Asignar roles de administrador específicos

Si no quieres dar a un usuario acceso completo a la consola de administración de Google, puedes darle permiso para realizar únicamente una parte de las tareas administrativas asignándole un rol de administrador. Puedes asignar más de un rol de administrador a un usuario.

También puedes asignar un rol de administrador a un grupo o a una cuenta de servicio, no a un usuario. Por ejemplo, puedes usar un administrador de cuenta de servicio para crear y actualizar grupos y pertenencias a grupos con aplicaciones que no pertenezcan a la consola de administración mediante la API Groups de Cloud Identity. 

Características de los roles de administrador

En la consola de administración, los administradores solo pueden ver información y hacer las tareas que les permitan los privilegios de sus roles. Por ejemplo, si asignas a un usuario el rol predefinido Administrador de usuarios, solo podrá ver y modificar determinados ajustes de usuarios que no sean administradores.

Cómo funcionan los límites de asignación de roles

Puedes configurar cualquier rol para aplicarlo a todas tus unidades organizativas. Para estos roles, puedes hacer un máximo de 1000 asignaciones en total, independientemente del número de roles. Por ejemplo, podrías asignar un rol a 300 usuarios y otro a 700.

También puedes asignar algunos roles a unidades organizativas. En estos casos, puedes hacer hasta 1000 asignaciones por unidad organizativa, independientemente del número de roles. Para saber si puedes asignar un rol a unidades organizativas, ve a la página de asignación de roles del usuario y, junto a Todas las unidades organizativas, busca Editar . Algunos ejemplos son el rol predefinido Administrador de usuarios o un rol personalizado que tenga al menos un privilegio de usuario. 

Si aún necesitas asignar más de 1000 roles, puedes añadir varios miembros a un grupo y asignarle un rol al grupo. Las asignaciones de roles a un grupo cuentan como una asignación, independientemente del número de miembros.

Antes de empezar

Paso 1: Revisa los roles predefinidos o personalizados que se utilicen

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Cuentay luegoRoles de administrador.
  3. Coloca el cursor sobre un rol y, a continuación, selecciona Ver privilegios o Ver administradores para ver los administradores que tienen asignado ese rol.

Paso 2: Elige el tipo de rol

Decide qué te será más útil:

Asignar roles

Abrir sección  |  Ocultar todo y volver al principio

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

Puedes asignar un rol a usuarios y grupos al mismo tiempo siguiendo un procedimiento específico para asignar un rol a varios usuarios o a un grupo.

Asignar roles a un usuario

Para asignar a un usuario el rol de lector de Grupos o el rol de editor de Grupos con privilegios limitados a grupos de seguridad o no relacionados con la seguridad, sigue los pasos que se indican en la sección Asignar un rol a varios usuarios a la vez.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Directorioy luegoUsuarios.
  3. Localiza al usuario en la lista.

    Consulta más información en el artículo Localizar cuentas de usuario.

  4. Haz clic en el nombre del usuario para abrir la página de su cuenta.
  5. Desplázate hacia abajo y haz clic en Privilegios y roles de administrador.
  6. Junto al rol predefinido o personalizado, haz clic en Activar .

    Si no aparece la opción Activar , haz clic en cualquier lugar debajo de Roles para ver los interruptores.

  7. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Hecho.

    Si no ves la opción Editar , significa que no puedes aplicar el rol a unidades organizativas.

  8. Haz clic en Guardar.

Notas:

  • En la sección Privilegios, puedes ver todos los privilegios asociados a los roles de administrador que el usuario tiene asignadas.
  • Para volver a la página de la cuenta de usuario, en la parte superior derecha, haz clic en la flecha hacia arriba .
Asignar roles a varios usuarios a la vez
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Cuentay luegoRoles de administrador.
  3. Coloca el cursor sobre el rol que quieres asignar y, en la parte derecha, haz clic en Asignar administrador.

    Consejo: Puedes cambiar al administrador de este rol y los privilegios. En la parte superior, haz clic en Administradores o en Privilegios.

