Permisos de Exchange Online
Los roles globales de Microsoft Entra ID permiten administrar los permisos y el acceso a las funcionalidades de todo Microsoft 365, lo que también incluye Exchange Online. Para obtener más información, consulte permisos de Microsoft Entra.
Sin embargo, si necesita limitar los permisos y las funcionalidades a las características de Exchange Online, puede asignar permisos de Exchange Online en el Centro de administración de Exchange (EAC) y en Exchange Online PowerShell.
Para administrar los permisos de Exchange Online en el EAC, vaya a Roles>Administración roles o vaya directamente a la página roles de Administración en https://admin.exchange.microsoft.com/#/adminRoles.
Debe ser miembro del grupo de roles Administración de la organización en Exchange Online. En concreto, el rol De administración de roles de Exchange Online permite a los usuarios ver, crear y modificar Exchange Online grupos de roles. De forma predeterminada, ese rol solo se asigna al grupo de roles Administración de la organización .
Exchange Online incluye un gran conjunto de permisos predefinidos, basados en el modelo de permisos de Access Control basado en roles (RBAC), que puede usar de inmediato para conceder permisos fácilmente a los administradores y usuarios. Puede usar las características de permisos de Exchange Online para que la nueva organización se ponga en funcionamiento rápidamente.
Sugerencia
La administración de permisos en Exchange Online proporciona a los usuarios acceso a las características del EAC y Exchange Online PowerShell. Para conceder permisos a otras características, como las características de cumplimiento en el portal de cumplimiento Microsoft Purview o las características de seguridad en el portal de Microsoft Defender, consulte los artículos siguientes:
- Permisos en el portal de cumplimiento de Microsoft Purview
- permisos de Microsoft Defender para Office 365 en el portal de Microsoft Defender
En este artículo no se describen varias características y conceptos avanzados de RBAC. Si la funcionalidad descrita en este artículo no satisface sus necesidades y desea personalizar aún más el modelo de permisos, consulte Descripción de la Access Control basada en roles.
Permisos basados en roles
Exchange Online permisos se basan en el modelo de permisos de control de acceso basado en rol (RBAC). RBAC es el mismo modelo de permisos que usan la mayoría de los servicios y Exchange Server de Microsoft 365, por lo que si está familiarizado con la estructura de permisos de estos servicios, la concesión de permisos en Exchange Online debería estar familiarizado.
Un rol o rol de administración concede los permisos para realizar un conjunto de tareas. Exchange Online permisos usan los siguientes tipos de roles:
- Roles de administrador: define el conjunto de tareas que un administrador puede realizar. Cuando se asigna un rol de administrador a un grupo de roles y un administrador o usuario es miembro de ese grupo de roles, a esa persona se le conceden los permisos proporcionados por el rol. Estos roles se enumeran y describen en este artículo.
-
Roles de usuario final: estos roles, que se asignan mediante directivas de asignación de roles, permiten a los usuarios administrar los aspectos de sus propios grupos de distribución y buzones de correo que poseen. Los roles de usuario final comienzan con el prefijo
My. Para obtener más información, consulte la sección más adelante en este artículo. - Roles de aplicación: estos nombres de rol que comienzan o terminan con "Application" forman parte de RBAC para aplicaciones en Exchange Online. Para obtener más información, consulte Access Control basadas en roles para aplicaciones en Exchange Online.
Los roles conceden a los usuarios permisos para realizar tareas haciendo que los cmdlets de Exchange Online estén disponibles. Dado que el EAC y Exchange Online PowerShell usan cmdlets para administrar Exchange Online, la concesión de acceso a un cmdlet concede al administrador o al usuario permiso para realizar la tarea en cualquiera de las interfaces de administración de Exchange Online.
Un grupo de roles facilita la asignación de roles a los administradores. Cuando se asigna un rol a un grupo de roles, los permisos concedidos por el rol se dan a todos los miembros del grupo de roles. Exchange Online permisos incluyen grupos de roles predeterminados para las tareas y funciones más comunes que necesita asignar. También puede crear un grupo de roles personalizado. Se recomienda agregar usuarios individuales como miembros a los grupos de roles predeterminados o grupos de roles personalizados en lugar de asignar roles directamente a los usuarios. Los miembros de los grupos de roles pueden ser usuarios de Exchange Online y otros grupos de roles.
