Compartir vía


Roles de Azure, roles de Microsoft Entra y roles de administrador de la suscripción clásica

Si no está familiarizado con Azure, es posible que le resulte un poco difícil comprender los distintos roles de Azure. En este artículo se explican los siguientes roles y cuándo se usa cada uno:

  • Roles de Azure
  • Roles de Microsoft Entra
  • Roles de administrador de suscripciones clásicas

Para entender mejor los roles en Azure, es útil conocer algo de la historia. Cuando se publicó inicialmente Azure, el acceso a los recursos se administraba con solo tres roles de administrador: administrador de cuentas, administrador de servicios y coadministrador. Posteriormente se agregó el control de acceso basado en rol de Azure (Azure RBAC). RBAC de Azure es un nuevo sistema de autorización que proporciona una administración de acceso detallada a los recursos de Azure. Azure RBAC incluye muchos roles integrados, puede asignarse en distintos ámbitos y le permite crear sus propios roles personalizados. Para administrar recursos de Microsoft Entra ID, como usuarios, grupos y dominios, hay varios roles de Microsoft Entra.

En el siguiente diagrama se muestra una visión general de cómo se relacionan los roles de Azure, los roles de Microsoft Entra y los roles de administrador de la suscripción clásica.

Diagrama de los diferentes roles en Azure.

Roles de Azure

RBAC de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso específico a los recursos de Azure como, por ejemplo, proceso y almacenamiento. RBAC de Azure incluye más de 100 roles integrados. Hay cinco roles fundamentales de Azure. Las tres primeras se aplican a todos los tipos de recursos:

Rol de Azure Permisos Notas
Propietario
  • Concede acceso total para administrar todos los recursos
  • Asignar roles en Azure RBAC
Al administrador de servicios y a los coadministradores se les asigna el rol de propietario en el ámbito de suscripción.
Se aplica a todos los tipos de recursos.
Colaborador
  • Concede acceso total para administrar todos los recursos
  • No se pueden asignar roles en Azure RBAC
  • No se pueden administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes
Se aplica a todos los tipos de recursos.
Lector
  • Ver recursos de Azure
Se aplica a todos los tipos de recursos.
Administrador de control de acceso basado en roles
  • Administrar el acceso de usuarios a los recursos de Azure
  • Asignar roles en Azure RBAC
  • Asignarse a sí mismos u otros usuarios el rol Propietario
  • No se puede administrar el acceso mediante otras formas, como Azure Policy
Administrador de acceso de usuario
  • Administrar el acceso de usuarios a los recursos de Azure
  • Asignar roles en Azure RBAC
  • Asignarse a sí mismos u otros usuarios el rol Propietario

Los demás roles integrados permiten la administración de recursos específicos de Azure. Por ejemplo, el rol de colaborador de máquina virtual permite al usuario crear y administrar máquinas virtuales. Para ver una lista de todos los roles integrados, consulte Roles integrados de Azure.

Azure RBAC solo es compatible con Azure Portal y con las API de Azure Resource Manager. Los usuarios, los grupos y las aplicaciones a los que se asignan roles de Azure no pueden usar las API del modelo de implementación clásica de Azure.

En Azure Portal, las asignaciones de roles mediante Azure RBAC aparecen en la página Control de acceso (IAM). Esta página se puede encontrar en todo el portal, por ejemplo, en grupos de administración, suscripciones, grupos de recursos y distintos recursos.

Captura de pantalla de la página Control de acceso (IAM) en Azure Portal.

Al hacer clic en la pestaña Roles, verá la lista de roles integrados y personalizados.

Captura de pantalla de los roles integrados en Azure Portal.

Para más información, consulte Asignación de roles de Azure mediante Azure Portal.

Roles de Microsoft Entra

Los roles de Microsoft Entra se utilizan para administrar los recursos de Microsoft Entra de un directorio, como crear o editar usuarios, asignar roles administrativos a otros usuarios, restablecer contraseñas de usuario, administrar licencias de usuario y administrar dominios. En la tabla siguiente se describen algunos de los roles de Microsoft Entra más importantes.

