Permisos de Exchange Online

Exchange Online en Microsoft 365 y Office 365 incluye un gran conjunto de permisos predefinidos, basados en el modelo de permisos de control de acceso basado en roles (RBAC), que puede usar de inmediato para conceder permisos fácilmente a los administradores y usuarios. Puede usar las características de permisos de Exchange Online para preparar y poner en marcha la nueva organización de forma rápida.

RBAC es también el modelo de permisos que se usa en Microsoft Exchange Server. La mayoría de los vínculos de este tema se refieren a temas que hacen referencia a Exchange Server. Los conceptos tratados en estos temas también sirven para Exchange Online.

Para obtener información acerca de los permisos en Microsoft 365 o Office 365, vea Acerca de los roles de administrador

Nota

Varios conceptos y características de RBAC no se incluyen en este tema porque son características avanzadas. Si las funciones tratadas en este tema no se corresponden con sus necesidades y quiere personalizar más el modelo de permisos, vea Understanding Role Based Access Control.

Permisos basados en roles

En Exchange Online, los permisos que concede a los administradores y usuarios se basan en roles de administración. Un rol de administración define el conjunto de tareas que un administrador o usuario pueden hacer. Por ejemplo, un rol de administración denominado define las tareas que alguien puede realizar en un conjunto de Mail Recipients buzones, contactos y grupos de distribución. Cuando un rol de administración se asigna a un administrador o usuario, esta persona tiene los permisos que da el rol de administración.

Los roles administrativos y los roles de usuario final son los dos tipos de roles de administración. Abajo puede leer una descripción breve de cada tipo:

  • Roles administrativos: estos roles contienen permisos que se pueden asignar a administradores o usuarios especialistas mediante grupos de roles que administran una parte de la organización Exchange Online, como destinatarios o administración de cumplimiento.

  • Roles de usuario final: estos roles, que se asignan mediante directivas de asignación de roles, permiten a los usuarios administrar aspectos de sus propios buzones y grupos de distribución de su propiedad. Los roles de usuario final comienzan con el prefijo My .

Los roles de administración conceden a los administradores y usuarios permisos para realizar tareas poniendo cmdlets a disposición de aquellos usuarios que tienen asignados los roles. Dado que el Centro de administración de Exchange (EAC) y powerShell de Exchange Online usan cmdlets para administrar Exchange Online, la concesión de acceso a un cmdlet da al administrador o al usuario permiso para realizar la tarea en cada una de las interfaces de administración de Exchange Online.

Exchange Online incluye grupos de roles que puede usar para conceder permisos. Para más información, vea la sección siguiente.

Nota

Puede que algunos roles de administración solo estén disponibles en instalaciones locales de Exchange Server (y no en Exchange Online).

Grupos de roles y directivas de asignación de roles

Los roles de administración conceden permisos para realizar tareas en Exchange Online, pero necesitará un método sencillo para asignar los roles a administradores y usuarios. Exchange Online ofrece las siguientes características para ayudarle a hacer las asignaciones:

  • Grupos de roles: los grupos de roles permiten conceder permisos a administradores y usuarios especialistas.

  • Directivas de asignación de roles: las directivas de asignación de roles permiten conceder permisos a los usuarios finales para cambiar la configuración en su propio buzón o grupos de distribución de su propiedad.

En las secciones siguientes encontrará información sobre los grupos de roles y las directivas de asignación de roles.

Grupos de funciones

Cada uno de los administradores que administra Exchange Online debe tener asignado por lo menos uno o más roles. Los administradores pueden tener más de un rol porque pueden realizar funciones de trabajo que abarcan varias áreas de Exchange Online.

Para que sea más sencillo asignar varios roles a un administrador, Exchange Online incluye grupos de roles. Cuando se asigna un rol a un grupo de roles, los permisos concedidos por el rol se dan a todos los miembros del grupo de roles. De esta forma, puede asignar varios roles a varios miembros del grupo de roles a la vez. Los grupos de roles suelen abarcar áreas de administración más amplias, como la administración de destinatarios. Solo se usan con roles administrativos, es decir, no pueden usarse con roles de usuario final. Los miembros de los grupos de roles pueden ser usuarios de Exchange Online y otros grupos de roles.

