Permisos de Exchange Online
Exchange Online en Microsoft 365 y Office 365 incluye un gran conjunto de permisos predefinidos, basados en el modelo de permisos de Access Control basado en roles (RBAC), que puede usar de inmediato para conceder permisos fácilmente a los administradores y usuarios. Puede usar las características de permisos de Exchange Online para preparar y poner en marcha la nueva organización de forma rápida.
RBAC también es el modelo de permisos que se usa en Microsoft Exchange Server. La mayoría de los vínculos de este tema hacen referencia a temas que hacen referencia a Exchange Server. Los conceptos tratados en estos temas también sirven para Exchange Online.
Para obtener información sobre los permisos en Microsoft 365 o Office 365, consulte Acerca de los roles de administrador.
Nota:
Varios conceptos y características de RBAC no se incluyen en este tema porque son características avanzadas. Si las funciones tratadas en este tema no se corresponden con sus necesidades y quiere personalizar más el modelo de permisos, vea Understanding Role Based Access Control.
Permisos basados en roles
En Exchange Online, los permisos que concede a los administradores y usuarios se basan en roles de administración. Un rol de administración define el conjunto de tareas que un administrador o usuario pueden hacer. Por ejemplo, un rol de administración denominado Mail Recipients define las tareas que alguien puede realizar en un conjunto de buzones, contactos y grupos de distribución. Cuando un rol de administración se asigna a un administrador o usuario, esta persona tiene los permisos que da el rol de administración.
Los roles administrativos y los roles de usuario final son los dos tipos de roles de administración. Abajo puede leer una descripción breve de cada tipo:
Roles administrativos: estos roles contienen permisos que se pueden asignar a administradores o usuarios especializados mediante grupos de roles que administran una parte de la organización Exchange Online, como destinatarios o administración de cumplimiento.
Roles de usuario final: estos roles, que se asignan mediante directivas de asignación de roles, permiten a los usuarios administrar los aspectos de sus propios grupos de distribución y buzones de correo que poseen. Los roles de usuario final comienzan con el prefijo
My.
Los roles de administración conceden a los administradores y usuarios permisos para realizar tareas poniendo cmdlets a disposición de aquellos usuarios que tienen asignados los roles. Dado que el Centro de administración de Exchange (EAC) y Exchange Online PowerShell usan cmdlets para administrar Exchange Online, la concesión de acceso a un cmdlet proporciona al administrador o al usuario permiso para realizar la tarea en cada una de las interfaces de administración de Exchange Online.
Exchange Online incluye grupos de roles que puede usar para conceder permisos. Para más información, vea la sección siguiente.
Nota:
Puede que algunos roles de administración solo estén disponibles en instalaciones locales de Exchange Server (y no en Exchange Online).
Grupos de roles y directivas de asignación de roles
Los roles de administración conceden permisos para realizar tareas en Exchange Online, pero necesitará un método sencillo para asignar los roles a administradores y usuarios. Exchange Online ofrece las siguientes características para ayudarle a hacer las asignaciones:
Grupos de roles: los grupos de roles permiten conceder permisos a administradores y usuarios especializados.
Directivas de asignación de roles: las directivas de asignación de roles permiten conceder permisos a los usuarios finales para cambiar la configuración en sus propios grupos de distribución o buzones de correo que poseen.
En las secciones siguientes encontrará información sobre los grupos de roles y las directivas de asignación de roles.
Grupos de funciones
Cada uno de los administradores que administra Exchange Online debe tener asignado por lo menos uno o más roles. Los administradores pueden tener más de un rol porque pueden realizar funciones de trabajo que abarcan varias áreas de Exchange Online.
Para que sea más sencillo asignar varios roles a un administrador, Exchange Online incluye grupos de roles. Cuando se asigna un rol a un grupo de roles, los permisos concedidos por el rol se dan a todos los miembros del grupo de roles. De esta forma, puede asignar varios roles a varios miembros del grupo de roles a la vez. Los grupos de roles suelen abarcar áreas de administración más amplias, como la administración de destinatarios. Solo se usan con roles administrativos, es decir, no pueden usarse con roles de usuario final. Los miembros de los grupos de roles pueden ser usuarios de Exchange Online y otros grupos de roles.
