Roles de administrador predefinidos

La manera más fácil de conceder privilegios de administrador a otro usuario es asignar roles de administrador predefinidos. Cada rol concede uno o más privilegios que, en conjunto, te permiten realizar una función empresarial habitual. Por ejemplo, un rol administra las cuentas de usuario, otro los grupos, otro los calendarios y recursos, y así. Asigna varios roles para otorgar todos los privilegios que incluyen.

También puedes crear un rol de administrador personalizado para asignar privilegios específicos a usuarios individuales.

Asignar roles ahora Crear un rol personalizado

Esto es lo que puede hacer cada rol:

Administrador avanzado

Tiene acceso a todas las funciones de la Consola del administrador de Google y la API de Admin, y puede administrar todos los aspectos de la cuenta de tu organización.

Los administradores avanzados también tienen acceso completo a los calendarios y detalles de los eventos de todos los usuarios. Después de asignar el rol de administrador avanzado a un usuario, los privilegios del calendario pueden tardar hasta 24 horas en estar disponibles.

Solo los administradores avanzados pueden hacer lo siguiente:

  • Crear y asignar roles de administrador
  • Administrar a otros administradores, incluido el cambio de contraseñas
  • Transferir la propiedad de los archivos durante el proceso de eliminación de usuarios
  • Aceptar las Condiciones del Servicio de un producto
  • Invitar a cuentas de usuario no administradas a convertirse en cuentas de usuario administradas de Google Workspace
  • Restablecer usuarios borrados
  • Activar o desactivar la configuración de aprobación de varias partes
  • Permitir que los usuarios activen la verificación en 2 pasos
  • Instalar apps de Google Workspace Marketplace
  • Administrar los controles de nivel de acceso a los recursos del Calendario de Google
  • Usar el servicio de migración de datos
  • Otorgar delegación de todo el dominio y administrar el acceso de clientes de la API
  • Configurar Google como proveedor de identidad SAML y agregar o modificar apps de SAML

Al menos un usuario de tu cuenta debe ser administrador avanzado, pero te recomendamos que haya al menos dos. De esa manera, si uno de ustedes olvida su contraseña, el otro puede restablecerla. También puedes permitir que los administradores avanzados restablezcan sus propias contraseñas. Para obtener más información, consulta Cómo recuperar el acceso de administrador a tu cuenta.

Uno de tus administradores avanzados recibe avisos de facturación y otras notificaciones importantes sobre la cuenta de parte de Google. Este administrador se conoce como tu administrador principal. Más información

Administrador de grupos

Tiene control total sobre las tareas de Grupos de Google en la Consola del administrador. Este administrador puede realizar las siguientes tareas desde la Consola del administrador y con la API de Admin:

  • Ver los perfiles de usuario y la estructura de tu organización
  • Crear grupos nuevos en la Consola del administrador
  • Administrar los miembros de los grupos creados en la Consola del administrador
  • Administrar la configuración de acceso a los grupos
  • Borrar grupos con la Consola del administrador
  • Ver unidades organizativas

El administrador de grupos también tiene el privilegio de agregar una etiqueta de seguridad a un grupo. El administrador puede realizar esta tarea en la Consola del administrador o con la API de Admin.

Puedes otorgar privilegios administrativos a los usuarios con los siguientes 2 roles de administrador. Los usuarios con estos roles pueden trabajar en la Consola del administrador y usar la API de Admin:

  • Lector de grupos: Puede leer la información de Grupos, pero no puede cambiarla ni actualizarla.
  • Editor de grupos: Tiene los permisos de un administrador de Grupos, excepto el privilegio necesario para agregar o quitar una etiqueta de seguridad en un recurso de grupos.

Si tu organización tiene grupos de seguridad, puedes otorgar a los usuarios que tienen el rol de Lector de grupos o Editor de grupos los privilegios para todos tus grupos, solo para los grupos de seguridad o solo para los grupos que no son de seguridad.

Del mismo modo, puedes otorgar privilegios de grupos bloqueados a los usuarios con el rol de Editor de grupos. Estos privilegios se pueden aplicar a todos tus grupos, solo a los grupos bloqueados o solo a los grupos no bloqueados. Para obtener más información, consulta Cómo bloquear grupos para mantener los datos sincronizados.

Administrador de administración de usuarios

Puede realizar todas las acciones en los usuarios que no son administradores. Este administrador puede realizar las siguientes tareas desde la Consola del administrador y con la API de Admin:

  • Ver los perfiles de usuario y la estructura de tu organización
  • Ver unidades organizativas
  • Crear y borrar cuentas de usuario *
  • Cambiar el nombre de los usuarios y cambiar las contraseñas *
  • Administrar la configuración de seguridad individual de un usuario *
  • Realizar estas otras tareas de administración de usuarios *

* Se aplica solo a los usuarios que no son administradores. Un administrador de administración de usuarios no puede asignar privilegios de administrador, restablecer la contraseña de un administrador ni realizar otros cambios en una cuenta de administrador. Solo un administrador avanzado puede realizar esas tareas.

