¿Cuáles son los permisos de usuario predeterminados en Microsoft Entra ID?

2025-04-30

En Microsoft Entra ID, a todos los usuarios se les concede un conjunto de permisos predeterminados. El acceso de un usuario consta del tipo de usuario, sus asignaciones de roles y su propiedad de objetos individuales.

En este artículo se describen dichos permisos predeterminados y se ofrece una comparación de los valores predeterminados de los usuarios miembros e invitados. Los permisos de usuario predeterminados solo se pueden cambiar en la configuración del usuario en Microsoft Entra ID.

Usuarios miembros e invitados

El conjunto de permisos predeterminados depende de si el usuario es miembro nativo del inquilino (usuario miembro) o si el usuario se incorpora desde otro directorio como un invitado de la colaboración B2B (usuario invitado). Para obtener más información sobre cómo agregar usuarios invitados, consulte ¿Qué es la colaboración B2B de Microsoft Entra?. Estas son las funcionalidades de los permisos predeterminados:

Los usuarios miembros pueden registrar aplicaciones, administrar su propia foto de perfil y número de teléfono móvil, cambiar su propia contraseña e invitar a invitados B2B. Estos usuarios también pueden leer toda la información del directorio (con algunas excepciones).
Los usuarios invitados tienen permisos de directorio restringidos. Pueden administrar su propio perfil, cambiar su propia contraseña y recuperar algo de información sobre otros usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del directorio.

Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios, los grupos y otros objetos de directorio. Los invitados se pueden agregar a los roles de administrador, que les conceden permisos completos de lectura y escritura. Los invitados también pueden invitar a otros usuarios.

Comparación de los permisos predeterminados de miembros e invitados

Área	Permisos de usuario miembro	Permisos de usuario invitado predeterminados	Permisos de usuario invitado restringidos
Usuarios y contactos	Enumerar la lista de todos los usuarios y contactos Leer todas las propiedades públicas de usuarios y contactos Invitar a los invitados Cambiar su contraseña Administrar su número de teléfono móvil Administrar su foto Invalidar sus tokens de actualización	Leer sus propiedades Leer el nombre para mostrar, el correo electrónico, el nombre de inicio de sesión, la fotografía, el nombre principal de usuario y las propiedades de tipo de usuario de otros usuarios y contactos Cambiar su contraseña Buscar otro usuario por id. de objeto (si se permite) Leer información de administrador y subordinado directo de otros usuarios	Leer sus propiedades Cambiar su contraseña Administrar su número de teléfono móvil
Grupos	Crear grupos de seguridad Crear grupos de Microsoft 365 Enumerar la lista de todos los grupos Leer todas las propiedades de los grupos Leer las pertenencias a grupos no ocultos Leer las pertenencias a grupos de Microsoft 365 ocultos para los grupos a los que se ha unido Administrar las propiedades, la propiedad y la pertenencia de los grupos propiedad del usuario Agregar invitados a los grupos que se poseen Administrar la configuración de pertenencia a grupos Eliminar los grupos que se poseen Restaurar los grupos de Microsoft 365 que se poseen	Leer las propiedades de los grupos no ocultos, incluida la pertenencia y la propiedad (incluso de grupos no unidos) Leer las pertenencias a grupos de Microsoft 365 ocultos para los grupos a los que se ha unido Buscar grupos por nombre para mostrar o Id. de objeto (si se permite)	Leer el id. de objeto de los grupos unidos Leer la pertenencia y la propiedad de los grupos unidos en algunas aplicaciones de Microsoft 365 (si se permite)
Aplicaciones	Registrar (crear) aplicaciones nuevas Enumerar la lista de todas las aplicaciones Leer las propiedades de las aplicaciones registradas y empresariales Administrar las propiedades, asignaciones y credenciales de las aplicaciones que se poseen Crear o eliminar las contraseñas de la aplicación de los usuarios Eliminar las aplicaciones que se poseen Restaurar las aplicaciones que se poseen Lista de los permisos concedidos a las aplicaciones	Leer las propiedades de las aplicaciones registradas y empresariales Lista de los permisos concedidos a las aplicaciones	Leer las propiedades de las aplicaciones registradas y empresariales Lista de los permisos concedidos a las aplicaciones
Dispositivos	Enumerar la lista de todos los dispositivos Leer todas las propiedades de los dispositivos Administrar todas las propiedades de los dispositivos que se poseen	Sin permisos	Sin permisos
Organización	Leer toda la información de la compañía Leer todos los dominios Leer la configuración de la autenticación basada en certificados Leer todos los contratos de los asociados Leer los detalles básicos de la organización multiinquilino y los inquilinos activos	Leer el nombre para mostrar de la empresa Leer todos los dominios Leer la configuración de la autenticación basada en certificados	Leer el nombre para mostrar de la empresa Leer todos los dominios
Roles y ámbitos	Leer todos los roles y las pertenencias administrativas Leer todas las propiedades y la pertenencia de las unidades administrativas	Sin permisos	Sin permisos
Suscripciones	Lectura de todas las suscripciones bajo licencia Habilitar pertenencias del plan de servicio	Sin permisos	Sin permisos
Directivas	Leer todas las propiedades de las directivas Administrar todas las propiedades de las directivas que se poseen	Sin permisos	Sin permisos
Términos de uso	Lee los términos de uso que un usuario ha aceptado.	Lee los términos de uso que un usuario ha aceptado.	Lee los términos de uso que un usuario ha aceptado.

