Asigna roles de administrador específicos

Si no quieres otorgar acceso total a un usuario en la Consola del administrador de Google, puedes permitir que realice únicamente un subconjunto de tareas administrativas. Para ello, asigna un rol de administrador. Puedes asignar más de un rol de administrador a un usuario.

También puedes asignar un rol de administrador a un grupo o una cuenta de servicio, en lugar de a un usuario. Por ejemplo, puedes usar un administrador de cuentas de servicio para crear y actualizar grupos y membresías de grupos con aplicaciones fuera de la Consola del administrador a través de la API de Cloud Identity Groups. 

Cómo funcionan los roles de administrador

En la Consola del administrador, los administradores solo pueden ver la información y realizar las tareas que tengan permitidas según los privilegios de sus roles. Por ejemplo, si le asignas el rol predefinido Administrador de administración de usuarios a alguien, solo podrá ver y modificar parámetros de configuración específicos de usuarios que no son administradores.

Cómo funcionan los límites de asignación de roles

Puedes establecer cualquier rol para que se aplique en todas tus unidades organizativas. Para estos roles, puedes realizar hasta 1,000 asignaciones en total, independientemente de la cantidad de roles. Por ejemplo, podrías asignar un rol a 300 usuarios y otro rol a 700 usuarios.

En cambio, puedes aplicar algunos roles a unidades organizativas. Para estos roles, puedes realizar hasta 1,000 asignaciones totales para cada unidad organizativa, independientemente de la cantidad de roles. Para ver si puedes aplicar un rol a las unidades organizativas, ve a la página de asignación de roles del usuario y, junto a Todas las unidades organizativas, busca Editar . Entre los ejemplos, se incluyen el rol predefinido de administrador de administración de usuarios o un rol personalizado que tenga, al menos, un privilegio de usuario. 

Si aún necesitas asignar más de 1,000 roles, puedes agregar varios miembros a un grupo y asignarle un rol al grupo. Una asignación de rol a un grupo se considera una asignación, sin importar la cantidad de miembros.

Antes de comenzar

Paso 1: Revisa los roles personalizados o prediseñados que ya se usan

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luegoRoles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Coloca el cursor sobre el rol y, luego, haz clic en Ver privilegios o Ver administradores para ver los administradores asignados al rol.

Paso 2: Decide el tipo de rol

Decide si quieres hacer lo siguiente:

Asignar roles

Debes acceder como administrador avanzado para realizar esta tarea.

Puedes asignar un rol a usuarios y grupos al mismo tiempo. Para ello, sigue cualquiera de los procedimientos para asignar un rol a varios usuarios o a un grupo.

Cómo asignar roles a un usuario

Para asignar a un usuario el rol de Lector de grupos o Editor de grupos con privilegios limitados a grupos de seguridad o que no son de seguridad, o a grupos bloqueados o desbloqueados, consulta Cómo asignar un rol a varios usuarios a la vez.

  1. En la Consola del administrador de Google, ve a Menú y luego Directorio y luegoUsuarios.

    Es necesario tener el privilegio de administración de usuarios adecuado. Sin el privilegio correcto, no verás todos los controles necesarios para completar estos pasos.

  2. Abre la página de la cuenta del usuario: Haz clic en el nombre del usuario. También puedes ingresar el nombre del usuario en el cuadro de búsqueda que se encuentra en la parte superior y abrir su página de cuenta. Para obtener más opciones, consulta Cómo buscar una cuenta de usuario
  3. Desplázate hacia abajo y haz clic en Roles y privilegios de administrador.
  4. Junto al rol prediseñado o personalizado, haz clic en Asignado  .

    Si no ves Asignado , haz clic en cualquier lugar debajo de Roles para que aparezcan los interruptores.

  5. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Listo.

    Si no ves Editar , no puedes aplicar el rol a las unidades organizativas.

  6. Haz clic en Guardar.

Sugerencias:

  • En la sección Privilegios, puedes ver todos los privilegios del usuario de todos los roles de administrador a los que se le asignó.
  • Para volver a la página de la cuenta del usuario, haz clic en la flecha hacia arriba en la esquina superior derecha .