Nota:
Es posible asignar un rol directamente a un usuario sin usar un grupo de roles. Sin embargo, este método de asignación de roles es un procedimiento avanzado y no se trata en este tema. Se recomienda usar grupos de roles para administrar los permisos.
En la figura siguiente se ve la relación entre usuarios, grupos de roles y roles.
Exchange Online incluye varios grupos de roles integrados, cada uno de los cuales da permisos para administrar áreas concretas de Exchange Online. Algunos grupos de roles pueden solaparse con otros grupos. En la tabla siguiente se explica el uso de cada uno de los grupos de roles.
| Grupo de funciones | Descripción | Roles predeterminados asignados |
|---|---|---|
| Administración de cumplimiento | Los miembros pueden configurar y administrar la configuración de cumplimiento en Exchange de acuerdo con sus directivas. | Registros de auditoría Administración de cumplimiento Prevención de pérdida de datos Information Rights Management Registro en diario Seguimiento de mensajes Administración de retención Reglas de transporte Registros de auditoría de solo vista Configuración con permiso de vista Destinatarios con permiso de vista |
| Discovery Management | Los miembros pueden realizar búsquedas de buzones de correo en la organización de Exchange Online para obtener datos que cumplan criterios específicos y también puedan configurar retenciones legales en buzones. | Retención legal Búsqueda en el buzón |
| valor único de< ExchangeServiceAdmins_> | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles Administración de la organización (como administrador de servicios de Exchange) y hereda los permisos proporcionados por ese grupo de roles. Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador de Exchange de identificador de Microsoft Entra en el Centro de administración de Microsoft 365. |
No aplicable |
| Servicio de asistencia | Los miembros pueden ver y administrar la configuración de destinatarios individuales y ver destinatarios en una organización de Exchange. Los miembros de este grupo de roles solo pueden administrar la configuración que cada usuario puede administrar en su propio buzón. | Restablecer contraseña Opciones de usuario Destinatarios con permiso de vista |
| <valor HelpdeskAdmins_unique> | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles View-Only Organization Management (como administrador del departamento de soporte técnico) y hereda los permisos proporcionados por ese grupo de roles. Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador del departamento de soporte técnico de Microsoft Entra en el Centro de administración de Microsoft 365. |
No aplicable |
| Administración de higiene | Los miembros pueden administrar las características contra correo no deseado de Exchange, conceder permisos para que los productos antivirus se integren con Exchange y administrar las reglas de flujo de correo. | Higiene del transporte Configuración con permiso de vista Destinatarios con permiso de vista |
| Administración de la organización | Los miembros tienen acceso administrativo a toda la organización Exchange Online y pueden realizar casi cualquier tarea en Exchange Online. De forma predeterminada, los siguientes roles de administración no se asignan a ningún grupo de roles, incluida la administración de la organización:
De forma predeterminada, el rol De búsqueda de buzones solo se asigna al grupo de roles Administración de detección Importante: Dado que el grupo de roles Administración de la organización es un rol eficaz, solo los usuarios que realizan tareas administrativas de nivel organizativo que pueden afectar a toda la Exchange Online organización deben ser miembros de este grupo de roles. |
Registros de auditoría Administración de cumplimiento Prevención de pérdida de datos Grupos de distribución dinámicos Directivas de direcciones de correo electrónico Uso compartido federado Information Rights Management Registro en diario Retención legal Carpetas públicas habilitadas para correo Creación de destinatario de correo Destinatarios de correo Sugerencias de correo Seguimiento de mensajes Migración Mover buzones Aplicaciones personalizadas de la organización Aplicaciones del catálogo de soluciones de la organización Acceso de cliente de la organización Configuración de la organización Configuración de transporte de la organización Carpetas públicas Directivas de destinatarios Dominios remotos y aceptados Restablecer contraseña Administración de retención Administración de roles Administrador de seguridad Creación y pertenencia a grupos de seguridad Lector de seguridad Buzones de equipo Higiene del transporte Reglas de transporte Buzones de mensajería unificada Mensajes de mensajería unificada Mensajería unificada Opciones de usuario Registros de auditoría de solo vista Configuración con permiso de vista Destinatarios con permiso de vista |
