxito de la experiencia del usuario a los usuarios que necesiten realizar las siguientes tareas:

  • Lea los informes de uso de nivel organizativo para aplicaciones y servicios de Microsoft 365, pero no los detalles del usuario
  • Vea los comentarios del producto de la organización, los resultados de la encuesta de Net Promoter Score (NPS) y las vistas del artículo para identificar las oportunidades de comunicación y aprendizaje
  • Leer entradas del centro de mensajes y datos de estado del servicio

Más información

Acciones Descripción
microsoft.commerce.billing/purchases/standard/read Leer los servicios de compra en el Centro de administración de M365
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Puede leer todos los aspectos de los mensajes de la organización de Microsoft 365.
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leer informes de uso de Office 365 agregados de nivel de inquilino
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Virtual Visits Administrator (Administrador de visitas virtuales)

Los usuarios con este rol pueden realizar las tareas siguientes:

  • Administrar y configurar todos los aspectos de las visitas virtuales en Bookings en el Centro de administración de Microsoft 365 y en el conector de EHR de Teams.
  • Ver informes de uso de visitas virtuales en el Centro de administración de Teams, el Centro de administración de Microsoft 365, Fabric y Power BI
  • Ver características y configuraciones en el Centro de administración de Microsoft 365, pero no editar ninguna configuración.

Las visitas virtuales son una manera sencilla de programar y administrar citas en línea y de vídeo para el personal y los asistentes. Por ejemplo, los informes de uso pueden mostrar cómo enviar mensajes de texto SMS antes de que las citas puedan reducir el número de personas que no aparecen para las citas.

Acciones Descripción
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks Administración y uso compartido de métricas y información de visitas virtuales desde los centros de administración o la aplicación Visitas virtuales

Administrador de Viva Goals

Asigne el rol Administrador de Viva Goals a los usuarios que necesiten realizar estas tareas:

  • Administrar y configurar todos los aspectos de la aplicación Microsoft Viva Goals.
  • Configurar las opciones de administrador de Microsoft Viva Goals.
  • Leer la información del inquilino de Microsoft Entra
  • Supervisar el estado del inquilino de Microsoft 365.
  • Crear y administrar las solicitudes de servicio de Microsoft 365

Para más información, consulte Roles y permisos en Viva Goals e Introducción a Microsoft Viva Goals.

Acciones Descripción
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Administrar todos los aspectos de los Microsoft Viva Goals

Administrador de Viva Pulse

Asigne el rol Administrador de Viva Pulse a los usuarios que necesiten realizar estas tareas:

  • Leer y configurar todas las opciones de Viva Pulse
  • Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
  • Leer y configurar Azure Service Health
  • Crear y administrar incidencias de Soporte técnico de Azure
  • Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
  • Leer informes de uso en el Centro de administración de Microsoft 365

Para obtener más información, vea Asignar un administrador de Viva Pulse en el Centro de administración de Microsoft 365.

Acciones Descripción
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Administración de todos los aspectos de Microsoft Viva Pulse

Administrador de Windows 365

Los usuarios con este rol tienen permisos globales en los recursos de Windows 365, cuando existe el servicio. Además, este rol contiene la capacidad de administrar usuarios y dispositivos para asociar una directiva, así como también para crear y administrar grupos.

Este rol puede crear y administrar grupos de seguridad, pero no tiene derechos de administrador sobre grupos de Microsoft 365. Esto significa que los administradores no pueden actualizar los propietarios ni las pertenencias de los grupos de Microsoft 365 en la organización. Sin embargo, pueden administrar el grupo de Microsoft 365 que crean, el que forma parte de sus privilegios de usuario final. Por lo tanto, cualquier grupo de Microsoft 365 (no grupo de seguridad) que creen se tiene en cuenta en la cuota de 250.

Asigne el rol Administrador de Windows 365 a los usuarios que necesiten realizar estas tareas:

  • Administración de equipos en la nube de Windows 365 en Microsoft Intune
  • Inscribir y administrar dispositivos en el Microsoft Entra ID, incluida la asignación de usuarios y directivas
  • Crear y administrar grupos de seguridad, pero no grupos a los que se pueden asignar roles
  • Ver propiedades básicas en el Centro de administración de Microsoft 365
  • Leer informes de uso en el Centro de administración de Microsoft 365
  • Crear y administrar incidencias de soporte técnico en Azure y el Centro de administración de Microsoft 365
Acciones Descripción
microsoft.azure.supportTickets/allEntities/allTasks Crear y administrar incidencias de Soporte técnico de Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Administrar todos los aspectos de Windows 365
microsoft.directory/deletedItems.devices/delete Eliminar permanente los dispositivos que ya no se pueden restaurar
microsoft.directory/deletedItems.devices/restore Restaurar los dispositivos eliminados temporalmente a su estado original
microsoft.directory/deviceManagementPolicies/standard/read Lectura de las propiedades estándar en las directivas de administración de dispositivos móviles y de administración de aplicaciones móviles
microsoft.directory/deviceRegistrationPolicy/standard/read Lectura de las propiedades estándar de las directivas de registro de dispositivos.
microsoft.directory/devices/basic/update Actualizar las propiedades básicas en los dispositivos
microsoft.directory/devices/create Crear dispositivos (inscribirse en Microsoft Entra ID)
microsoft.directory/devices/delete Eliminar los dispositivos de Microsoft Entra ID
microsoft.directory/devices/disable Deshabilitar los dispositivos en Microsoft Entra ID
microsoft.directory/devices/enable Habilitar los dispositivos en Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Actualizar las propiedades de extensionAttribute1 a extensionAttribute5 en los dispositivos
microsoft.directory/devices/extensionAttributeSet2/update Actualizar las propiedades de extensionAttribute6 a extensionAttribute10 en los dispositivos
microsoft.directory/devices/extensionAttributeSet3/update Actualizar las propiedades de extensionAttribute11 a extensionAttribute15 en los dispositivos
microsoft.directory/devices/registeredOwners/update Actualizar los propietarios registrados de los dispositivos
microsoft.directory/devices/registeredUsers/update Actualizar los usuarios registrados de los dispositivos
microsoft.directory/groups.security/basic/update Actualizar las propiedades básicas de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/classification/update Actualizar la propiedad de clasificación de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/create Crear grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/delete Eliminar grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/dynamicMembershipRule/update Actualizar la regla de pertenencia dinámica de grupos de seguridad, excepto los grupos a los que se pueden asignar roles.
microsoft.directory/groups.security/members/update Actualizar los miembros de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/owners/update Actualizar los propietarios de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.security/visibility/update Actualizar la propiedad de visibilidad de los grupos de seguridad, excepto los grupos a los que se pueden asignar roles
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365