Nota

Es posible asignar un rol directamente a un usuario sin usar un grupo de roles, pero este método de asignación de roles es un procedimiento avanzado que no se trata en este tema. Se recomienda usar grupos de roles para administrar los permisos.

En la figura siguiente se ve la relación entre usuarios, grupos de roles y roles.

Relación de roles, grupos de roles y miembros.

Exchange Online incluye varios grupos de roles integrados, cada uno de los cuales da permisos para administrar áreas concretas de Exchange Online. Algunos grupos de roles pueden solaparse con otros grupos. En la tabla siguiente se explica el uso de cada uno de los grupos de roles.



Grupo de funciones Descripción Roles predeterminados asignados
Administración de cumplimiento Los miembros pueden configurar y administrar la configuración de cumplimiento Exchange de acuerdo con sus directivas. Registros de auditoría

Administrador de cumplimiento

Prevención de pérdida de datos

Information Rights Management

Registro en diario

Seguimiento de mensajes

Administración de retención

Reglas de transporte

Registros de auditoría de solo vista

Configuración con permiso de vista

Destinatarios con permiso de vista

Discovery Management Los miembros pueden realizar búsquedas de buzones de correo en la Exchange Online de datos que cumplan criterios específicos y también pueden configurar las retenciones legales en los buzones. Retención legal

Búsqueda en el buzón

ExchangeServiceAdmins_-<unique value> La pertenencia a este grupo de roles se sincroniza en todos los servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online.

Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles Administración de la organización (como administrador de Exchange servicio) y hereda los permisos proporcionados por ese grupo de roles.

Puede agregar miembros a este grupo de roles agregando usuarios al Azure AD Exchange de administración de la Centro de administración de Microsoft 365.

N/D
Servicio de asistencia Los miembros pueden ver y administrar la configuración de destinatarios individuales y ver destinatarios en una Exchange organización. Los miembros de este grupo de roles solo pueden administrar la configuración que cada usuario puede administrar en su propio buzón. Restablecer contraseña

Opciones de usuario

Destinatarios con permiso de vista

HelpdeskAdmins_<unique value> La pertenencia a este grupo de roles se sincroniza en todos los servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online.

Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles View-Only administración de la organización (como administrador del departamento de soporte técnico) y hereda los permisos proporcionados por ese grupo de roles.

Puede agregar miembros a este grupo de roles agregando usuarios al Azure AD de administración del departamento de soporte técnico en el Centro de administración de Microsoft 365.

N/D
Administración de higiene Los miembros pueden administrar Exchange contra correo no deseado, conceder permisos para que los productos antivirus se integren con Exchange y administrar reglas de flujo de correo. Higiene del transporte

Configuración con permiso de vista

Destinatarios con permiso de vista

Administración de la organización Los miembros tienen acceso administrativo a toda Exchange Online organización y pueden realizar casi cualquier tarea en Exchange Online.

De forma predeterminada, los siguientes roles de administración no se asignan a ningún grupo de roles, incluida la administración de la organización:

  • Listas de direcciones
  • Exportación de importación de buzones

De forma predeterminada, el rol De búsqueda de buzones de correo solo se asigna al grupo de roles Administración de detección

Importante: Dado que el grupo de roles Administración de la organización es un rol eficaz, solo los usuarios que realizan tareas administrativas de nivel organizativo que pueden afectar potencialmente a toda la organización Exchange Online deben ser miembros de este grupo de roles.