Asigna un rol a varios usuarios a la vez

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luegoRoles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Apunta al rol que deseas asignar y, a la derecha, haz clic en Asignar administrador.

    Nota: Puedes alternar entre los administradores a los que les asignas el rol y los privilegios. En la parte superior, haz clic en Administradores o Privilegios.

  3. Haz clic en Asignar miembros.
  4. (Opcional) Para el rol de Lector de grupos o Editor de grupos, puedes otorgar privilegios de administrador solo a grupos de seguridad o que no sean de seguridad, o solo a grupos bloqueados o desbloqueados. Para limitar los privilegios, haz lo siguiente:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para otorgar privilegios de administrador solo a lo siguiente:
      • Grupos de seguridad: Selecciona La etiqueta contiene el término "Seguridad".
      • Grupos que no son de seguridad: Selecciona La etiqueta no contiene el término "Seguridad".
      • Grupos desbloqueados: Selecciona La etiqueta no contiene "Bloqueado".
    3. Haz clic en Guardar.
  5. Ingresa las primeras letras de la dirección de correo electrónico del usuario (no el nombre de usuario) y selecciona la dirección entre las opciones.

    Puedes asignar un rol para hasta 20 usuarios y grupos a la vez.

  6. Haz clic en Asignar rol.
  7. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Listo.

    Si no ves Editar , no puedes aplicar el rol a las unidades organizativas.

Asigna un rol a un grupo

Asignar roles a grupos te permite otorgar privilegios de rol a una gran cantidad de usuarios.

Los grupos con roles asignados se administran de la misma manera que cualquier otro grupo. Para obtener más información, consulta Grupos.

Limitaciones en la asignación de roles de grupo

  • Puedes asignar cualquier rol, excepto el de administrador avanzado o administrador de revendedor.
  • El grupo debe ser un grupo de seguridad de tu organización que no sea también un grupo dinámico. Para obtener más información sobre los grupos de seguridad, consulta Cómo controlar el acceso a datos sensibles con grupos de seguridad.
    Para ver si un grupo es dinámico, en la Consola del administrador, haz clic en Grupos y luegoel nombre del grupo. Ve a Miembros y, si ves Miembros dinámicos o Editar búsqueda de membresía, el grupo es dinámico.
  • Asignar un rol a un grupo cuenta como una asignación para el límite de asignación de roles.
  • Puedes realizar hasta 250 asignaciones de roles a grupos en total a nivel de la organización y dentro de cada unidad organizativa.
  • Para asignar un rol a muchos grupos y no superar el límite, elige un grupo que necesite el rol como grupo principal y agrega los demás grupos que necesiten el rol como miembros del grupo principal. Luego, asigna un rol al grupo principal. Esta asignación cuenta como una asignación de rol y permite que todos los grupos secundarios reciban el rol. Para obtener más información, consulta Cómo agregar un grupo a otro grupo.
  • Si asignas a un grupo un rol que incluye el privilegio Administrar calendarios, los miembros del grupo no obtendrán todas las funciones asociadas con ese privilegio.
  • Si le asignas a un grupo el rol de administrador de revendedor, los miembros del grupo obtendrán los privilegios del rol solo en la organización del revendedor. No obtienen privilegios sobre ninguno de los clientes del revendedor.
  • Te recomendamos que restrinjas la membresía a los usuarios de tu organización. Puedes agregar usuarios externos a tu organización o usuarios consumidores, pero es posible que no obtengan los privilegios del rol. Para obtener más información, consulta Cómo restringir la membresía del grupo.
  • Se aplican los límites estándar de membresía de grupo. Para obtener más información, consulta Membresía.

Asigna un rol

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luegoRoles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Apunta al rol que deseas asignar y, a la derecha, haz clic en Asignar administrador.

    Nota: Puedes alternar entre los administradores a los que les asignas el rol y los privilegios. En la parte superior, haz clic en Administradores o Privilegios.