Restringir los permisos predeterminados de los usuarios miembros

Es posible agregar restricciones a los permisos predeterminados de los usuarios.

Puedes restringir los permisos predeterminados de los usuarios miembros de las maneras siguientes:

Precaución

El uso del modificador Restringir el acceso al portal de administración de Microsoft Entrano es una medida de seguridad. Para obtener más información sobre la funcionalidad, consulta la siguiente tabla.

Permiso	Explicación del valor
Registro de aplicaciones	Establecer esta opción en No impide que los usuarios creen registros de aplicaciones. Después, puedes devolver la capacidad a personas concretas agregándolas al rol de desarrollador de aplicaciones.
Permitir que los usuarios conecten una cuenta profesional o educativa con LinkedIn	Establecer esta opción en No impide que los usuarios conecten su cuenta profesional o educativa con su cuenta de LinkedIn. Para obtener más información, consulte compartición de datos y consentimiento de conexiones de cuentas de LinkedIn.
Creación de grupos de seguridad	Establecer esta opción en No impide que los usuarios creen grupos de seguridad. Esos usuarios que tengan asignado al menos el rol de Administrador de usuarios aún pueden crear grupos de seguridad. Para obtener información sobre cómo hacerlo, consulte Cmdlets de Microsoft Entra para configurar las opciones de grupo.
Creación de grupos de Microsoft 365	Establecer esta opción en No impide que los usuarios creen grupos de Microsoft 365. Establecer esta opción en Some permite a un conjunto de usuarios crear grupos de Microsoft 365. Cualquier persona asignada al menos el rol Administrador de usuarios todavía puede crear grupos de Microsoft 365. Para obtener información sobre cómo hacerlo, consulte Cmdlets de Microsoft Entra para configurar las opciones de grupo.
Restringir el acceso al portal de administración de Microsoft Entra	¿Qué hace este cambio? No permite que los no administradores examinen el portal de administración de Microsoft Entra. Sí Restringe a los no administradores de navegar por el portal de administración de Microsoft Entra. Los no administradores que son propietarios de grupos o aplicaciones no pueden utilizar Azure Portal para administrar los recursos que les pertenecen. ¿Qué no hace? No restringe el acceso a los datos de Microsoft Entra mediante PowerShell, Microsoft Graph API u otros clientes, como Visual Studio. No restringe el acceso mientras el usuario tenga asignado un rol personalizado (o cualquier rol). ¿Cuándo debo usar este interruptor? Usa esta opción para evitar que los usuarios configuren erróneamente los recursos que poseen. ¿Cuándo no debo usar este interruptor? No use este modificador como una medida de seguridad. En su lugar, cree una directiva de acceso condicional que tenga como destino la API de Administración de servicios de Windows Azure que bloquee el acceso no administrativo a la API de Administración de servicios de Windows Azure. ¿Cómo concedo solo a un usuario no administrador específico la capacidad de usar el portal de administración de Microsoft Entra? Establezca esta opción en Sí y asígneles un rol como lector global. Restringir el acceso al portal de administración de Microsoft Entra Una directiva de acceso condicional que tenga como destino Windows Azure Service Management API tiene como destino el acceso a toda la administración de Azure.
Restricción de que los usuarios que no son administradores creen inquilinos	Los usuarios pueden crear inquilinos en Microsoft Entra ID y en el portal de administración de Microsoft Entra en Administrar inquilino. La creación de un inquilino se registra en el registro de auditoría bajo la categoría DirectoryManagement y la actividad Create Company (Crear empresa). De forma predeterminada, al usuario que crea un inquilino de Microsoft Entra se le asigna automáticamente el rol de administrador global de . El inquilino recién creado no hereda ningún ajuste ni configuración. ¿Qué hace este cambio? Al establecer esta opción en Sí , se restringe la creación de inquilinos de Microsoft Entra a cualquier persona asignada al menos el rol Creador de inquilinos . Establecer esta opción en No permite a los usuarios que no son administradores crear inquilinos de Microsoft Entra. La creación de inquilinos continúa registrándose en el registro de auditoría. ¿Cómo concedo solo a un usuario no administrador específico la capacidad de crear nuevos inquilinos? Establezca esta opción en Sí y asígneles el rol Creador de inquilinos .
Impedir que los usuarios recuperen las claves de BitLocker para sus dispositivos propiedad	Esta configuración se puede encontrar en el Centro de administración Microsoft Entra en configuración del dispositivo. Si establece esta opción en Sí , se impide que los usuarios puedan recuperar automáticamente las claves de BitLocker para sus dispositivos propiedad. Los usuarios deben ponerse en contacto con el departamento de soporte técnico de la organización para recuperar las claves de BitLocker. Establecer esta opción en No permite a los usuarios recuperar sus claves de BitLocker.
Leer otros comentarios de usuarios	Esta configuración solo está disponible en Microsoft Graph y PowerShell. Si esta marca se establece en `$false`, se impide que quienes no son administradores lean la información de los usuarios desde el directorio. Esta marca podría impedir la lectura de información del usuario en otros servicios de Microsoft, como Microsoft Teams. Esta configuración está pensada para circunstancias especiales, por lo que no se recomienda establecer la marca en `$false`.

