Protección de las cuentas de administrador

Dado que las cuentas de administrador vienen con privilegios elevados, son objetivos valiosos para los ciberattackers. Este artículo describe:

• Cómo configurar otra cuenta de administrador para emergencias.
• Crear una cuenta de administrador de emergencia.
• Cómo crear una cuenta de usuario para usted.
• Cómo proteger las cuentas de administrador
• Recomendaciones adicionales y el siguiente paso.

Cuando se registra en Microsoft 365 y escribe su información, se convierte automáticamente en el administrador global (también conocido como administrador global). Un administrador global tiene el control final de las cuentas de usuario y todas las demás configuraciones en el Centro de administración de Microsoft (https://admin.microsoft.com), pero hay muchos tipos diferentes de cuentas de administrador con distintos grados de acceso. Consulte acerca de los roles de administrador para obtener información sobre los distintos niveles de acceso para cada tipo de rol de administrador.

Crear otras cuentas de administrador

Use cuentas de administrador solo para la administración de Microsoft 365. Los administradores deben tener una cuenta de usuario independiente para su uso normal de Aplicaciones Microsoft 365 y solo usar su cuenta administrativa cuando sea necesario para administrar cuentas y dispositivos, y mientras trabajan en otras funciones de administrador. También es una buena idea quitar la licencia de Microsoft 365 de sus cuentas de administrador para que no tenga que pagar por licencias adicionales.

Querrá configurar al menos otra cuenta de administrador global para dar acceso de administrador a otro empleado de confianza. También puede crear cuentas de administrador independientes para la administración de usuarios (este rol se denomina Administrador de control de usuarios). Para más información, consulte Sobre los roles de administrador.

Importante

Aunque se recomienda configurar un conjunto de cuentas de administrador, querrá limitar el número de administradores globales de su organización. Además, recomendamos adherirse al concepto de acceso con privilegios mínimos, lo que significa que solo otorga acceso a los datos y operaciones necesarios para realizar sus trabajos. Más información sobre el principio de privilegios mínimos.

Para crear más cuentas de administrador:

1. En el Centro de administración de Microsoft 365, elija Usuarios>activos usuarios en el panel de navegación izquierdo.

   

2. En la página Usuarios activos, seleccione Agregar un usuario en la parte superior de la página.

3. En el panel Agregar un usuario, escriba información básica, como la información de nombre y nombre de usuario.

4. Escriba y configure la información de Licencias de productos.

5. En Configuración opcional, defina el rol del usuario, incluida la adición del acceso al centro de administración si procede.

   

6. Finalice y revise la configuración y seleccione Finalizar la adición para confirmar los detalles.

Crear una cuenta de administrador de emergencia

También debe crear una cuenta de respaldo que no esté configurada con autenticación multifactor (MFA) para no bloquearse accidentalmente (por ejemplo, si pierde el teléfono que está utilizando como segunda forma de verificación). Asegúrese de que la contraseña de esta cuenta tenga una frase o al menos 16 caracteres. Esta cuenta de administrador de emergencia se suele denominar "cuenta de ruptura".

Crear una cuenta de usuario propia

Si es administrador, necesitará una cuenta de usuario para las tareas de trabajo habituales, como comprobar el correo. Asigne un nombre a sus cuentas para saber cuál es cuál. Por ejemplo, las credenciales de administrador podrían ser similares a Alice.Chavez@Contoso.org y la cuenta de usuario normal podría ser similar a Alice@Contoso.com.

Para crear una nueva cuenta de usuario:

1. Vaya a la Centro de administración de Microsoft 365 y, a continuación, elija Usuarios>usuarios activos en el panel de navegación izquierdo.

2. En la página Usuarios activos, seleccione Agregar un usuario en la parte superior de la página y, en el panel Agregar un usuario, escriba el nombre y cualquier otra información.

3. En la sección Licencias de productos, seleccione la casilla de Microsoft 365 Empresa Premium (sin acceso administrativo).

4. En la sección Configuración opcional, deje seleccionado el botón de radio predeterminado para Usuario (sin acceso al centro de administración).

5. Finalice y revise la configuración y seleccione Finalizar la adición para confirmar los detalles.

Proteger cuentas de administrador

Para proteger todas sus cuentas de administrador, asegúrese de seguir estas recomendaciones:

• Solicitar que todas las cuentas de administrador usen la autenticación sin contraseña (como Windows Hello o una aplicación de autenticación) o MFA. Para obtener más información sobre por qué es importante la autenticación sin contraseña, consulte el documento del producto de seguridad de Microsoft: Protección sin contraseña.

• Evite usar permisos personalizados para los administradores. En lugar de conceder permisos a usuarios específicos, asigne permisos mediante roles en Microsoft Entra ID. Además, otorgue acceso solo a los datos y las operaciones necesarias para realizar la tarea en cuestión. Obtenga información sobre los roles con privilegios mínimos en Microsoft Entra ID.

• Utilice roles integrados para asignar permisos siempre que sea posible. El control de acceso basado en roles (RBAC) de Azure tiene varios roles integrados que puede usar. Obtenga más información sobre Microsoft Entra roles integrados.

Recomendaciones adicionales

• Antes de usar cuentas de administrador, cierre todas las aplicaciones y sesiones de explorador no relacionadas, incluidas las cuentas de correo electrónico personales. También podrá usar ventanas de explorador privadas o de incógnito.

• Después de completar las tareas de administrador, asegúrese de cerrar la sesión del explorador.

Paso siguiente

Aumento de la protección contra amenazas para Microsoft 365 Empresa Premium