Rol de Microsoft Entra Permisos Notas
Administrador global
  • Administración del acceso a todas las características administrativas de Microsoft Entra ID, así como los servicios que se federan con Microsoft Entra ID
  • Asignar roles de administrador a otros usuarios
  • Restablecer la contraseña de cualquier usuario y de todos los demás administradores
La persona que se suscribe al inquilino de Microsoft Entra se convierte en administrador global.
Administrador de usuarios
  • Crear y administrar todos los aspectos de usuarios y grupos
  • Administrar incidencias de soporte técnico
  • Supervisar el estado del servicio
  • Cambiar las contraseñas de los usuarios, de los administradores del departamento de soporte técnico y de otros administradores de usuario
Administrador de facturación
  • Realizar compras
  • Administrar suscripciones
  • Administrar incidencias de soporte técnico
  • Supervisa el mantenimiento del servicio

En Azure Portal, puede ver la lista de roles de Microsoft Entra en la página Roles y administradores. Para obtener una lista de todos los roles de Microsoft Entra, consulte Permisos de roles de administrador en Microsoft Entra ID.

Captura de pantalla de los roles de Microsoft Entra en Azure Portal.

Diferencias entre los roles de Azure y los de Microsoft Entra

A nivel general, los roles de Azure controlan los permisos para administrar recursos de Azure, mientras que los roles de Microsoft Entra controlan los permisos para administrar los recursos de Microsoft Entra. En la tabla siguiente se comparan algunas de las diferencias.

Roles de Azure Roles de Microsoft Entra
Administración del acceso de usuarios a los recursos de Azure Administración del acceso a los recursos de Microsoft Entra
Admite los roles personalizados Admite los roles personalizados
El ámbito se puede especificar en varios niveles (grupo de administración, suscripción, grupo de recursos, recurso). El ámbito se puede especificar en el nivel de inquilino (toda la organización), en la unidad administrativa o en un objeto individual (por ejemplo, una aplicación específica).
Se puede acceder a la información de roles en Azure Portal, CLI de Azure, Azure PowerShell, plantillas de Azure Resource Manager, API REST Se puede acceder a la información de roles en Azure Portal, el Centro de administración de Microsoft Entra, el Centro de administración de Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

¿Se superponen los roles de Azure y los de Microsoft Entra?

De forma predeterminada, los roles de Azure y los roles de Microsoft Entra no incluyen Azure ni Microsoft Entra ID. Sin embargo, si un administrador global eleva su acceso mediante la elección del modificador Administración del acceso para los recursos de Azure en Azure Portal, se le otorgará el rol Administrador de acceso de usuario (un rol de Azure) en todas las suscripciones para un inquilino en particular. El rol de administrador de accesos de usuario permite conceder a otros usuarios acceso a recursos de Azure. Este modificador puede ser útil para recuperar el acceso a una suscripción. Para más información, consulte Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure.

Varios roles de Microsoft Entra incluyen Microsoft Entra ID y Microsoft 365, como los roles Administrador global y Administrador de usuarios. Por ejemplo, si es miembro del rol Administrador global, tiene funcionalidades de administrador global en Microsoft Entra ID y Microsoft 365, como realizar cambios en Microsoft Exchange y Microsoft SharePoint. Sin embargo, de forma predeterminada, el administrador global no tiene acceso a los recursos de Azure.

Diagrama en el que se muestran los roles de RBAC de Azure en comparación con los de Microsoft Entra.

Roles de administrador de suscripciones clásicas

Importante

A partir del 31 de agosto de 2024, los roles de administrador clásico de Azure (junto con los recursos clásicos de Azure y Azure Service Manager) se retiran y ya no se admiten. Si todavía tiene asignaciones activas de roles de Coadministrador o Administrador de servicios, conviértalas en RBAC de Azure inmediatamente.

