Acerca de los roles de administradorAbout admin roles

Su suscripción a Microsoft 365 u Office 365 incluye un conjunto de roles de administrador que puede asignar a los usuarios de su organización usando el Centro de administración de Microsoft 365.Your Microsoft 365 or Office 365 subscription comes with a set of admin roles that you can assign to users in your organization using the Microsoft 365 admin center. Cada rol de administrador se asigna a una función empresarial común y da permisos a los usuarios de su organización para realizar tareas específicas en los centros de administración.Each admin role maps to common business functions and gives people in your organization permissions to do specific tasks in the admin centers.

El Centro de administración de Microsoft 365 le permite administrar roles de Azure AD y de Microsoft Intune.The Microsoft 365 admin center lets you manage Azure AD roles and Microsoft Intune roles. Sin embargo, estos roles son un subconjunto de los roles disponibles en el portal de Azure AD y en el centro de administración de Intune.However, these roles are a subset of the roles available in the Azure AD portal and the Intune admin center.

Antes de empezarBefore you begin

¿Busca una lista completa de descripciones detalladas de los roles para Azure AD que puede administrar en el Centro de administración de Microsoft 365?Looking for the full list of detailed Azure AD role descriptions you can manage in the Microsoft 365 admin center? Consulte Permisos de roles de administrador en Azure Active Directory.Check out Administrator role permissions in Azure Active Directory. Permisos de roles de administrador en Azure Active Directory.Administrator role permissions in Azure Active Directory.

¿Busca una lista completa de descripciones detalladas de los roles para Intune que puede administrar en el Centro de administración de Microsoft 365?Looking for the full list of detailed Intune role descriptions you can manage in the Microsoft 365 admin center? Consulte Control de acceso basado en roles (RBAC) con Microsoft Intune.Check out Role-based access control (RBAC) with Microsoft Intune.

Para más información acerca de la asignación de roles en el Centro de administración de Microsoft 365, consulte Asignar roles de administrador.For more information on assigning roles in the Microsoft 365 admin center, see Assign admin roles.

Ver: ¿Qué es un administrador?Watch: What is an admin?

Directrices de seguridad para asignar rolesSecurity guidelines for assigning roles

Debido a que los administradores tienen acceso a archivos y datos confidenciales, le recomendamos que siga estas instrucciones para mantener los datos de su organización más seguros.Because admins have access to sensitive data and files, we recommend that you follow these guidelines to keep your organization's data more secure.

RecomendaciónRecommendation ¿Por qué esto es importante?Why is this important?
Tener entre 2 y 4 administradores globalesHave 2 to 4 global admins Como solo otro administrador global puede restablecer la contraseña de un administrador global, le recomendamos que tenga al menos 2 administradores globales en la organización en caso de que ocurra un bloqueo de la cuenta.Because only another global admin can reset a global admin's password, we recommend that you have at least 2 global admins in your organization in case of account lockout. Sin embargo, el administrador global tiene casi un acceso ilimitado a la configuración de su organización y a la mayoría de los datos, por lo que también recomendamos que no tenga más de 4 administradores globales, porque esto representaría una amenaza de seguridad.But the global admin has almost unlimited access to your org's settings and most of the data, so we also recommend that you don't have more than 4 global admins because that's a security threat.
Asignar el rol menos permisivoAssign the least permissive role Asignar el rol menos permisivo significa conceder a los administradores solo el acceso que necesitan para realizar el trabajo.Assigning the least permissive role means giving admins only the access they need to get the job done. Por ejemplo, si desea que alguien restablezca las contraseñas de los empleados, no debe asignar el rol de administrador global ilimitado, sino asignar un rol de administrador limitado, como el de Administrador de contraseñas o Administrador del departamento de soporte técnico. Esto le ayudará a mantener sus datos seguros.For example, if you want someone to reset employee passwords you shouldn't assign the unlimited global admin role, you should assign a limited admin role, like Password admin or Helpdesk admin. This will help keep your data secure.
Requerir la autenticación multifactor para administradoresRequire multi-factor authentication for admins En realidad es una buena idea requerir MFA para todos los usuarios, pero definitivamente se debe exigir a los administradores usar la MFA para iniciar sesión.It's actually a good idea to require MFA for all of your users, but admins should definitely be required to use MFA to sign in. La MFA permite que los usuarios introduzcan un segundo método de identificación para comprobar que son quienes dicen ser.MFA makes users enter a second method of identification to verify they are who they say they are. Los administradores pueden tener acceso a una gran cantidad de datos de clientes y empleados y, si se requiere la MFA, incluso si la contraseña del administrador se ve comprometida, esta será inútil sin la segunda forma de identificación.Admins can have access to a lot of customer and employee data and if you require MFA, even if the admin's password gets compromised, the password is useless without the second form of identification.