| Recipient Management | Los miembros tienen acceso administrativo para crear o modificar Exchange Online destinatarios dentro de la organización Exchange Online. | Grupos de distribución dinámicos Creación de destinatario de correo Destinatarios de correo Seguimiento de mensajes Migración Mover buzones Directivas de destinatarios Restablecer contraseña Buzones de equipo |
| Records Management | Los miembros pueden configurar características de cumplimiento, como etiquetas de directiva de retención, clasificaciones de mensajes y reglas de flujo de correo (también conocidas como reglas de transporte). | Registros de auditoría Registro en diario Seguimiento de mensajes Administración de retención Reglas de transporte |
| Administrador de seguridad | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador de seguridad de Microsoft Entra en el Centro de administración de Microsoft 365. |
Administrador de seguridad |
| Lector de seguridad | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Puede agregar miembros a este grupo de roles agregando usuarios al rol lector de seguridad de Microsoft Entra en el Centro de administración de Microsoft 365. |
Lector de seguridad |
| valor único de< TenantAdmins_> | La pertenencia a este grupo de roles se sincroniza entre servicios y se administra de forma centralizada. No puede administrar este grupo de roles en Exchange Online. Este grupo de roles no tiene ningún rol asignado. Sin embargo, es miembro del grupo de roles Administración de la organización (como administrador de empresa) y hereda los permisos proporcionados por ese grupo de roles. Puede agregar miembros a este grupo de roles agregando usuarios al rol de administrador global de identificador de Microsoft Entra en el Centro de administración de Microsoft 365. |
No aplicable |
| UM Management | Los miembros pueden administrar las características y la configuración de mensajería unificada (UM) de Exchange. | Buzones de mensajería unificada Mensajes de mensajería unificada Mensajería unificada |
| Administración de la organización de solo visualización | Los miembros pueden ver las propiedades de cualquier objeto de la organización Exchange Online. | Configuración con permiso de vista Destinatarios con permiso de vista |
Si trabaja en una organización pequeña que tiene pocos administradores, es posible que solo necesite agregarlos al grupo de roles Administración de la organización y que nunca tenga que usar el resto de los grupos de roles. Si trabaja en una organización mayor, es posible que tenga administradores que realicen tareas específicas que administran Exchange Online, como la configuración del destinatario. En esos casos, puede agregar un administrador al grupo de roles Administración de destinatarios y otro administrador al grupo de roles Administración de la organización. Esos administradores pueden administrar sus áreas específicas de Exchange Online, pero no tendrán permisos para administrar las áreas de las que no son responsables.
Si los grupos de roles integrados de Exchange Online no coinciden con la función de trabajo de los administradores, puede crear grupos y agregarles roles. Para obtener más información, consulte la sección Trabajar con grupos de roles más adelante en este tema.
Directivas de asignación de funciones
Exchange Online ofrece directivas de asignación de roles que permiten controlar las opciones que los usuarios pueden configurar en sus propios buzones y en los grupos de distribución que tienen. Estas opciones incluyen el nombre para mostrar, la información de contacto, la configuración del correo de voz y la pertenencia a grupos de distribución.
La organización de Exchange Online puede tener varias directivas de asignación de roles que ofrecen distintos niveles de permisos para los diversos tipos de usuarios de las organizaciones. Algunos usuarios pueden tener permiso para cambiar su dirección o crear grupos de distribución, mientras que otros no; esto depende de la directiva de asignación de roles que esté asociada a sus buzones. Las directivas de asignación de roles se agregan directamente a los buzones y cada uno de estos solamente puede asociarse con una directiva de asignación de roles a la vez.