Administrador de implementación de Windows Update

Los usuarios con este rol pueden crear y administrar todos los aspectos de las implementaciones de Windows Update mediante el servicio de implementación Windows Update para empresas. El servicio de implementación permite a los usuarios definir la configuración de cuándo y cómo se implementan las actualizaciones, y especificar qué actualizaciones se ofrecen a los grupos de dispositivos de su inquilino. También permite a los usuarios supervisar el progreso de actualización.

Acciones Descripción
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leer y configurar todos los aspectos del servicio Windows Update

Administrador de Yammer

Asigne el rol Administrador de Yammer a los usuarios que necesiten realizar estas tareas:

  • Administrar todos los aspectos de Yammer
  • Crear, administrar y restaurar Grupos de Microsoft 365, pero no grupos a los que se pueden asignar roles
  • Consultar los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se pueden asignar roles
  • Leer informes de uso en el Centro de administración de Microsoft 365
  • Creación y administración de solicitudes de servicio en el Centro de administración de Microsoft 365
  • Ver anuncios en el Centro de mensajes, pero no anuncios de seguridad
  • Vista del estado del servicio

Más información

Acciones Descripción
microsoft.directory/groups/hiddenMembers/read Lectura de los miembros ocultos de los grupos de seguridad y de Microsoft 365, incluidos los grupos a los que se puedan asignar roles
microsoft.directory/groups.unified/basic/update Actualizar las propiedades básicas de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/create Crear grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/delete Eliminar grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/members/update Actualizar los miembros de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups/unified/owners/update Actualizar los propietarios de los grupos de Microsoft 365, excepto los grupos a los que se pueden asignar roles
microsoft.directory/groups.unified/restore Restaurar grupos de Microsoft 365 desde un contenedor eliminado temporalmente, excepto los grupos a los que se pueden asignar roles
microsoft.office365.messageCenter/messages/read Leer los mensajes del centro de mensajes del centro de administración de Microsoft 365, excluyendo los mensajes de seguridad
microsoft.office365.network/performance/allProperties/read Leer todas las propiedades de rendimiento de red en el centro de administración de Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leer y configurar Service Health en el centro de administración de Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Crear y administrar las solicitudes de servicio de Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leer los informes de uso de Office 365
microsoft.office365.webPortal/allEntities/standard/read Leer las propiedades básicas de todos los recursos en el centro de administración de Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Administrar todos los aspectos de Yammer

Roles en desuso

Los siguientes roles no deben usarse. Han quedado en desuso y se quitarán del Microsoft Entra ID en el futuro.

  • Administrador de licencias ad hoc
  • Combinación de dispositivos
  • Administradores de dispositivos
  • Usuarios de dispositivos
  • Creador de usuarios comprobados de correo electrónico
  • Administrador de buzones de correo
  • Combinación de dispositivos de área de trabajo

Roles no mostrados en el portal

No todos los roles devueltos por PowerShell o MS Graph API están visibles en Azure Portal. En la tabla siguiente se organizan esas diferencias.

Nombre de la API Nombre de Azure Portal Notas
Combinación de dispositivos Obsoleto Documentación de roles en desuso
Administradores de dispositivos Obsoleto Documentación de roles en desuso
Usuarios de dispositivos Obsoleto Documentación de roles en desuso
Cuentas de sincronización de directorios No se muestra porque no debe usarse Documentación de cuentas de sincronización de directorios
Usuario invitado No se muestra porque no se puede usar N/D
Soporte técnico de asociado de nivel 1 No se muestra porque no debe usarse Documentación de soporte técnico para asociados de nivel 1
Soporte técnico de asociado de nivel 2 No se muestra porque no debe usarse Documentación de soporte técnico para asociados de nivel 2
Usuario invitado restringido No se muestra porque no se puede usar N/D
Usuario No se muestra porque no se puede usar N/D
Combinación de dispositivos de área de trabajo Obsoleto Documentación de roles en desuso

Pasos siguientes