Para más información, consulte el artículo sobre los Administradores clásicos de la suscripción de Azure.

Administrador de cuenta, administrador de servicios y coadministrador son las tres variantes de roles de administrador de suscripciones clásicas de Azure. Los administradores de suscripción clásica tienen acceso completo a la suscripción de Azure. Se pueden administrar los recursos con Azure Portal, con las API de Azure Resource Manager o bien con las API del modelo de implementación clásica. La cuenta que se utiliza para suscribirse a Azure se establece automáticamente como administrador de cuenta y administrador de servicio. A continuación, se pueden agregar coadministradores adicionales. Tanto el administrador de servicios como los coadministradores tienen un acceso equivalente al de los usuarios a los que se les ha asignado el rol Propietario (un rol de Azure) en el ámbito de la suscripción. En la tabla siguiente se describen las diferencias entre estos tres roles administrativos de la suscripción clásica.

Administrador de suscripciones clásicas Límite Permisos Notas
Administrador de cuenta 1 por cuenta de Azure
  • Puede acceder a Azure Portal y administrar la facturación.
  • Administración de la facturación de todas las suscripciones de la cuenta
  • Crear nuevas suscripciones
  • Cancelar suscripciones
  • Cambiar la facturación de una suscripción
  • Cambiar el administrador de servicios
  • No se pueden cancelar suscripciones a menos que tengan el rol Administrador de servicios o Propietario de la suscripción.
Desde un punto de vista conceptual, el propietario de la facturación de la suscripción.
Administrador de servicios 1 por cada suscripción de Azure
  • Administrar servicios en Azure Portal
  • Cancelación de la suscripción
  • Asignar a usuarios al rol de coadministrador
De forma predeterminada, en una nueva suscripción, el administrador de cuenta es también el administrador de servicios.
El administrador de servicios tiene el acceso equivalente a un usuario al que se le asigna el rol de propietario en el ámbito de la suscripción.
El administrador de servicios tiene permiso total de acceso a Azure Portal.
Coadministrador 200 por suscripción
  • Mismos privilegios de acceso que el administrador de servicios, pero no puede cambiar la asociación de suscripciones a directorios de Microsoft Entra
  • Asignar usuarios al rol de coadministrador, pero no puede cambiar el administrador de servicios
El coadministrador tiene el acceso equivalente a un usuario al que se le asigna el rol de propietario en el ámbito de la suscripción.

En Azure Portal, puede administrar coadministradores o ver el administrador de servicios mediante la pestaña Administradores clásicos.

Captura de pantalla de los administradores clásicos de la suscripción de Azure en Azure Portal.

Para más información, consulte el artículo sobre los Administradores clásicos de la suscripción de Azure.

Cuenta de Azure y suscripciones de Azure

Se usa una cuenta de Azure para establecer una relación de facturación. Una cuenta de Azure es una identidad de usuario, una o varias suscripciones de Azure y un conjunto asociado de recursos de Azure. La persona que crea la cuenta es el administrador de cuenta para todas las suscripciones creadas en esa cuenta. Esa persona también es el administrador de servicios predeterminado de la suscripción.

Las suscripciones de Azure le ayudan a organizar el acceso a los recursos de Azure. También le ayudan a controlar cómo se informa, factura y paga el uso de recursos. Cada suscripción puede tener una configuración de facturación y pago diferente, por lo que puede tener varias suscripciones y planes diferentes por oficina, departamento o proyecto, entre otros. La mayoría de los servicios pertenecen a una suscripción y el identificador de la suscripción puede ser necesario para las operaciones de programación.

Cada suscripción está asociada a un directorio de Microsoft Entra. Para encontrar el directorio al que está asociada la suscripción, abra Suscripciones en Azure Portal y, a continuación, seleccione una suscripción para ver el directorio.

Tanto las cuentas como las suscripciones se administran en Azure Portal.

Pasos siguientes