Una de las directivas de asignación de roles de la organización se marca como predeterminada. La directiva de asignación de roles predeterminada se asocia con los nuevos buzones a los que no se asigna de forma explícita una directiva de asignación de roles en el momento de su creación. La directiva de asignación de roles predeterminada tiene que contener los permisos que deben aplicarse a la mayoría de los buzones.
Los permisos se agregan a las directivas de asignación de roles usando roles de usuario final. Los roles de usuario final comienzan con My y conceden permisos para que los usuarios administren solo sus buzones o grupos de distribución que poseen. No pueden usarse para administrar ningún otro buzón de correo. A las directivas de asignación de roles solo pueden asignarse roles de usuario final.
Cuando se asigna un rol de usuario final a una directiva de asignación de roles, todos los buzones asociados con la directiva de asignación de roles reciben los permisos concedidos por el rol. Esto permite agregar o quitar permisos a conjuntos de usuarios sin tener que configurar buzones por separado. En la figura siguiente vemos que:
Los roles de usuario final se asignan a las directivas de asignación de roles. Las directivas de asignación de roles pueden compartir los mismos roles de usuario final. Para obtener más información sobre los roles de usuario final que están disponibles en Exchange Online, consulte Directivas de asignación de roles en Exchange Online.
Las directivas de asignación de roles se asocian con buzones. Cada buzón puede asociarse con una única directiva de asignación de roles.
Después de asociar un buzón con una directiva de asignación de roles, los roles de usuario final se aplican al buzón en cuestión. Los permisos concedidos por los roles se conceden al usuario del buzón.
La directiva de asignación de roles predeterminada se incluye en Exchange Online. Como su nombre indica, es la directiva que se usa de forma predeterminada. Si quiere cambiar los permisos proporcionados por esta directiva de asignación de roles o quiere crear directivas de asignación de roles, vea Trabajar con directivas de asignación de roles más adelante en este tema.
Permisos de Microsoft 365 o Office 365 en Exchange Online
Al crear un usuario en Microsoft 365 o Office 365, puede elegir si desea asignar al usuario varios roles administrativos, como Administrador global, administrador de servicios, administrador de contraseñas, etc. Algunos roles de Microsoft 365 y Office 365, pero no todos, conceden permisos administrativos al usuario en Exchange Online.
Nota:
El usuario que se usó para crear su organización de Microsoft 365 o Office 365 se asigna automáticamente al rol Administrador global Microsoft 365 o Office 365.
En la tabla siguiente se enumeran los roles de Microsoft 365 o Office 365 y el grupo de roles Exchange Online al que corresponden.
| Rol de Microsoft 365 o Office 365 | Grupo de roles de Exchange Online |
|---|---|
| Administrador global | Administración de la organización Nota: El rol Administrador global y el grupo de roles Administración de la organización se asocian mediante un grupo de roles de administrador de empresa especial. El grupo de roles Administrador de la compañía lo administra internamente Exchange Online y no se puede modificar directamente. |
| Administrador de facturación | No hay grupo correspondiente en Exchange Online. |
| Administrador de contraseñas | Administrador del Servicio de asistencia |
| Administrador de servicios | No hay grupo correspondiente en Exchange Online. |
| Administrador de control de usuarios | No hay grupo correspondiente en Exchange Online. |
Puede consultar la descripción de los grupos de roles de Exchange Online en la tabla "Grupos de roles integrados" de Grupos de funciones.
En Microsoft 365 o Office 365, al agregar un usuario a los roles Administrador global o Administrador de contraseñas, se conceden al usuario los derechos proporcionados por el grupo de roles de Exchange Online respectivo. Otros roles de Microsoft 365 o Office 365 no tienen un grupo de roles de Exchange Online correspondiente y no concederán permisos administrativos en Exchange Online. Para obtener más información sobre cómo asignar un rol de Microsoft 365 o Office 365 a un usuario, consulte Asignación de roles de administrador.