Registros de auditoría

Administrador de cumplimiento

Prevención de pérdida de datos

Grupos de distribución dinámicos

Directivas de direcciones de correo electrónico

Uso compartido federado

Information Rights Management

Registro en diario

Retención legal

Carpetas públicas habilitadas para correo

Creación de destinatario de correo

Destinatarios de correo

Correo Sugerencias

Seguimiento de mensajes

Migración

Mover buzones

Aplicaciones personalizadas de la organización

Aplicaciones del catálogo de soluciones de la organización

Acceso de cliente de la organización

Configuración de la organización

Transporte de la organización Configuración

Carpetas públicas

Directivas de destinatarios

Dominios remotos y aceptados

Restablecer contraseña

Administración de retención

Administración de roles

Administrador de seguridad

Creación y pertenencia a grupos de seguridad

Lector de seguridad

Buzones de equipo

Higiene del transporte

Reglas de transporte

Buzones de mensajería unificada

Mensajes de mensajería unificada

Mensajería unificada

Opciones de usuario

Registros de auditoría de solo vista

Configuración con permiso de vista

Destinatarios con permiso de vista

Recipient Management Los miembros tienen acceso administrativo para crear o modificar Exchange Online destinatarios dentro de la Exchange Online organización. Grupos de distribución dinámicos

Creación de destinatario de correo

Destinatarios de correo

Seguimiento de mensajes

Migración

Mover buzones

Directivas de destinatarios

Restablecer contraseña

Buzones de equipo

Records Management Los miembros pueden configurar características de cumplimiento, como etiquetas de directiva de retención, clasificaciones de mensajes y reglas de flujo de correo (también conocidas como reglas de transporte). Registros de auditoría

Registro en diario

Seguimiento de mensajes

Administración de retención

Reglas de transporte

Administrador de seguridad La pertenencia a este grupo de roles se sincroniza en todos los servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online.

Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador Azure AD seguridad en el Centro de administración de Microsoft 365.

Administrador de seguridad
Lector de seguridad La pertenencia a este grupo de roles se sincroniza en todos los servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online.

Puede agregar miembros a este grupo de roles agregando usuarios al rol de lector Azure AD seguridad en el Centro de administración de Microsoft 365.

Lector de seguridad
TenantAdmins_-<unique value> La pertenencia a este grupo de roles se sincroniza en todos los servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online.

Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles Administración de la organización (como administrador de la compañía) y hereda los permisos proporcionados por ese grupo de roles.

Puede agregar miembros a este grupo de roles agregando usuarios al Azure AD de administración global de la Centro de administración de Microsoft 365.

N/D
UM Management Los miembros pueden administrar Exchange y características de mensajería unificada (MU). Buzones de mensajería unificada

Mensajes de mensajería unificada

Mensajería unificada

Administración de la organización de solo visualización Los miembros pueden ver las propiedades de cualquier objeto de la Exchange Online organización. Configuración con permiso de vista

Destinatarios con permiso de vista

Si trabaja en una organización pequeña que tiene pocos administradores, es posible que solo necesite agregarlos al grupo de roles Administración de la organización y que nunca tenga que usar el resto de los grupos de roles. Si trabaja en una organización más grande, es posible que tenga administradores que realicen tareas específicas que administren Exchange Online, como la configuración de destinatarios. En esos casos, puede agregar un administrador al grupo de roles Administración de destinatarios y otro administrador al grupo de roles Administración de la organización. A continuación, estos administradores pueden administrar sus áreas específicas de Exchange Online, pero no tendrán permisos para administrar áreas de las que no son responsables.

Si los grupos de roles integrados de Exchange Online no coinciden con la función de trabajo de los administradores, puede crear grupos y agregarles roles. Para obtener más información, vea la sección Trabajar con grupos de roles más adelante en este tema.

Directivas de asignación de funciones

Exchange Online ofrece directivas de asignación de roles que permiten controlar las opciones que los usuarios pueden configurar en sus propios buzones y en los grupos de distribución que tienen. Estas opciones incluyen el nombre para mostrar, la información de contacto, la configuración del correo de voz y la pertenencia a grupos de distribución.

La organización de Exchange Online puede tener varias directivas de asignación de roles que ofrecen distintos niveles de permisos para los diversos tipos de usuarios de las organizaciones. Algunos usuarios pueden tener permiso para cambiar su dirección o crear grupos de distribución, mientras que otros no; esto depende de la directiva de asignación de roles que esté asociada a sus buzones. Las directivas de asignación de roles se agregan directamente a los buzones y cada uno de estos solamente puede asociarse con una directiva de asignación de roles a la vez.