Al activar la MFA, la próxima vez que el usuario inicie sesión, deberá proporcionar una dirección de correo electrónico y un número de teléfono alternativos para recuperar la cuenta.When you turn on MFA, the next time the user signs in, they'll need to provide an alternate email address and phone number for account recovery.
Configurar la autenticación multifactorSet up multi-factor authentication

Si recibe un mensaje en el centro de administración que le indica que no tiene permisos para editar una configuración o una página, es porque se le ha asignado un rol que no tiene ese permiso.If you get a message in the admin center telling you that you don't have permissions to edit a setting or page, it's because you are assigned a role that doesn't have that permission.

Roles más frecuentes del Centro de administración de Microsoft 365Commonly used Microsoft 365 admin center roles

En el Centro de administración de Microsoft 365, puede ir a Roles y seleccionar cualquier rol para abrir su respectivo panel de detalles.In the Microsoft 365 admin center, you can go to Roles, and then select any role to open its detail pane. Seleccione la pestaña Permisos para ver la lista detallada de lo que tienen permiso para hacer los administradores con ese rol asignado.Select the Permissions tab to view the detailed list of what admins assigned that role have permissions to do. Seleccione la pestaña Asignado o Administradores asignados para agregar usuarios a los roles.Select the Assigned or Assigned admins tab to add users to roles.

Probablemente solo necesitará asignar los siguientes roles en su organización.You'll probably only need to assign the following roles in your organization. De forma predeterminada, primero mostramos los roles que usan la mayoría de las organizaciones.By default, we first show roles that most organizations use. Si no encuentra un rol, vaya a la parte inferior de la lista y seleccione Mostrar todos por categoría.If you can't find a role, go to the bottom of the list and select Show all by Category. (Para obtener información detallada, incluidos los cmdlets asociados a un rol, consulte Permisos de roles de administrador en Azure Active Directory).(For detailed information, including the cmdlets associated with a role, see Administrator role permissions in Azure Active Directory.)

Rol de administradorAdmin role ¿A quién se le debe asignar este rol?Who should be assigned this role?
Administrador de ExchangeExchange admin Asigne el rol de administrador de Exchange a los usuarios que necesiten ver y administrar los buzones de correo de sus usuarios, los grupos de Microsoft 365 y Exchange Online.Assign the Exchange admin role to users who need to view and manage your user's email mailboxes, Microsoft 365 groups, and Exchange Online.

Los administradores de Exchange también pueden:Exchange admins can also:
- Recuperar elementos eliminados en un buzón de usuario- Recover deleted items in a user's mailbox
- Configurar los delegados "Enviar como" y "Enviar en nombre de"- Set up "Send As" and "Send on behalf" delegates
Administrador globalGlobal admin Asigne el rol de administrador global a los usuarios que necesiten acceso global a la mayoría de las características de administración y datos en los servicios en línea de Microsoft.Assign the Global admin role to users who need global access to most management features and data across Microsoft online services.

Otorgar acceso global a un gran número de usuarios es un riesgo para la seguridad y le recomendamos que solo tenga entre 2 y 4 administradores globales.Giving too many users global access is a security risk and we recommend that you have between 2 and 4 Global admins.