A los usuarios se les pueden conceder derechos administrativos en Exchange Online sin agregarlos a roles de Microsoft 365 o Office 365. Esto se hace agregando al usuario como miembro de un grupo de roles de Exchange Online. Cuando se agrega a un usuario directamente a un grupo de roles de Exchange Online, el usuario recibe los permisos que concede ese grupo de roles en Exchange Online. Sin embargo, no se les concederá ningún permiso a otros componentes de Microsoft 365 o Office 365. Solo tendrá permisos administrativos en Exchange Online. Los usuarios se pueden agregar a cualquiera de los grupos de roles que aparecen en la tabla "Grupos de roles integrados" de Grupos de funciones, con la excepción de los grupos Administrador de la compañía y Administradores del Servicio de asistencia. Para información sobre cómo agregar a un usuario directamente a un grupo de roles de Exchange Online, vea Trabajar con grupos de roles.
Trabajar con grupos de roles
Para administrar los permisos con grupos de roles en Exchange Online, recomendamos que use el EAC. Al usar el EAC para administrar grupos de roles, es posible agregar y quitar roles y miembros, crear grupos de roles y copiar los grupos de roles con unos clics del mouse. El EAC proporciona cuadros de diálogo sencillos, como el cuadro de diálogo Agregar grupo de roles , que se muestra en la ilustración siguiente, para realizar estas tareas.
Exchange Online incluye varios grupos de roles que separan los permisos en áreas administrativas específicas. Si los grupos de roles existentes dan los permisos que los administradores necesitan para administrar la organización de Exchange Online, solo tendrá que agregar a los administradores como miembros de los grupos de roles pertinentes. Después de agregar a los administradores a un grupo de roles, podrán administrar las características que estén relacionadas con el grupo de roles. Para agregar o quitar miembros de un grupo de roles, abra el grupo de roles en el EAC y luego agregue o quite los miembros de la lista de pertenencia. Puede consultar los grupos de roles integrados en la tabla "Grupos de roles integrados" de Grupos de funciones.
Importante
Si un administrador es miembro de más de un grupo de roles, Exchange Online concederá al administrador todos los permisos que den los grupos de roles de los que es miembro.
Si ninguno de los grupos de roles incluidos en Exchange Online tiene los permisos que necesita, puede usar el EAC para crear un grupo de roles y agregar los roles que tengan los permisos que necesita. Para el nuevo grupo de roles, deberá:
Asignar un nombre al grupo de roles.
Seleccionar los roles que quiere agregar al grupo de roles.
Agregar miembros al grupo de roles.
Guardar el grupo de roles.
Después de crear el grupo de roles, podrá administrarlo como cualquier otro grupo.
Si existe algún grupo de roles que tiene algunos de los permisos que necesita, pero no todos, puede copiarlo y hacer cambios para crear un grupo de roles. Puede copiar un grupo de roles existente y hacer cambios en él sin que ello afecte al grupo de roles original. Al copiar el grupo de roles, puede agregar un nombre y una descripción nuevos, agregar y quitar roles del nuevo grupo de roles, y agregar miembros nuevos. Para crear o copiar un grupo de roles, se usa el mismo cuadro de diálogo que aparece en la figura anterior.
Los grupos de roles existentes también pueden modificarse. Puede agregar y quitar roles de los grupos de roles existentes, así como agregar y quitar miembros al mismo tiempo, desde un cuadro de diálogo del EAC parecido al cuadro de diálogo que se ve en la figura anterior. Al agregar y quitar roles de los grupos de roles, se activan y desactivan características administrativas para los miembros de ese grupo de roles.
Nota:
A pesar de que puede cambiar los roles que se asignan a los grupos de roles integrados, se recomienda copiar los grupos de roles integrados, modificar la copia del grupo de roles y luego agregar los miembros a la copia del grupo de roles. > Los grupos de roles Administrador de empresa y Administrador del Departamento de soporte técnico no se pueden copiar ni cambiar.
Trabajar con directivas de asignación de roles
Para administrar los permisos que concede a los usuarios finales para administrar sus propios buzones en Exchange Online, recomendamos usar el EAC. Si usa el EAC para administrar los permisos de usuario final, puede agregar roles, quitarlos y crear directivas de asignación de roles con unos pocos clics. El EAC tiene cuadros de diálogo sencillos, como el cuadro directiva de asignación de roles, que se muestra en la figura siguiente, para hacer estas tareas.