Agregar usuarios a Exchange Online grupos de roles concede derechos administrativos a los usuarios de Exchange Online sin agregarlos a roles de Microsoft Entra. Los usuarios reciben los permisos concedidos por el grupo de roles en Exchange Online solo sin permiso para otras características o cargas de trabajo de Microsoft 365.
En el resto de este artículo se describen los roles de administrador y los grupos de roles de Exchange Online.
Sugerencia
Una directiva de asignación de roles es un tipo de grupo de roles que se usa para asignar roles de usuario final a los usuarios. Para obtener más información, vea Directivas de asignación de roles en Exchange Online.
Grupos de roles en Exchange Online
En la tabla de esta sección se enumeran los grupos de roles de administrador predeterminados que están disponibles en Exchange Online y los roles asignados a los grupos de roles de forma predeterminada. Para conceder permisos a un usuario para realizar tareas en Exchange Online, agréguelos al grupo de roles adecuado.
Si trabaja en una organización pequeña que solo tiene unos pocos administradores, es posible que tenga que agregar esos administradores solo al grupo de roles Administración de la organización, y es posible que nunca necesite usar los demás grupos de roles. Si trabaja en una organización mayor, es posible que tenga administradores que realicen tareas específicas que administran Exchange Online, como la configuración del destinatario. En esos casos, puede agregar un administrador al grupo de roles Administración de destinatarios y otro administrador al grupo de roles Administración de la organización. Estos administradores pueden administrar sus áreas específicas de Exchange Online, pero no tienen permisos para administrar las áreas de las que no son responsables.
Si los grupos de roles integrados de Exchange Online no coinciden con la función de trabajo de los administradores, puede crear grupos de roles y agregarles roles. Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.
Sugerencia
A menos que se indique lo contrario, las mismas asignaciones de roles y grupos de roles se usan en Exchange Online Protection independientes.
| Grupo de funciones | Descripción | Roles predeterminados asignados |
|---|---|---|
| Cumplimiento de la comunicación | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Administrador de cumplimiento de comunicaciones Investigación del cumplimiento de comunicaciones |
| Administradores de cumplimiento de comunicaciones | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Administrador de cumplimiento de comunicaciones |
| Administrador de cumplimiento | Administrar la configuración de administración de dispositivos, prevención de pérdida de datos, informes y conservación. | Administrador de cumplimiento de comunicaciones Administración de riesgos internos Administración |
| Administración de cumplimiento | Los miembros pueden configurar y administrar la configuración de cumplimiento en Exchange de acuerdo con sus directivas. | Registros de auditoría Administración de cumplimiento Prevención de pérdida de datos Information Rights Management Registro en diario Seguimiento de mensajes Administración de retención Reglas de transporte Registros de auditoría de solo vista Configuración con permiso de vista Destinatarios con permiso de vista |
| Discovery Management | Los miembros pueden realizar búsquedas de buzones de correo en la organización de Exchange Online para obtener datos que cumplan criterios específicos y también puedan configurar retenciones legales en buzones. | Retención legal Búsqueda en el buzón |
| valor> único de< ExchangeServiceAdmins_¹ | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles Administración de la organización (como administrador de servicios de Exchange) y hereda los permisos proporcionados por ese grupo de roles. Puede agregar miembros a este grupo de roles agregando usuarios al rol Microsoft Entra ID administrador de Exchange en el Centro de administración de Microsoft 365. |
No aplicable |
| Servicio de asistencia | Los miembros pueden ver y administrar la configuración de destinatarios individuales y ver destinatarios en una organización de Exchange. Los miembros de este grupo de roles solo pueden administrar la configuración que cada usuario puede administrar en su propio buzón. | Restablecer contraseña Opciones de usuario Destinatarios con permiso de vista |
| Administración de higiene | Los miembros pueden administrar las características contra correo no deseado de Exchange, conceder permisos para que los productos antivirus se integren con Exchange y administrar las reglas de flujo de correo. | Higiene del transporte Configuración con permiso de vista Destinatarios con permiso de vista |
| Protección de la información | Control total sobre todas las características de protección de la información, incluidas las etiquetas de confidencialidad y sus directivas, DLP, todos los tipos clasificadores, exploradores de actividad y contenido y todos los informes relacionados. | Administrador de Information Protection analista de Information Protection² Investigador de protección de información Lector de protección de información |
| Administradores de Information Protection | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Administrador de Information Protection |
| Analistas de Information Protection | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Search-UnifiedAuditLog en Exchange Online. | analista de Information Protection² |