  3. Haz clic en Asignar miembros.
  4. (Opcional) Para el rol de Lector de grupos o Editor de grupos, puedes otorgar privilegios de administrador solo a grupos de seguridad o que no sean de seguridad, o solo a grupos bloqueados o desbloqueados. Para limitar los privilegios, haz lo siguiente:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para otorgar privilegios de administrador solo a lo siguiente:
      • Grupos de seguridad: Selecciona La etiqueta contiene el término "Seguridad".
      • Grupos que no son de seguridad: Selecciona La etiqueta no contiene el término "Seguridad".
      • Grupos desbloqueados: Selecciona La etiqueta no contiene "Bloqueado".
    3. Haz clic en Guardar.
  5. Ingresa las primeras letras del nombre o la dirección de correo electrónico del grupo y selecciona la dirección de las opciones.

    Puedes asignar un rol a un máximo de 20 grupos y usuarios a la vez.

  6. Haz clic en Asignar rol.
  7. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Listo.

    Si no ves Editar , no puedes aplicar el rol a las unidades organizativas.

Asigna un rol a una cuenta de servicio

Puedes asignar cualquier rol predefinido o personalizado, excepto el de administrador avanzado, a una cuenta de servicio. La asignación de un rol a una cuenta de servicio se incluye en el límite de asignación de roles.

Antes de comenzar: Configura una cuenta de servicio en Google Cloud. Ve a Crea y administra cuentas de servicio.

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luegoRoles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Apunta al rol que deseas asignar y luegohaz clic en Asignar administrador.
  3. Haz clic en Asignar cuentas de servicio.
  4. (Opcional) Para el rol de Lector de grupos o Editor de grupos, puedes otorgar privilegios de administrador solo a grupos de seguridad o que no sean de seguridad, o solo a grupos bloqueados o desbloqueados. Para limitar los privilegios, haz lo siguiente:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para otorgar privilegios de administrador solo a lo siguiente:
      • Grupos de seguridad: Selecciona La etiqueta contiene el término "Seguridad".
      • Grupos que no son de seguridad: Selecciona La etiqueta no contiene el término "Seguridad".
      • Grupos desbloqueados: Selecciona La etiqueta no contiene "Bloqueado".
    3. Haz clic en Guardar.
  5. Ingresa la dirección de correo electrónico de la cuenta de servicio.

    Para encontrar la dirección de correo electrónico, abre la consola de Google Cloud y haz clic en Menú y luegoIAM y administración y luegoCuentas de servicio.

  6. Haz clic en Agregar y luegoAsignar rol. 

¿Qué sucederá después? 

En el registro de auditoría del administrador, puedes ver cuándo se aplicó un rol de administrador a una cuenta de servicio y un registro de las acciones realizadas por los administradores de cuentas de servicio. Para obtener más información, consulta Eventos de registro de administrador

Si aplicaste el rol precompilado de administrador de grupos a una cuenta de servicio, también puedes ver las acciones en el registro de auditoría de grupos de Enterprise. Es posible que el administrador de la cuenta de servicio aparezca en Descripción del evento o Usuario. Para obtener más información, consulta Eventos de registro de Enterprise de grupos.

Tema relacionado

Después de asignar un rol, la próxima vez que el usuario acceda, llegará a la página principal de la Consola del administrador.  Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Anular la asignación de roles

No puedes anular la asignación de un rol por tu cuenta.

Cómo anular la asignación del rol de un usuario

Para quitarle un rol a un usuario, sigue todos los pasos anteriores en Cómo asignar roles a un usuario. En el paso 6, en lugar de activar el rol, haz clic en Desactivar .

Cómo anular la asignación de varios roles o roles de cuentas de servicio

Anula la asignación de un rol a varios usuarios o a una cuenta de servicio en la página Roles de administrador.

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luegoRoles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Apunta al rol que deseas anular y, a la derecha, haz clic en Asignar administrador.
  3. Elige una opción:
    • Marca la casilla junto a cada usuario o cuenta de servicio que desees.
    • Para anular la asignación del rol a todos los usuarios y las cuentas de servicio, marca la casilla junto al encabezado de la columna Administrador.
  4. Haz clic en Anular la asignación del rol. y luegoHaz clic en Anular la asignación del rol para confirmar.

Próximos pasos

Los administradores pueden agregar opciones de recuperación a su cuenta.