Una de las directivas de asignación de roles de la organización se marca como predeterminada. La directiva de asignación de roles predeterminada se asocia con los nuevos buzones a los que no se asigna de forma explícita una directiva de asignación de roles en el momento de su creación. La directiva de asignación de roles predeterminada tiene que contener los permisos que deben aplicarse a la mayoría de los buzones.

Los permisos se agregan a las directivas de asignación de roles usando roles de usuario final. Los roles de usuario final comienzan con y conceden permisos para que los usuarios administren solo sus buzones o grupos My de distribución de su propiedad. No pueden usarse para administrar ningún otro buzón de correo. A las directivas de asignación de roles solo pueden asignarse roles de usuario final.

Cuando se asigna un rol de usuario final a una directiva de asignación de roles, todos los buzones asociados con la directiva de asignación de roles reciben los permisos concedidos por el rol. Esto permite agregar o quitar permisos a conjuntos de usuarios sin tener que configurar buzones por separado. En la figura siguiente vemos que:

  • Los roles de usuario final se asignan a las directivas de asignación de roles. Las directivas de asignación de roles pueden compartir los mismos roles de usuario final. Para obtener información detallada acerca de los roles de usuario final que están disponibles en Exchange Online, vea Directivas de asignación de roles en Exchange Online.

  • Las directivas de asignación de roles se asocian con buzones. Cada buzón puede asociarse con una única directiva de asignación de roles.

  • Después de asociar un buzón con una directiva de asignación de roles, los roles de usuario final se aplican al buzón en cuestión. Los permisos concedidos por los roles se conceden al usuario del buzón.

Rol, directiva de asignación de roles, relación de buzón.

La directiva de asignación de roles predeterminada se incluye en Exchange Online. Como su nombre indica, es la directiva que se usa de forma predeterminada. Si quiere cambiar los permisos proporcionados por esta directiva de asignación de roles o quiere crear directivas de asignación de roles, vea Trabajar con directivas de asignación de roles más adelante en este tema.

Microsoft 365 o Office 365 permisos en Exchange Online

Al crear un usuario en Microsoft 365 o Office 365, puede elegir si desea asignar varios roles administrativos, como administrador global, administrador de servicio, administrador de contraseñas, entre otros, al usuario. Algunos roles, pero no todos, Microsoft 365 y Office 365 conceden al usuario permisos administrativos en Exchange Online.

Nota

El usuario que se usó para crear la organización Microsoft 365 o Office 365 se asigna automáticamente al rol Administrador global Microsoft 365 o Office 365 usuario.

En la tabla siguiente se enumeran Microsoft 365 o Office 365 roles y el Exchange Online de roles al que corresponden.



Microsoft 365 o Office 365 función Grupo de roles de Exchange Online
Administrador global Administración de la organización

Nota: El rol de administrador global y el grupo de roles Administración de la organización están unidos mediante un grupo de roles de administrador de empresa especial. El grupo de roles Administrador de la compañía lo administra internamente Exchange Online y no se puede modificar directamente.

Administrador de facturación No hay grupo correspondiente en Exchange Online.
Administrador de contraseñas Administrador del Servicio de asistencia
Administrador de servicios No hay grupo correspondiente en Exchange Online.
Administrador de control de usuarios No hay grupo correspondiente en Exchange Online.

Puede consultar la descripción de los grupos de roles de Exchange Online en la tabla "Grupos de roles integrados" de Grupos de funciones.

En Microsoft 365 o Office 365, al agregar un usuario a los roles de administrador global o de administrador de contraseñas, se conceden al usuario los derechos proporcionados por el grupo de roles Exchange Online usuario correspondiente. Otros Microsoft 365 o Office 365 no tienen un grupo de roles de Exchange Online correspondiente y no concederán permisos administrativos en Exchange Online. Para obtener más información acerca de cómo asignar un Microsoft 365 o Office 365 a un usuario, vea Asignar roles de administrador.