La opción Restringir a los usuarios no administradores de la creación de inquilinos se muestra en la captura de pantalla siguiente.

Restringir los permisos predeterminados de los usuarios invitados

Puede restringir los permisos predeterminados de los usuarios invitados de las maneras siguientes.

Nota

La configuración restricciones de acceso del usuario invitado reemplaza los permisos de los usuarios invitados son una configuración limitada . Para obtener instrucciones sobre el uso de esta característica, consulte Restringir los permisos de acceso de invitado en microsoft Entra ID.

Permiso	Explicación del valor
Restricciones de acceso de usuarios invitados	Al establecer esta opción en Usuarios invitados, los usuarios tienen el mismo acceso que los miembros conceden todos los permisos de usuario miembro a los usuarios invitados de forma predeterminada. Establecer esta opción en Acceso de usuario invitado está restringido a propiedades y pertenencias de sus propios objetos de directorio restringe el acceso de invitado solo a su propio perfil de usuario de forma predeterminada. Ya no se permite el acceso a otros usuarios ni siquiera al buscar por nombre principal de usuario, Id. de objeto o nombre para mostrar. Además, ya no se permite el acceso a la información de grupos, incluidas las pertenencias a grupos. Esta configuración no impide el acceso a grupos unidos de otros servicios de Microsoft 365, como Microsoft Teams. Para obtener más información, consulte Acceso de invitado de Microsoft Teams. Los usuarios invitados se pueden seguir agregando a los roles Administrador independientemente de esta configuración de permiso.
Los huéspedes pueden invitar	Si establece esta opción en Sí , los invitados pueden invitar a otros invitados. Para más información, consulte Configuración de las opciones de colaboración externa.

Permiso

Explicación del valor

Restricciones de acceso de usuarios invitados

Al establecer esta opción en Usuarios invitados, los usuarios tienen el mismo acceso que los miembros conceden todos los permisos de usuario miembro a los usuarios invitados de forma predeterminada.

Establecer esta opción en Acceso de usuario invitado está restringido a propiedades y pertenencias de sus propios objetos de directorio restringe el acceso de invitado solo a su propio perfil de usuario de forma predeterminada. Ya no se permite el acceso a otros usuarios ni siquiera al buscar por nombre principal de usuario, Id. de objeto o nombre para mostrar. Además, ya no se permite el acceso a la información de grupos, incluidas las pertenencias a grupos.

Esta configuración no impide el acceso a grupos unidos de otros servicios de Microsoft 365, como Microsoft Teams. Para obtener más información, consulte Acceso de invitado de Microsoft Teams.

Los usuarios invitados se pueden seguir agregando a los roles Administrador independientemente de esta configuración de permiso.

Los huéspedes pueden invitar

Si establece esta opción en Sí , los invitados pueden invitar a otros invitados. Para más información, consulte Configuración de las opciones de colaboración externa.

Propiedad del objeto

Permisos de propietario del registro de una aplicación

Cuando un usuario registra una aplicación, se agrega automáticamente como propietario de la misma. Como propietario, puedes administrar los metadatos de la aplicación, como el nombre y los permisos que solicita la aplicación. También pueden administrar la configuración específica del inquilino de la aplicación, como la configuración de inicio de sesión único (SSO) y las asignaciones de usuarios.

Un propietario también puede agregar o quitar otros propietarios. A diferencia de esos usuarios asignados con al menos el rol de Administrador de aplicaciones, los propietarios solo pueden administrar las aplicaciones que poseen.