Cuando asignas un usuario al rol de administrador de administración de usuarios, puedes limitar sus privilegios a unidades organizativas específicas.

Administrador del departamento de ayuda

Este administrador puede hacer lo siguiente:

  • Restablecer las contraseñas de los usuarios que no son administradores, tanto en la Consola del administrador como con la API de Admin.
  • Ver los perfiles de usuario y la estructura de tu organización
  • Ver unidades organizativas

Cuando asignas el rol de administrador del departamento de ayuda a un usuario, puedes limitar sus privilegios a unidades organizativas específicas.

Administrador de servicios

Puede administrar ciertos dispositivos y parámetros de configuración del servicio en la Consola del administrador, como Calendario, Drive y Documentos. Este administrador puede hacer lo siguiente:

  • Activar o desactivar servicios *
  • Cambiar la configuración y los permisos del servicio *
  • Crear, editar y borrar recursos del Calendario
  • Administrar dispositivos Chrome y móviles que aparecen en la Consola del administrador
  • Administrar la configuración de Google Takeout
  • Administrar la configuración de Google AppSheet, incluidas las políticas de control y la administración de equipos Para obtener más información, consulta Cómo asignar privilegios de administrador de AppSheet a administradores de Workspace.
  • Administrar etiquetas de clasificación y reglas de clasificación predeterminadas
  • Ver unidades organizativas
  • Usar el Centro de alertas (acceso completo)

* Se aplica solo a las apps de Google Workspace Marketplace, los servicios de Google, como Blogger, y ciertos productos agregados a tu cuenta (servicios de Google Workspace, Google Voice, etcétera). El rol de administrador de servicios no puede administrar algunos productos y servicios, como Google Vault y Google Cloud Print.

Administrador de aprobación de varias partes

Puede administrar las solicitudes de aprobación de varias partes para que otros administradores completen acciones sensibles, como activar o desactivar la verificación en 2 pasos (2SV). Este administrador puede hacer lo siguiente:

  • Revisar solicitudes para realizar acciones sensibles
  • Aprobar o rechazar solicitudes

Este rol está disponible para los clientes con una edición de Google Workspace que admite la aprobación de varias partes.

Administrador de dispositivos móviles

Puede administrar dispositivos móviles y extremos usando la administración de extremos de Google. Este administrador puede hacer lo siguiente:

  • Aprovisionar y aprobar dispositivos
  • Administrar apps
  • Bloquear o limpiar dispositivos y cuentas
  • Establecer políticas de dispositivo
  • Ver grupos y usuarios en el dominio

Este rol solo está disponible para los clientes que se registraron en Google Workspace después de febrero de 2018. Si te uniste antes de esta fecha, puedes crear un rol personalizado con el mismo acceso. Para obtener más información, consulta Cómo crear, editar y borrar roles de administrador personalizados.

Administrador de almacenamiento

Puede usar la configuración de almacenamiento en la Consola del administrador. Este administrador puede hacer lo siguiente:

  • Ver el uso de almacenamiento de su organización
  • Ver los usuarios y las unidades compartidas que usan más almacenamiento
  • Definir límites de almacenamiento
  • Abrir el informe de cuentas, el directorio de usuarios y la lista de unidades compartidas

Este rol también otorga acceso completo a los informes y a la configuración de Drive.

Administrador de Google Voice

Puede administrar toda la configuración y el aprovisionamiento de Google Voice. Este administrador puede hacer lo siguiente:

  • Agregar ubicaciones
  • Asignar números a usuarios
  • Portar números
  • Cambiar las direcciones del servicio
  • Configurar teléfonos fijos
  • Configurar un asistente automático
  • Administrar licencias de usuario

Administrador de Directory Sync

Puede administrar el proceso de sincronización con Directory Sync. Este administrador puede hacer lo siguiente:

  • Configurar y ejecutar una sincronización con Directory Sync
  • Actualizar la configuración de sincronización

Administrador de distribuidores y administrador de distribuidores indirectos

Puedes asignar el rol de administrador de distribuidores a un distribuidor autorizado de Google Workspace. Los administradores de distribuidores pueden acceder a todas las funciones y permisos incluidos en el privilegio Administrar herramientas para distribuidores, incluidos los siguientes:

  • Realizar pedidos de Google Workspace y otros servicios que usan la Consola del administrador
  • Agregar, ver, editar y transferir clientes revendidos
  • Acceder a la configuración de la Consola de Ventas para socios para ver y editar la información de asistencia
  • Ver facturas y cambiar formas de pago
  • Acceder a la Consola del administrador, al SDK de Admin de Google Workspace y a los casos de asistencia de un cliente, y administrarlos (también requiere el privilegio Ver clientes)
  • Administrar los Grupos de Google de los clientes revendidos con la IU web de Grupos.

Puedes asignar el rol de administrador de distribuidores indirectos a un distribuidor que trabaje con un distribuidor autorizado de Google Workspace. Los administradores de distribuidores indirectos pueden agregar, ver, editar y transferir clientes revendidos.

Para obtener detalles sobre la asignación de roles, consulta Cómo asignar privilegios de administrador de distribuidores de Google Workspace.