  4. Haz clic en Asignar miembros.
  5. (Beta y opcional) En el caso del rol de lector de Grupos o de editor de Grupos, puedes asignar privilegios de administrador solo a grupos de seguridad o que no sean de seguridad. Para limitar los privilegios:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para dar privilegios de administrador solo a:
      • Grupos de seguridad: selecciona La etiqueta contiene "Seguridad".
      • Grupos que no son de seguridad: selecciona La etiqueta no contiene "Seguridad".
    3. Haz clic en Guardar.
  6. Introduce las primeras letras de la dirección de correo electrónico del usuario (no las de su nombre) y, entre las opciones que aparecen, selecciona la dirección del usuario.

    Puedes asignar un rol a un máximo de 20 usuarios y grupos a la vez.

  7. Haz clic en Asignar rol.
  8. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Hecho.

    Si no ves la opción Editar , significa que no puedes aplicar el rol a unidades organizativas.

Asignar un rol a un grupo

La asignación de roles a grupos te permite conceder privilegios de roles a un gran número de usuarios.

Los grupos que tienen roles asignados se gestionan de la misma manera que el resto de los grupos. Para obtener más información, consulta el artículo Grupos.

Limitaciones de las asignaciones de roles a grupos

  • Puedes asignar cualquier rol, excepto Superadministrador o Administrador distribuidor.
  • El grupo debe ser un grupo de seguridad de tu organización y no un grupo dinámico. Para obtener más información sobre los grupos de seguridad, consulta el artículo Controlar el acceso a datos sensibles con grupos de seguridad.
    Para ver si un grupo es dinámico, en la consola de administración, haz clic en Grupos y luego el nombre del grupo. Ve a Miembros. Si aparece Miembros dinámicos o Editar consulta de pertenencia, el grupo es dinámico.
  • Al asignar un rol a un grupo, se cuenta como una asignación de cara al límite de asignación de roles.
  • Puedes crear hasta 250 roles de grupo en total a nivel de organización y de unidad organizativa.
  • Para asignar un rol a muchos grupos sin superar el límite, elige un grupo al que quieras asignárselo y defínelo como grupo superior. Luego añade los otros como miembros de dicho grupo. A continuación, asigna una rol al grupo superior. De este modo, esta asignación contará como una sola y, sin embargo, todos los grupos secundarios recibirán el rol correspondiente. Para obtener más información, consulta el artículo Añadir un grupo a otro grupo.
  • En algunos casos, es posible que los miembros de un grupo no tengan todos los privilegios asignados a un rol. Por ejemplo, si asignas a un grupo un rol que incluye el privilegio Gestionar el hardware y los calendarios de Google Meet, es posible que los miembros del grupo no tengan todas las funciones asociadas a ese privilegio. Los miembros obtienen cualquier otro privilegio incluido en la función.
  • Si asignas a un grupo el rol Administrador distribuidor, los miembros del grupo reciben los privilegios del rol únicamente en la organización del distribuidor. No obtienen privilegios sobre ninguno de los clientes del distribuidor.
  • Te recomendamos que restrinjas la pertenencia al grupo a los usuarios de tu organización. Puedes añadir usuarios ajenos a tu organización o usuarios de clientes, pero es posible que no reciban los privilegios asociados a ese rol. Para obtener más información, consulta el artículo Restringir la pertenencia a un grupo.
  • Se aplican los límites estándar de pertenencia a grupos. Para obtener más información, consulta la sección Miembros.

Asigna un rol

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Cuentay luegoRoles de administrador.
  3. Coloca el cursor sobre el rol que quieres asignar y, en la parte derecha, haz clic en Asignar administrador.

    Consejo: Puedes cambiar al administrador de este rol y los privilegios. En la parte superior, haz clic en Administradores o en Privilegios.