| Investigadores de Information Protection | Búsqueda en el registro de auditoría unificado | Investigador de protección de información |
| Lectores de Information Protection | Busque en el registro de auditoría unificado y vea los informes De resumen de tráfico de correo y tráfico de correo. | Lector de protección de información |
| Administración de riesgos de Insider | Administrar el control de acceso para la administración de riesgos de Insider. | Administración de riesgos internos Administración Investigación de administración de riesgos internos |
| Administradores de administración de riesgos internos | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Administración de riesgos internos Administración |
| Investigadores de administración de riesgos internos | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Investigación de administración de riesgos internos |
| Administración de la organización | Los miembros tienen acceso administrativo a toda la organización Exchange Online y pueden realizar casi cualquier tarea en Exchange Online. Importante: Dado que el grupo de roles Administración de la organización es un rol eficaz, solo los usuarios que realizan tareas administrativas de nivel organizativo que pueden afectar a toda la Exchange Online organización deben ser miembros de este grupo de roles. |
Registros de auditoría Administrador de cumplimiento de comunicaciones Investigación del cumplimiento de comunicaciones Administración de cumplimiento Prevención de pérdida de datos Grupos de distribución dinámicos Directivas de direcciones de correo electrónico Uso compartido federado Administrador de Information Protection analista de Information Protection² Investigador de protección de información Lector de protección de información Information Rights Management Administración de riesgos internos Administración Investigación de administración de riesgos internos Registro en diario Retención legal Carpetas públicas habilitadas para correo Creación de destinatario de correo Destinatarios de correo Sugerencias de correo Seguimiento de mensajes Migración Mover buzones Aplicaciones personalizadas de la organización Aplicaciones del catálogo de soluciones de la organización Acceso de cliente de la organización Configuración de la organización Configuración de transporte de la organización Administración de administración de privacidad Investigación de administración de privacidad Carpetas públicas Directivas de destinatarios Dominios remotos y aceptados Restablecer contraseña Administración de retención Administración de roles Administrador de seguridad Creación y pertenencia a grupos de seguridad Lector de seguridad TenantPlacesManagement Higiene del transporte Reglas de transporte Opciones de usuario Registros de auditoría de solo vista Configuración con permiso de vista Destinatarios con permiso de vista |
| Administración de privacidad | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Administración de administración de privacidad Investigación de administración de privacidad |
| Administradores de administración de privacidad | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Administración de administración de privacidad |
| Investigadores de administración de privacidad | Las asignaciones de roles de este grupo de roles proporcionan acceso al cmdlet Test-TextExtraction en Exchange Online. | Investigación de administración de privacidad |
| Recipient Management | Los miembros tienen acceso administrativo para crear o modificar Exchange Online destinatarios dentro de la organización Exchange Online. | Grupos de distribución dinámicos Creación de destinatario de correo Destinatarios de correo Seguimiento de mensajes Migración Mover buzones Directivas de destinatarios Restablecer contraseña |
| Records Management | Los miembros pueden configurar características de cumplimiento, como etiquetas de directiva de retención, clasificaciones de mensajes y reglas de flujo de correo (también conocidas como reglas de transporte). | Registros de auditoría Registro en diario Seguimiento de mensajes Administración de retención Reglas de transporte |
| GUID RIM-MailboxAdmins<> | No se usa | ApplicationImpersonation |
| Administrador de seguridad | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador de seguridad de Microsoft Entra en el Centro de administración de Microsoft 365. |
Administrador de seguridad SensitivityLabelAdministrator |
| Operador de seguridad | Administre alertas de seguridad y vea también los informes y la configuración de las características de seguridad. | Administrador allowBlockList de inquilinos |
| Lector de seguridad | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Puede agregar miembros a este grupo de roles agregando usuarios al rol lector de seguridad de Microsoft Entra en el Centro de administración de Microsoft 365. |
Lector de seguridad |
| valor único de< TenantAdmins_> | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles Administración de la organización (como administrador de empresa) y hereda los permisos proporcionados por ese grupo de roles. Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador global de Microsoft Entra ID en el Centro de administración de Microsoft 365. Importante: Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente. |
No aplicable |
| Administración de la organización de solo visualización | Los miembros pueden ver las propiedades de cualquier objeto de la organización Exchange Online. | Configuración con permiso de vista Destinatarios con permiso de vista |
¹ Este grupo de roles no está disponible en Exchange Online Protection independientes.
