MENU
  1. Inicio
  2. MS Office
  3. Teams
  4. Cómo cambiar el permiso predeterminado de Members en Teams y SharePoint sin romper la integración

Cómo cambiar el permiso predeterminado de Members en Teams y SharePoint sin romper la integración

Teams

Cuando un equipo de Microsoft Teams se crea, su sitio de SharePoint hereda permisos que no siempre encajan con los requisitos de seguridad de la organización. A continuación se explica, de forma práctica y detallada, cómo rebajar el permiso predeterminado “Edit” del grupo Members, asignar solo lectura a los nuevos empleados y, al mismo tiempo, mantener la integración nativa entre Teams y SharePoint.

Índice

Resumen rápido del escenario

GrupoPermiso predeterminado
OwnersFull Control
MembersEdit
VisitorsRead

Por qué cambiar “Edit” por permisos más restrictivos

El permiso Edit permite agregar o eliminar listas, bibliotecas y páginas, algo que suele superar las necesidades de la mayoría de usuarios finales. A largo plazo esto incrementa el riesgo de:

  • Modificaciones accidentales de la estructura del sitio.
  • Exposición de información confidencial por descargas locales o sincronización con OneDrive.
  • Duplicación de contenidos y confusión documental.

Asignar un nivel más preciso (Contribute, Read, Restricted View o uno personalizado) mejora la gobernanza sin romper la experiencia integrada de Teams.

Relación entre Teams y SharePoint

Cada canal estándar en Teams se corresponde con una carpeta del documento library “Shared Documents” del sitio de SharePoint. Los miembros del equipo (propietarios y miembros) obtienen derechos mediante los grupos de SharePoint “Owners” y “Members”, respectivamente. Eliminar o modificar de forma drástica estos grupos provoca errores (“algo salió mal”) en la pestaña Archivos de Teams. Por eso es crítico mantener la estructura de grupos, pero ajustando los niveles de permiso.

Paso a paso para ajustar los niveles de permiso

Crear un nivel de permiso personalizado

  1. En el sitio de SharePoint, abre Settings ▸ Site permissions ▸ Advanced permissions settings.
  2. Selecciona Permission Levels ▸ Add a Permission Level.
  3. Asigna un nombre descriptivo, por ejemplo Read Only (sin descarga). Marca únicamente las casillas necesarias (“View Items”, “Open Items”…). Desmarca “Download” si tu política lo exige o considera usar View Only / Restricted View combinados con protecciones IRM o etiquetas de sensibilidad cuando sea necesario bloquear al 100 % la descarga.

Convertir el nuevo grupo en predeterminado

  1. Vuelve a Site permissions y crea un grupo (ej. Empleados - Solo lectura) asignándole el nivel de permiso que acabas de generar.
  2. Dentro del grupo, pulsa Settings ▸ Make Default Group. Desde este momento, los usuarios añadidos de forma manual al sitio recibirán únicamente los permisos de lectura.
  3. Al convertirse en grupo predeterminado, el botón Edit User Permissions del grupo Members deja de estar atenuado, lo que te permitirá modificar su nivel.

Ajustar el permiso del grupo “Members”

  1. En la misma página de permisos, selecciona Members ▸ Edit User Permissions.
  2. Sustituye Edit por el nivel que prefieras (Contribute es la opción más frecuente porque permite crear y editar archivos sin alterar la estructura).
  3. Guarda los cambios y realiza una prueba con un usuario de prueba para confirmar que la carga, edición y eliminación de archivos funciona correctamente desde Teams.

Asignación de usuarios en adelante

  • Nuevos empleados: agrégalos solo al grupo Read Only.
  • Colaboradores habituales: mantenlos en Members (ahora con Contribute).
  • Propietarios del contenido: ubícalos en Owners o crea un grupo intermedio con Edit si necesitan modificar la estructura de listas y bibliotecas.
  • Tip: Nunca elimines un usuario del equipo en Teams salvo que deba perder el acceso por completo; basta con cambiarlo de grupo dentro de SharePoint.

Romper la herencia si aplica

Si tu sitio hereda permisos de un hub o de un sitio superior, haz clic en Stop Inheriting Permissions antes de los pasos anteriores, de lo contrario los cambios se sobrescribirán con la siguiente sincronización.