Solo los administradores globales pueden:Only global admins can:
- Restablecer las contraseñas de todos los usuarios- Reset passwords for all users
- Agregar y administrar dominios- Add and manage domains

Nota: la persona que se registró en los servicios en línea de Microsoft se convierte automáticamente en administrador global.Note: The person who signed up for Microsoft online services automatically becomes a Global admin.
Lector globalGlobal reader Asigne el rol de lector global a los usuarios que necesiten ver la configuración y las funciones de administración en los centros de administración que el administrador global puede ver.Assign the global reader role to users who need to view admin features and settings in admin centers that the global admin can view. El administrador del lector global no puede editar ninguna configuración.The global reader admin can't edit any settings.
Administrador de gruposGroups admin Asigne el rol de administrador de grupos a los usuarios que necesiten administrar la configuración de todos los grupos en los centros de administración, incluido el Centro de administración de Microsoft 365 y el portal de Azure Active Directory.Assign the groups admin role to users who need to manage all groups settings across admin centers, including the Microsoft 365 admin center and Azure Active Directory portal.

Los administradores de grupos pueden:Groups admins can:
- Crear, editar, eliminar y restaurar los grupos de Microsoft 365- Create, edit, delete, and restore Microsoft 365 groups
- Crear y actualizar las directivas de creación, expiración y nomenclatura de grupos- Create and update group creation, expiration, and naming policies
- Crear, editar, eliminar y restaurar grupos de seguridad de Azure Active Directory- Create, edit, delete, and restore Azure Active Directory security groups
Administrador del departamento de soporte técnicoHelpdesk admin Asigne el rol de administrador del departamento de soporte técnico a los usuarios que necesiten que hacer lo siguiente:Assign the Helpdesk admin role to users who need to do the following:
- Restablecer contraseñas- Reset passwords
- Forzar a los usuarios a cerrar sesión- Force users to sign out
- Administrar solicitudes de servicio- Manage service requests
- Supervisar el estado del servicio- Monitor service health

Nota: el administrador del departamento de soporte técnico solo puede ayudar a usuarios que no son administradores y a usuarios que tienen asignados estos roles: Lector de directorios, Invitador de usuarios invitados, Administrador del departamento de soporte técnico, Lector del centro de mensajes y Lector de informes.Note: The Helpdesk admin can only help non-admin users and users assigned these roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, and Reports reader.
Administrador de aplicaciones de OfficeOffice Apps admin Asigne el rol de administrador de aplicaciones de Office a los usuarios que necesiten hacer lo siguiente:Assign the Office Apps admin role to users who need to do the following:
- Usar el servicio de directivas en la nube de Office para crear y administrar directivas basadas en la nube para Office- Use the Office cloud policy service to create and manage cloud-based policies for Office
- Crear y administrar solicitudes de servicio- Create and manage service requests
- Administrar el contenido de Novedades que los usuarios ven en sus aplicaciones de Office- Manage the What's New content that users see in their Office apps
- Supervisar el estado del servicio- Monitor service health
Administrador de soporte técnico del servicioService Support admin Asigne el rol de Administrador de soporte de servicio como un rol adicional para administradores o usuarios que necesiten hacer lo siguiente, pero cuyos roles asignados no lo incluyen:Assign the Service Support admin role as an additional role to admins or users whose role doesn't include the following, but still need to do the following:
- Abrir y administrar solicitudes de servicio- Open and manage service requests
- Ver y compartir publicaciones del centro de mensajes- View and share message center posts
Administrador de SharePointSharePoint admin Asigne el rol de administrador de SharePoint a los usuarios que necesiten acceder y administrar el centro de administración de SharePoint Online.Assign the SharePoint admin role to users who need to access and manage the SharePoint Online admin center.