² De forma predeterminada, a este rol no se le asigna ningún grupo de roles en Exchange Online Protection independientes.
Roles en Exchange Online
En la tabla de esta sección se enumeran los roles de administrador disponibles y los grupos de roles a los que están asignados de forma predeterminada.
Los roles que no están asignados al grupo de roles administración de la organización de forma predeterminada se marcan con *
Sugerencia
- Los nombres de rol que comienzan con el prefijo "My" (por ejemplo, MyContactInformation) son roles de usuario final. Los roles de usuario final se asignan a los usuarios en las directivas de asignación de roles, que permiten a los usuarios operar en el objeto que poseen (por ejemplo, su propia cuenta o grupos de distribución que crearon). Para obtener más información, vea Directivas de asignación de roles en Exchange Online.
- Los nombres de rol que comienzan o terminan con "Application" forman parte de RBAC para aplicaciones en Exchange Online. Para obtener más información, consulte Access Control basadas en roles para aplicaciones en Exchange Online.
- Muchos de los roles relacionados con el cumplimiento que también están disponibles en el cumplimiento de Microsoft Purview y Microsoft Entra no ofrecen mucha funcionalidad en Exchange Online por sí mismos.
- A menos que se indique lo contrario, los mismos roles y asignaciones de grupos de roles se usan en Exchange Online Protection independientes.
| Role | Descripción | Asignaciones de grupos de roles predeterminadas |
|---|---|---|
| Dirección Listas* | Permite a los administradores administrar listas de direcciones, listas globales de direcciones y listas de direcciones sin conexión en una organización. | Ninguno |
| Registros de auditoría | Busque en el registro de auditoría del administrador y vea los resultados. | Administración de cumplimiento Administración de la organización Records Management |
| Administrador de cumplimiento de comunicaciones | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Cumplimiento de la comunicación Administradores de cumplimiento de comunicaciones Administrador de cumplimiento Administración de la organización |
| Investigación del cumplimiento de comunicaciones | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Cumplimiento de la comunicación Administración de la organización |
| Administración de cumplimiento | Permite a los usuarios ver y editar la configuración y los informes de las características de cumplimiento. | Administración de cumplimiento Administración de la organización |
| Prevención de pérdida de datos | Este rol estaba relacionado con la configuración anterior de la regla de flujo de correo (regla de transporte) relacionada con la prevención de pérdida de datos (DLP) de la organización. Este rol proporciona acceso a la administración de reglas de flujo de correo y de informes en Exchange Online. | Administración de cumplimiento Administración de la organización |
| Grupos de distribución dinámicos | Cree y administre todos los grupos de distribución, los grupos de seguridad habilitados para correo y los miembros. | Administración de la organización Recipient Management |
| Directivas de direcciones de correo electrónico | Permite a los administradores administrar directivas de direcciones de correo electrónico en una organización. | Administración de la organización |
| Uso compartido federado | Permite a los administradores administrar el uso compartido entre bosques y entre organizaciones en una organización. | Administración de la organización |
| Administrador de Information Protection | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Protección de la información Administradores de Information Protection Administración de la organización |
| Analista de Information Protection | Este rol proporciona acceso al cmdlet Search-UnifiedAuditLog en Exchange Online. | Protección de la información analistas de Information Protection¹ Administración de la organización |
| Investigador de protección de información | Busque en el registro de auditoría unificado. | Protección de la información Investigadores de Information Protection Administración de la organización |
| Lector de protección de información | Busque en el registro de auditoría unificado y vea los informes De resumen de tráfico de correo y tráfico de correo. | Protección de la información Lectores de Information Protection Administración de la organización |
| Information Rights Management | Administre las características de Information Rights Management (IRM) de Exchange en una organización. | Administración de cumplimiento Administración de la organización |