Permisos de propietario de las aplicaciones empresariales

Cuando un usuario agrega una aplicación empresarial, se agrega automáticamente como propietario. Como propietario, también puede administrar la configuración específica del inquilino de la aplicación, como la configuración de SSO, el aprovisionamiento y las asignaciones de usuarios.

Permisos de propietario de grupo

Cuando un usuario crea un grupo, se agrega automáticamente como propietario de dicho grupo. Como propietario, puedes administrar las propiedades del grupo (como el nombre) y administrar la pertenencia al grupo.

Un propietario también puede agregar o quitar otros propietarios. A diferencia de los usuarios asignados al menos el rol Administrador de grupos , los propietarios solo pueden administrar los grupos que poseen y solo pueden agregar o quitar miembros del grupo si el tipo de pertenencia del grupo es Asignado.

Para asignar un propietario de grupo, consulte Administración de propietarios de un grupo.

Para usar Privileged Access Management (PIM) para que un grupo sea apto para una asignación de roles, consulte Uso de grupos de Microsoft Entra para administrar asignaciones de roles.

Permisos de propiedad

En las tablas siguientes se describen los permisos específicos en el identificador de Microsoft Entra que los usuarios miembros tienen sobre los objetos que poseen. Los usuarios solo tienen estos permisos en los objetos que poseen.

Registros de aplicación que se poseen

Los usuarios pueden realizar las siguientes acciones en los registros de aplicación que poseen:

Acción	Descripción
microsoft.directorio/aplicaciones/audiencia/actualizar	Actualice la propiedad `applications.audience` en Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Actualice la propiedad `applications.authentication` en Microsoft Entra ID.
microsoft.directory/applications/basic/update	Actualice las propiedades básicas de las aplicaciones en Microsoft Entra id.
microsoft.directory/applications/credentials/update	Actualice la propiedad `applications.credentials` en Microsoft Entra ID.
microsoft.directory/aplicaciones/eliminar	Elimine las aplicaciones en Microsoft Entra ID.
microsoft.directory/applications/owners/update	Actualice la propiedad `applications.owners` en Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Actualice la propiedad `applications.permissions` en Microsoft Entra ID.
microsoft.directory/aplicaciones/políticas/actualización	Actualice la propiedad `applications.policies` en Microsoft Entra ID.
microsoft.directorio/aplicaciones/restaurar	Restaurar aplicaciones en Microsoft Entra ID.

Aplicaciones empresariales que se poseen

Los usuarios pueden realizar las siguientes acciones en las aplicaciones empresariales que poseen. Una aplicación empresarial se compone de la entidad de servicio, una o varias directivas de aplicación y, a veces, un objeto de aplicación en el mismo inquilino que la entidad de servicio.

Acción	Descripción
microsoft.directory/auditLogs/allProperties/read	Leer todas las propiedades (incluidas las propiedades con privilegios) de los registros de auditoría en Microsoft Entra ID.
microsoft.directory/policies/basic/update	Actualice las propiedades básicas de las directivas en Microsoft Entra id.
microsoft.directory/policies/delete	Eliminar directivas en Microsoft Entra ID.
microsoft.directorio/políticas/propietarios/actualizar	Actualice la propiedad `policies.owners` en Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Actualice la propiedad `servicePrincipals.appRoleAssignedTo` en Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Actualice la propiedad `users.appRoleAssignments` en Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Actualice la propiedad `servicePrincipals.audience` en Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Actualice la propiedad `servicePrincipals.authentication` en Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Actualice las propiedades básicas de las entidades de servicio en Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Actualice la propiedad `servicePrincipals.credentials` en Microsoft Entra ID.
microsoft.directory/PrincipalesDeServicio/eliminar	Eliminar las entidades de servicio en Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update	Actualice la propiedad `servicePrincipals.owners` en Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Actualice la propiedad `servicePrincipals.permissions` en Microsoft Entra ID.
microsoft.directorio/principalesDeServicio/políticas/actualizar	Actualice la propiedad `servicePrincipals.policies` en Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Leer todas las propiedades (incluidas las propiedades con privilegios) de los informes de inicio de sesión en Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/gestionar	Administrar las credenciales y los secretos de aprovisionamiento de aplicaciones
microsoft.directorio/principalesServicios/trabajosSincronización/gestionar	Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones
microsoft.directory/servicePrincipals/synchronization/standard/read	Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio

Dispositivos que se poseen

Los usuarios pueden realizar las siguientes acciones en los dispositivos que poseen:

Acción	Descripción
microsoft.directory/devices/bitLockerRecoveryKeys/read	Leer la propiedad `devices.bitLockerRecoveryKeys` en Microsoft Entra ID.
microsoft.directory/devices/disable	Deshabilitar los dispositivos en Microsoft Entra ID.

Grupos que se poseen

Los usuarios pueden realizar las siguientes acciones en los grupos que poseen.