Los administradores de SharePoint también pueden:SharePoint admins can also:
- Crear y eliminar sitios- Create and delete sites
- Administrar colecciones de sitios y la configuración global de SharePoint- Manage site collections and global SharePoint settings
Administrador de servicios de TeamsTeams service admin Asigne el rol de administrador de servicios de Teams a los usuarios que necesiten acceder y administrar el centro de administración de Teams.Assign the Teams service admin role to users who need to access and manage the Teams admin center.

Los administradores de servicio de Teams también pueden:Teams service admins can also:
- Administrar reuniones- Manage meetings
- Administrar puentes de conferencia- Manage conference bridges
- Administrar la configuración de toda la organización, incluida la federación, la actualización de equipos y la configuración de cliente de equipos- Manage all org-wide settings, including federation, teams upgrade, and teams client settings
Administrador de usuariosUser admin Asigne el rol de administrador de usuarios a los usuarios que necesiten hacer lo siguiente para todos los usuarios:Assign the User admin role to users who need to do the following for all users:
- Agregar usuarios y grupos- Add users and groups
- Asignar licencias- Assign licenses
- Administrar las propiedades de la mayoría de los usuarios- Manage most users properties
- Crear y administrar vistas de usuarios- Create and manage user views
- Actualizar las directivas de expiración de contraseña- Update password expiration policies
- Administrar solicitudes de servicio- Manage service requests
- Supervisar el estado del servicio- Monitor service health

El administrador de usuario también puede realizar las siguientes acciones para los usuarios que no sean administradores y para los usuarios que tengan asignados los siguientes roles: Lector de directorios, Invitador de usuarios invitados, Administrador del departamento de soporte técnico, Lector del centro de mensajes y Lector de informes:The user admin can also do the following actions for users who aren't admins and for users assigned the following roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, Reports reader:
- Administrar nombres de usuario- Manage usernames
- Eliminar y restaurar usuarios- Delete and restore users
- Restablecer contraseñas- Reset passwords
- Forzar a los usuarios a cerrar sesión- Force users to sign out
- Actualizar claves de dispositivo (FIDO)- Update (FIDO) device keys

Administración delegada para Microsoft PartnersDelegated administration for Microsoft Partners

Si está trabajando con un partner de Microsoft, puede asignarle roles de administrador.If you're working with a Microsoft partner, you can assign them admin roles. Por su parte, los partners pueden asignar roles de administrador a los usuarios en sus propias empresas o bien en la suya.They, in turn, can assign users in your company, or their company, admin roles. Es posible que quiera que lo hagan si, por ejemplo, están configurando y administrando la organización online por usted.You might want them to do this, for example, if they are setting up and managing your online organization for you.

Un partner puede asignar estos roles: A partner can assign these roles:

  • Administración completa Tiene privilegios equivalentes a los de un administrador global, con la excepción de administrar la autenticación multifactor mediante el Centro de Partners.Full administration Privileges equivalent to a global admin, with the exception of managing multi-factor authentication through the Partner Center.

  • Administración limitada Tiene privilegios equivalentes a los de un administrador del departamento de soporte técnico.Limited administration Privileges equivalent to a helpdesk admin.

Antes de que el partner pueda asignar estos roles a los usuarios, usted debe agregarlo como un administrador delegado a su cuenta.Before the partner can assign these roles to users, you must add the partner as a delegated admin to your account. Este proceso puede iniciarlo un partner autorizado.This process is initiated by an authorized partner. El partner le envía un correo electrónico para preguntarle si quiere concederle permiso para actuar como administrador delegado. Para obtener instrucciones, consulte Autorizar o quitar relaciones de partner.The partner sends you an email to ask you if you want to give them permission to act as a delegated admin. For instructions, see Authorize or remove partner relationships.

Asignar roles de administradorAssign admin roles

Roles de Azure AD en el Centro de administración de Microsoft 365Azure AD roles in the Microsoft 365 admin center

Rol de administrador de Exchange OnlineExchange Online admin role

Informes de actividad en el Centro de administración de Microsoft 365Activity reports in the Microsoft 365 admin center