| Administración de riesgos internos Administración | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Administrador de cumplimiento Administración de riesgos de Insider Administradores de administración de riesgos internos Administración de la organización |
| Investigación de administración de riesgos internos | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Administración de riesgos de Insider Investigadores de administración de riesgos internos Administración de la organización |
| Registro en diario | Permite a los administradores administrar la configuración de registro en diario en una organización. | Administración de cumplimiento Administración de la organización Records Management |
| Retención legal | Permite a los administradores configurar si los datos de un buzón deben conservarse con fines de litigio en una organización. | Discovery Management Administración de la organización |
| Carpetas públicas habilitadas para correo | Permite a los administradores configurar si las carpetas públicas individuales están habilitadas para correo o deshabilitadas para correo en una organización. | Administración de la organización |
| Creación de destinatario de correo | Crear y quitar usuarios de correo y contactos de correo. | Administración de la organización Recipient Management |
| Destinatarios de correo | Modifique los usuarios de correo y los contactos de correo existentes. | Administración de la organización Recipient Management |
| Sugerencias de correo | Permite a los administradores administrar la configuración de información sobre correo electrónico en una organización. | Administración de la organización |
| Exportación de importación de buzones* | Permite a los administradores importar y exportar contenido de buzón de correo. | Ninguno |
| Búsqueda en el buzón* | Permite a los administradores buscar en el contenido de uno o varios buzones de una organización. | Discovery Management |
| Seguimiento de mensajes | Permite a los administradores realizar un seguimiento de los mensajes de una organización. | Administración de cumplimiento Administración de la organización Recipient Management Records Management |
| Migración | Permite a los administradores migrar buzones de correo y contenido de buzón dentro o fuera de una organización. | Administración de la organización Recipient Management |
| Mover buzones | Permite a los administradores mover buzones. | Administración de la organización Recipient Management |
| O365SupportViewConfig* | No se usa | Ninguno |
| Aplicaciones personalizadas de la organización | Permite a los usuarios ver y modificar sus aplicaciones personalizadas de la organización. | Administración de la organización |
| Aplicaciones del catálogo de soluciones de la organización | Permite a los usuarios ver y modificar sus aplicaciones de Marketplace de la organización. | Administración de la organización |
| Acceso de cliente de la organización | Permite a los administradores administrar la configuración de acceso de cliente en una organización. | Administración de la organización |
| Configuración de la organización | Permite a los administradores administrar la configuración de toda la organización. | Administración de la organización |
| Configuración de transporte de la organización | Permite a los administradores administrar la configuración de transporte de correo híbrido y de toda la organización. | Administración de la organización |
| Administración de administración de privacidad | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Administración de la organización Administración de privacidad Administradores de administración de privacidad |
| Investigación de administración de privacidad | Este rol proporciona acceso al cmdlet Test-TextExtraction en Exchange Online. | Administración de la organización Administración de privacidad Investigadores de administración de privacidad |
| Carpetas públicas | Permite a los administradores administrar carpetas públicas en una organización. | Administración de la organización |
| Directivas de destinatarios | Permite a los administradores administrar directivas de destinatarios (directivas de autenticación, directivas de cifrado de datos directivas de buzón de dispositivo móvil y directivas de buzón de Outlook en la Web) en una organización. | Administración de la organización Recipient Management |
| Dominios remotos y aceptados | Administrar dominios remotos, dominios aceptados y conectores. | Administración de la organización |
| Restablecer contraseña | Permite a los administradores establecer contraseñas de buzón de sala. | Servicio de asistencia Administración de la organización Recipient Management |