Los usuarios pueden obtener derechos administrativos en Exchange Online sin agregarlos a Microsoft 365 o Office 365 roles. Esto se hace agregando al usuario como miembro de un grupo de roles de Exchange Online. Cuando se agrega a un usuario directamente a un grupo de roles de Exchange Online, el usuario recibe los permisos que concede ese grupo de roles en Exchange Online. Sin embargo, no se les concederá ningún permiso a otros Microsoft 365 o Office 365 componentes. Solo tendrá permisos administrativos en Exchange Online. Los usuarios se pueden agregar a cualquiera de los grupos de roles que aparecen en la tabla "Grupos de roles integrados" de Grupos de funciones, con la excepción de los grupos Administrador de la compañía y Administradores del Servicio de asistencia. Para información sobre cómo agregar a un usuario directamente a un grupo de roles de Exchange Online, vea Trabajar con grupos de roles.

Trabajar con grupos de roles

Para administrar los permisos con grupos de roles en Exchange Online, recomendamos que use el EAC. Al usar el EAC para administrar grupos de roles, es posible agregar y quitar roles y miembros, crear grupos de roles y copiar los grupos de roles con unos clics del mouse. El EAC proporciona cuadros de diálogo sencillos, como el cuadro de diálogo Agregar grupo de roles, que se muestra en la siguiente figura, para realizar estas tareas.

Cuadro de diálogo Nuevo grupo de roles en el EAC.

Exchange Online incluye varios grupos de roles que separan los permisos en áreas administrativas específicas. Si los grupos de roles existentes dan los permisos que los administradores necesitan para administrar la organización de Exchange Online, solo tendrá que agregar a los administradores como miembros de los grupos de roles pertinentes. Después de agregar a los administradores a un grupo de roles, podrán administrar las características que estén relacionadas con el grupo de roles. Para agregar o quitar miembros de un grupo de roles, abra el grupo de roles en el EAC y luego agregue o quite los miembros de la lista de pertenencia. Puede consultar los grupos de roles integrados en la tabla "Grupos de roles integrados" de Grupos de funciones.

Importante

Si un administrador es miembro de más de un grupo de roles, Exchange Online concederá al administrador todos los permisos que den los grupos de roles de los que es miembro.

Si ninguno de los grupos de roles incluidos en Exchange Online tiene los permisos que necesita, puede usar el EAC para crear un grupo de roles y agregar los roles que tengan los permisos que necesita. Para el nuevo grupo de roles, deberá:

  1. Asignar un nombre al grupo de roles.

  2. Seleccionar los roles que quiere agregar al grupo de roles.

  3. Agregar miembros al grupo de roles.

  4. Guardar el grupo de roles.

Después de crear el grupo de roles, podrá administrarlo como cualquier otro grupo.

Si existe algún grupo de roles que tiene algunos de los permisos que necesita, pero no todos, puede copiarlo y hacer cambios para crear un grupo de roles. Puede copiar un grupo de roles existente y hacer cambios en él sin que ello afecte al grupo de roles original. Al copiar el grupo de roles, puede agregar un nombre y una descripción nuevos, agregar y quitar roles del nuevo grupo de roles, y agregar miembros nuevos. Para crear o copiar un grupo de roles, se usa el mismo cuadro de diálogo que aparece en la figura anterior.

Los grupos de roles existentes también pueden modificarse. Puede agregar y quitar roles de los grupos de roles existentes, así como agregar y quitar miembros al mismo tiempo, desde un cuadro de diálogo del EAC parecido al cuadro de diálogo que se ve en la figura anterior. Al agregar y quitar roles de los grupos de roles, se activan y desactivan características administrativas para los miembros de ese grupo de roles.

Nota

A pesar de que puede cambiar los roles que se asignan a los grupos de roles integrados, se recomienda copiar los grupos de roles integrados, modificar la copia del grupo de roles y luego agregar los miembros a la copia del grupo de roles. > Los grupos de roles Administrador de la compañía y Administrador del Servicio de asistencia no se pueden copiar ni cambiar.