Automatizar la operación para futuros equipos

Repetir manualmente este proceso por cada nuevo equipo es inviable. A continuación tienes tres estrategias de aprovisionamiento que pueden ejecutar automáticamente la creación del grupo de lectura y su designación como predeterminado:

  • Plantillas de Teams: define una plantilla que incluya una site script de SharePoint para añadir el nivel de permiso y el grupo.
  • PnP Provisioning: aprovecha los cmdlets Get-PnPSiteTemplate y Invoke-PnPSiteTemplate o un archivo .pnp con la sección <RoleDefinition> y <RoleAssignment>.
  • PowerShell puro: usa el módulo SharePointPnPPowerShellOnline dentro de Azure Automation o un runbook disparado por creación de equipo.
# Fragmento ilustrativo (simplificado)
Connect-PnPOnline -Url $SiteUrl -ClientId $AppId -Tenant $TenantId -Thumbprint $Cert
$perm = New-PnPRoleDefinition -RoleName "Read Only (sin descarga)" `
         -Description "Solo lectura sin descarga" -Permissions ViewPages, Open, ViewVersions
New-PnPGroup -Title "Empleados - Solo lectura" -Description "Lectores por defecto" -Permissions "Read Only (sin descarga)"
Set-PnPSite -Identity $SiteUrl -AssociatedGroup "Empleados - Solo lectura"
Set-PnPRoleDefinition -Identity "Members" -Permissions ListItems, AddListItems, EditListItems, DeleteListItems
Disconnect-PnPOnline

Ventajas del enfoque propuesto

AspectoBeneficio
No se elimina “Members”Se evita romper el enlace con Teams y posibles errores de acceso.
Permisos granularesDiferencia lectura, contribución y edición de manera controlada y comprensible.
Reversible y auditableUn cambio de nivel no afecta al historial; basta un clic para revertir.
EscalabilidadLa automatización garantiza que cada nuevo sitio nazca con la configuración correcta.

Información complementaria clave

Bloqueo total de descargas

Ningún nivel de permiso estándar impide al 100 % la descarga si el usuario logra abrir el archivo en una aplicación de escritorio. Para bloqueo estricto:

  • Aplica etiquetas de sensibilidad con cifrado.
  • Activa IRM en la biblioteca (opción avanzada que añade cifrado y expiración).
  • Habilita DLP para interceptar la descarga de contenidos sensibles.

Contribute vs. Edit

Contribute permite cargar, editar y eliminar archivos, pero no tocar las bibliotecas ni las páginas del sitio. Edit, además, añade la capacidad de crear o borrar listas y bibliotecas, cambiar vistas y modificar páginas. A efectos prácticos, Contribute cubre el 95 % de las necesidades de un equipo de trabajo sin exponer la estructura.

Comprobaciones y auditoría rápida

En Site permissions ▸ Check Permissions puedes introducir el nombre de un usuario para ver la combinación exacta de niveles que recibe por pertenecer a varios grupos. De esta forma validarás al instante que los cambios funcionan como esperas.

Buenas prácticas finales

  • Documenta el proceso en tu Playbook de TI para que otros administradores lo sigan con uniformidad.
  • Usa nombre y descripción claros para los grupos y niveles de permiso; evita siglas internas que confundan al soporte de primer nivel.
  • Revisa periódicamente los grupos con poca actividad para detectar y limpiar permisos huérfanos.
  • Incluye el paso en los flujos ITSM: cuando RR. HH. solicite un nuevo equipo, el script o plantilla debe dispararse automáticamente.
  • Monitoriza con alertas los cambios de nivel críticos; así detectarás rápidamente un posible cambio manual que vuelva a dar Edit al grupo Members.

Conclusión

Modificar el permiso predeterminado del grupo Members de “Edit” a un nivel más contenido preserva la estructura de seguridad recomendada, reduce la superficie de errores y se integra sin fricciones con la experiencia de Teams. Al combinar un nuevo grupo de solo lectura como predeterminado y la automatización mediante plantillas o scripts de PnP, obtienes un proceso consistente, escalable y auditado que protege el ciclo de vida documental desde el primer minuto.

Teams
Índice