Exchange Online incluye una directiva de asignación de roles denominada Directiva de asignación de roles predeterminada. Esta directiva de asignación de roles permite a los usuarios cuyos buzones estén asociados con ella hacer lo siguiente:
- Abandonar o unirse a grupos de distribución que permiten a los miembros administrar su propia pertenencia.
- Ver y modificar configuraciones de buzón básicas en su propio buzón de correo, como reglas de la Bandeja de entrada, comportamiento de la corrección ortográfica, configuración del correo no deseado y dispositivos de Microsoft ActiveSync.
- Modificar la información de contacto, como la dirección de trabajo y los números telefónicos y del localizador.
- Crear, modificar o ver la configuración de los mensajes de texto.
- Ver o modificar la configuración del correo de voz.
- Ver y modificar sus aplicaciones del catálogo de soluciones.
- Crear buzones de equipo y conectarlos a listas de Microsoft SharePoint.
- Crear, modificar o ver configuraciones de suscripciones de correo, como el formato de los mensajes y valores predeterminados de protocolos.
Si quiere agregar o quitar permisos de la Directiva de asignación de roles predeterminada o de cualquier otra directiva de asignación de roles, puede usar el EAC. El cuadro de diálogo que debe usar es parecido al cuadro de diálogo que aparece en la figura anterior. Cuando abra la directiva de asignación de roles en el EAC, active la casilla de los roles que quiera asignarle o desactive la casilla de los roles que quiera quitar. El cambio que haga en la directiva de asignación de roles se aplica a todos los buzones asociados.
Si quiere asignar permisos de usuario final distintos a los diferentes tipos de usuario de la organización, puede crear directivas de asignación de roles. Al crear una directiva de asignación de roles, se ve un cuadro de diálogo parecido al de la figura anterior. Puede especificar un nombre nuevo para la directiva de asignación de roles y luego seleccionar los roles que quiere asignar a la directiva. Después de crear una directiva de asignación de roles, puede asociarla con buzones usando el EAC.
Si desea cambiar la directiva de asignación de roles predeterminada, debe usar Exchange Online PowerShell. Al cambiar la directiva de asignación de roles predeterminada, todos los buzones que se creen se asociarán a la nueva directiva de asignación de roles predeterminada si todavía no se había especificado ninguna de forma explícita. La directiva de asignación de roles asociada con los buzones existentes no cambia al seleccionar una nueva directiva de asignación de roles predeterminada.
Nota:
Si activa la casilla de verificación de un rol con roles secundarios, las casillas de los roles secundarios también se activarán. Si desactiva la casilla de un rol con roles secundarios, las casillas de los roles secundarios también se desactivarán.
Para ver procedimientos detallados de directivas de asignación de roles, consulte Directivas de asignación de roles en Exchange Online.
Documentación de permisos
La siguiente tabla contiene vínculos a temas con información sobre los permisos de Exchange Online y la forma de administrarlos.
| Tema | Descripción |
|---|---|
| Understanding Role Based Access Control | Infórmese sobre los componentes que constituyen el RBAC y cómo crear modelos de permisos avanzados si los grupos de roles y los roles de administración no son suficientes. |
| Administración de grupos de roles en Exchange Online | Configure los permisos para Exchange Online administradores y usuarios especializados mediante grupos de roles, incluida la adición y eliminación de miembros hacia y desde grupos de roles. |
| Directivas de asignación de roles en Exchange Online | Configure a qué características tienen acceso los usuarios finales en sus buzones mediante directivas de asignación de roles, vea, cree, modifique y quite directivas de asignación de roles, especifique la directiva de asignación de roles predeterminada y aplique directivas de asignación de roles a buzones. |
| Permisos de características de Exchange Online | Infórmese sobre los permisos necesarios para administrar los servicios y las características de Exchange Online. |