  4. Haz clic en Asignar miembros.
  5. (Beta y opcional) En el caso del rol de lector de Grupos o de editor de Grupos, puedes asignar privilegios de administrador solo a grupos de seguridad o que no sean de seguridad. Para limitar los privilegios:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para dar privilegios de administrador solo a:
      • Grupos de seguridad: selecciona La etiqueta contiene "Seguridad".
      • Grupos que no son de seguridad: selecciona La etiqueta no contiene "Seguridad".
    3. Haz clic en Guardar.
  6. Escribe las primeras letras del nombre o la dirección de correo del grupo y selecciona la dirección entre las opciones.

    Puedes asignar un rol a un máximo de 20 grupos y usuarios a la vez.

  7. Haz clic en Asignar rol.
  8. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Hecho.

    Si no ves la opción Editar  , significa que no puedes aplicar el rol a unidades organizativas.

Asignar un rol a una cuenta de servicio

Puedes asignar a una cuenta de servicio cualquier rol predefinido o personalizado, excepto el de superadministrador. Asignar un rol a una cuenta de servicio se tiene en cuenta al calcular el límite de asignaciones.

Antes de empezar, configura una cuenta de servicio en Google Cloud. Consulta el artículo Crea y administra cuentas de servicio.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Cuentay luegoRoles de administrador.
  3. Coloca el cursor sobre el rol que quieres asignary luegohaz clic en Asignar administrador.
  4. Haz clic en Asignar cuentas de servicio.
  5. (Beta y opcional) En el caso del rol de lector de Grupos o de editor de Grupos, puedes asignar privilegios de administrador solo a grupos de seguridad o que no sean de seguridad. Para limitar los privilegios:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para dar privilegios de administrador solo a:
      • Grupos de seguridad: selecciona La etiqueta contiene "Seguridad".
      • Grupos que no son de seguridad: selecciona La etiqueta no contiene "Seguridad".
    3. Haz clic en Guardar.
  6. Escribe la dirección de correo de la cuenta de servicio.

    Para encontrar la dirección de correo electrónico, abre la consola de Google Cloud y haz clic en Menú y luegoIAM y administracióny luegoCuentas de servicio.

  7. Haz clic en Añadiry luegoAsignar rol.

¿Qué pasa después? 

En el registro de auditoría de administrador, puedes ver cuándo se ha aplicado un rol de administrador a una cuenta de servicio y consultar las tareas que han llevado a cabo los administradores de esa cuenta. Consulta información detallada en el artículo Eventos de registro de administrador

Si has aplicado a una cuenta de servicio el rol predefinido Administrador de grupos, también podrás ver las acciones en el registro de auditoría de grupos de Enterprise. Es posible que el administrador de la cuenta de servicio aparezca en Descripción del evento o Usuario. Consulta más información en el artículo Eventos de registro de Grupos de Enterprise.

Tema relacionado

Después de asignar un rol, la próxima vez que el usuario inicie sesión, se le redirigirá a la página de inicio de la consola de administración. Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Anular asignación de las funciones

Abrir sección  |  Ocultar todo y volver al principio

No puedes anular la asignación de uno de tus roles.

Anular la asignación del rol de un usuario

Para anular la asignación de un rol de un usuario, sigue los pasos descritos en la sección Asignar roles a un usuario. En el paso 6, en lugar de activar el rol, haz clic en Desactivar .

Anular la asignación de varios roles o de roles de cuentas de servicio

En la página Roles de administrador, puedes anular la asignación de un rol de varios usuarios o de una cuenta de servicio.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Cuentay luegoRoles de administrador.
  3. Coloca el cursor sobre el rol del que quieres anular la asignación y, en la parte derecha, haz clic en Asignar administrador.
  4. Elige una de estas opciones:
    • Marca la casilla situada junto a cada usuario o cuenta de servicio en los que quieras anular la asignación.
    • Para anular la asignación del rol en todos los usuarios y en todas las cuentas de servicio, marca la casilla situada junto al encabezado de la columna Administrador.
  5. Haz clic en Anular asignación del roly luegoAnular asignación del rol para confirmar la acción.

Pasos siguientes

Los administradores pueden añadir opciones de recuperación a su cuenta.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
7591582672346160842
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false