| Administración de retención | Permite a los usuarios administrar las directivas de retención. | Administración de cumplimiento Administración de la organización Records Management |
| Administración de roles | Permite a los administradores administrar grupos de roles de administración, directivas de asignación de roles, roles de administración, entradas de roles, asignaciones y ámbitos en una organización. | Administración de la organización |
| Administrador de seguridad | Administre la configuración y los informes de todas las características de seguridad y protección. | Administración de la organización Administrador de seguridad |
| Creación y pertenencia a grupos de seguridad | Cree y administre grupos de seguridad habilitados para correo. | Administración de la organización |
| Lector de seguridad | Vea la configuración y los informes de las características de seguridad y protección. | Administración de la organización Lector de seguridad |
| SensitivityLabelAdministrator* | Permite a los usuarios editar las propiedades de la etiqueta de confidencialidad. | Administrador de seguridad |
| Administrador allowBlockList de inquilinos* | Permite a los usuarios administrar la lista de permitidos o bloqueados de inquilinos. | Operador de seguridad |
| TenantPlacesManagement | Permite a los usuarios administrar la configuración de Microsoft Places. | Administración de la organización |
| Higiene del transporte | Administre las características de antimalware, antispam y antispam. | Administración de higiene Administración de la organización |
| Reglas de transporte | Crear y administrar reglas de flujo de correo (también conocidas como reglas de transporte). | Administración de cumplimiento Administración de la organización Records Management |
| Opciones de usuario | Permite a los administradores ver las opciones de Outlook en la Web de los usuarios de la organización. | Servicio de asistencia Administración de la organización |
| Registros de auditoría de solo vista | Busque en el registro de auditoría del administrador y vea los resultados. | Administración de cumplimiento Administración de la organización |
| Configuración con permiso de vista | Vea toda la configuración de la organización y el flujo de correo (no destinatario) de la organización. | Administración de cumplimiento Administración de higiene Administración de la organización Administración de la organización de solo visualización |
| Destinatarios con permiso de vista | Ver las propiedades del destinatario y ejecutar el seguimiento de mensajes. | Administración de cumplimiento Servicio de asistencia Administración de higiene Administración de la organización Administración de la organización de solo visualización |
¹ De forma predeterminada, este rol no se asigna a ningún grupo de roles en Exchange Online Protection independientes.
Permisos de Microsoft 365 en Exchange Online
Al crear un usuario en el Centro de administración de Microsoft 365, puede elegir si desea asignar varios roles de Microsoft Entra (por ejemplo, Administrador de Exchange o Lector global) al usuario. La mayoría de los roles de Microsoft Entra conceden permisos administrativos al usuario en Exchange Online.
Nota:
La cuenta que usó para crear la organización Exchange Online se asigna automáticamente al rol Administrador global.
En la tabla siguiente se enumeran los roles Microsoft Entra y los grupos de roles Exchange Online a los que corresponden. Para obtener más información sobre estos roles, consulte permisos de Microsoft Entra.
| rol Microsoft Entra | Grupo de roles de Exchange Online |
|---|---|
| Administrador global | Administración de la organización Nota: El rol Administrador global y el grupo de roles Administración de la organización se asocian mediante un grupo de roles de administrador de empresa especial. El grupo de roles Administrador de empresa se administra internamente y no se puede modificar directamente. |
| Administrador de Exchange | Administración de la organización |
| Lector global | Administración de la organización de solo visualización |
| Administrador del servicio de asistencia | Servicio de asistencia |
| Administrador de soporte técnico de servicio | Ninguno |
| Administrador de SharePoint | Ninguno |
| Administrador de Teams | Ninguno |
| Administrador de destinatarios de Exchange | Recipient Management |
| Administrador de éxito de la experiencia del usuario | Ninguno |
Se pueden conceder derechos administrativos a los usuarios en Exchange Online sin agregarlos a roles de Microsoft Entra agregando al usuario como miembro de un grupo de roles de Exchange Online. El usuario obtiene permisos en Exchange Online, pero no obtiene permisos en otras cargas de trabajo de Microsoft 365.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.