Teams External Collaboration Administrator: el nuevo rol ya está disponible y cambia la delegación de acceso

,

El nuevo rol Teams External Collaboration Administrator ya se encuentra en General Availability. Este rol introduce un modelo de delegación específica para la administración de External Access (federación) en Microsoft Teams, permitiendo separar esta responsabilidad del rol de Teams Administrator o Global Administrator. El cambio ya está aplicado y no requiere acción previa para habilitarse.

Antes de este cambio, la gestión de external access y dominios federados requería roles amplios (Teams Admin o Global Admin), lo que forzaba a conceder más privilegios de los necesarios. Microsoft introduce un rol RBAC dedicado, enfocado exclusivamente en colaboración externa, reduciendo el alcance de permisos administrativos.

IMPACTO:

  • Se habilita un modelo de least privilege para la gestión de colaboración externa.
  • Los equipos de seguridad y gobierno pueden delegar federación sin exponer configuración interna de Teams.
  • Se reduce el riesgo operativo asociado a cambios accidentales en políticas de llamadas, reuniones o apps.

CÓMO SE VE EL CAMBIO

  • Aparece el rol Teams External Collaboration Administrator como rol asignable desde:
    • Microsoft Entra admin center
    • Microsoft 365 admin center
  • El rol no otorga acceso al portal del Teams Admin Center.
  • La administración bajo este rol se realiza exclusivamente vía PowerShell.

POR QUÉ MICROSOFT HIZO ESTE CAMBIO:

Microsoft busca cerrar una brecha histórica entre operación y seguridad: permitir cambios frecuentes en federación (alta/baja de dominios externos) sin necesidad de otorgar permisos amplios. El rol responde directamente a escenarios enterprise donde la colaboración externa es dinámica pero altamente regulada.

PARA VALIDAR QUE YA ESTÁ ACTIVO EN TU TENANT:

  1. Ingresar al Microsoft Entra admin center.
  2. Revisar roles disponibles y confirmar la presencia de Teams External Collaboration Administrator.
  3. Validar que el rol puede asignarse a usuarios administrativos sin requerir Teams Admin.
  4. Confirmar que los usuarios con este rol solo pueden operar vía PowerShell y no acceden al TAC.

RECOMENDACIÓN PARA ADMINS:

  • Actualizar runbooks de gobierno de Teams para incluir este nuevo rol.
  • Separar claramente responsabilidades entre:
    • Administración de colaboración externa
    • Configuración interna de Teams
  • Evitar seguir usando Global Admin para tareas de federación.
  • Capacitar a los equipos de seguridad en PowerShell para External Access, ya que este rol está diseñado para operación controlada, no visual.

    EXTRA:
  • Para los administradores que aún cuentan con acceso al Teams Admin Center, se puede observar un cambio visual menor pero relevante en la navegación. Anteriormente, la configuración de External access se encontraba dentro de la sección Users; ahora aparece como una sección independiente en el menú, lo que refuerza su separación lógica y operativa del resto de la administración de usuarios.

Deja un comentario