Trabajar con directivas de asignación de roles

Para administrar los permisos que concede a los usuarios finales para administrar sus propios buzones en Exchange Online, recomendamos usar el EAC. Si usa el EAC para administrar los permisos de usuario final, puede agregar roles, quitarlos y crear directivas de asignación de roles con unos pocos clics. El EAC tiene cuadros de diálogo sencillos, como el cuadro directiva de asignación de roles, que se muestra en la figura siguiente, para hacer estas tareas.

Cuadro de diálogo Directiva de asignación de roles en el EAC.

Exchange Online incluye una directiva de asignación de roles denominada Directiva de asignación de roles predeterminada. Esta directiva de asignación de roles permite a los usuarios cuyos buzones estén asociados con ella hacer lo siguiente:

  • Abandonar o unirse a grupos de distribución que permiten a los miembros administrar su propia pertenencia.
  • Ver y modificar configuraciones de buzón básicas en su propio buzón de correo, como reglas de la Bandeja de entrada, comportamiento de la corrección ortográfica, configuración del correo no deseado y dispositivos de Microsoft ActiveSync.
  • Modificar la información de contacto, como la dirección de trabajo y los números telefónicos y del localizador.
  • Crear, modificar o ver la configuración de los mensajes de texto.
  • Ver o modificar la configuración del correo de voz.
  • Ver y modificar sus aplicaciones del catálogo de soluciones.
  • Crear buzones de equipo y conectarlos a listas de Microsoft SharePoint.
  • Crear, modificar o ver configuraciones de suscripciones de correo, como el formato de los mensajes y valores predeterminados de protocolos.

Si quiere agregar o quitar permisos de la Directiva de asignación de roles predeterminada o de cualquier otra directiva de asignación de roles, puede usar el EAC. El cuadro de diálogo que debe usar es parecido al cuadro de diálogo que aparece en la figura anterior. Cuando abra la directiva de asignación de roles en el EAC, active la casilla de los roles que quiera asignarle o desactive la casilla de los roles que quiera quitar. El cambio que haga en la directiva de asignación de roles se aplica a todos los buzones asociados.

Si quiere asignar permisos de usuario final distintos a los diferentes tipos de usuario de la organización, puede crear directivas de asignación de roles. Al crear una directiva de asignación de roles, se ve un cuadro de diálogo parecido al de la figura anterior. Puede especificar un nombre nuevo para la directiva de asignación de roles y luego seleccionar los roles que quiere asignar a la directiva. Después de crear una directiva de asignación de roles, puede asociarla con buzones usando el EAC.

Si desea cambiar la directiva de asignación de roles predeterminada, debe usar Exchange Online PowerShell. Al cambiar la directiva de asignación de roles predeterminada, todos los buzones que se creen se asociarán a la nueva directiva de asignación de roles predeterminada si todavía no se había especificado ninguna de forma explícita. La directiva de asignación de roles asociada con los buzones existentes no cambia al seleccionar una nueva directiva de asignación de roles predeterminada.

Nota

Si activa la casilla de verificación de un rol con roles secundarios, las casillas de los roles secundarios también se activarán. Si desactiva la casilla de un rol con roles secundarios, las casillas de los roles secundarios también se desactivarán.

Para obtener procedimientos detallados de directiva de asignación de roles, vea Directivas de asignación de roles en Exchange Online.

Documentación de permisos

La siguiente tabla contiene vínculos a temas con información sobre los permisos de Exchange Online y la forma de administrarlos.



Tema Descripción
Understanding Role Based Access Control Infórmese sobre los componentes que constituyen el RBAC y cómo crear modelos de permisos avanzados si los grupos de roles y los roles de administración no son suficientes.
Administrar grupos de roles en Exchange Online Configure los permisos para Exchange Online administradores y usuarios especialistas que usan grupos de roles, incluida la adición y eliminación de miembros de grupos de roles.
Directivas de asignación de roles en Exchange Online Configure las características a las que los usuarios finales tienen acceso en sus buzones mediante directivas de asignación de roles, vea, cree, modifique y quite directivas de asignación de roles, especifique la directiva de asignación de roles predeterminada y aplique directivas de asignación de roles a los buzones.
Permisos de características de Exchange Online Infórmese sobre los permisos necesarios para administrar los servicios y las características de Exchange Online.