¿Tu revendedor de licencias te exige ser administrador global solo para comprar RDS CALs? En esta guía detallamos los permisos exactos que necesita y cómo mantener tu entorno Microsoft Entra ID seguro aplicando el principio de mínimo privilegio.

Contexto y problemática

Las Remote Desktop Services Client Access Licenses (RDS CALs) son obligatorias para que los usuarios o dispositivos se conecten de forma legal a un servidor Windows Server 2022 mediante Escritorio Remoto. En el modelo Cloud Solution Provider (CSP), el revendedor actúa como intermediario entre Microsoft y tu organización. Sin embargo, no todo acceso solicitado por el partner es justificable. Conocer la frontera entre lo indispensable y lo superfluo protege tu seguridad, tus datos y tu cumplimiento normativo.

Roles y relaciones de CSP explicados

Dentro del ecosistema CSP existen tres componentes clave:

• Relación de revendedor (Reseller relationship): vínculo contractual entre tu tenant y el partner que permite al revendedor generar órdenes y asignar licencias a nombre del cliente.
• Roles internos en Partner Center: privilegios dentro del propio tenant del partner. Los más comunes son Sales Agent y Admin Agent, este último necesario para visualizar claves 5×5.
• Relaciones GDAP (Granular Delegated Admin Privileges): opción avanzada que delega permisos específicos sobre tu Microsoft Entra ID durante un periodo definido. No es requisito para comprar licencias, pero resulta útil cuando se requiere soporte puntual.

Tabla de mínimos permisos

Necesidad del revendedor	Qué se requiere realmente	Qué no es necesario
Emitir la orden y facturar las CALs	• Aceptar una relación de revendedor CSP. • Asignar al vendedor el rol interno Sales Agent (o Admin Agent si se prefiere). Con ello puede comprar licencias y asignarlas sin acceder a tu tenant.	• No se precisan roles de administrador sobre Microsoft Entra ID. • No se requieren Global Admin, Billing Admin ni relaciones GDAP.
Acceder a la clave 5×5 de la RDS CAL	• Rol interno Admin Agent en Partner Center (dentro del tenant del partner). • No otorga privilegios sobre tu infraestructura.	• No le da control sobre servidores ni usuarios del cliente.
Instalar las CAL en tu servidor de licencias RDS	• Acceso local o RDP al servidor on‑premises. • Credenciales administrativas en ese servidor concreto.	• Ninguna intervención dentro de tu Microsoft Entra ID ni en tus suscripciones Azure.

Proceso paso a paso para una compra segura

1. Solicita al partner que envíe la invitación de «Relación de revendedor» y desmarca la casilla de permisos de administrador al aceptarla. Así el revendedor ve tu catálogo de licencias pero no accede a tus datos.
2. Una vez aprobada la orden, el partner obtiene la clave 5×5 desde su Panel Partner Center y te la remite. Esa interfaz siempre mostrará 500 activaciones por diseño, aunque hayas comprado menos; es normal.
3. En tu servidor de licencias RDS, abre el Remote Desktop Licensing Manager, selecciona «Instalar Licencias» e introduce la clave. Guarda un registro fuera de línea en un repositorio cifrado.

Diferencia entre CAL perpetua y suscripción de servidor

En CSP puedes optar por:

• CAL perpetua: pago único, clave 5×5, derecho permanente a conectarse a cualquier servidor Windows Server 2022 (o inferior) dentro de la misma edición.
• Server Subscription: factura mensual o anual, sin instalación de CALs. Es más flexible para escenarios temporales, pero el coste total puede superar al modelo perpetuo en proyectos de larga duración.

Principio de mínimo privilegio aplicado al modelo CSP

Conceder solo los privilegios estrictamente necesarios no es una recomendación teórica; es una práctica de seguridad esencial que limita la superficie de ataque. Algunas medidas concretas:

• Relaciones GDAP temporales: si en el futuro requieres soporte del partner (p. ej. asignar licencias o crear usuarios), crea una GDAP con vigencia de 30‑90 días y roles License Administrator o User Administrator.
• Revisión semestral: agenda auditorías en Microsoft Entra ID para listar y revocar relaciones GDAP y vínculos de revendedor que ya no aportan valor.
• Principio de posesión de la clave: solo personal interno autorizado debe custodiar las claves 5×5; una clave usada no puede reutilizarse.

Preguntas frecuentes

¿Qué ocurre si el partner insiste en permisos de administrador global?

No existen motivos técnicos para exigir Global Admin para una simple transacción de licencias. Puedes aportar la documentación oficial de Microsoft Partner Center que establece la mecánica de la relación de revendedor sin privilegios dentro del tenant del cliente.

¿Puedo comprar RDS CALs sin pasar por CSP?

Sí. Alternativas viables incluyen contratos Open License o Open Value a través de un Licensing Solution Provider (LSP). Estas vías no requieren ninguna relación en Microsoft Entra ID.

¿Las RDS CALs de Windows Server 2019 funcionan en 2022?

Las CALs son versión ascendente: una CAL 2019 se acepta en 2019 o anterior, pero no en 2022. Las CALs 2022 cubren 2022 y cualquier versión previa.

¿Cuántas activaciones aparecen al instalar la clave?

La pantalla muestra 500 por diseño del programa CSP, independientemente del número adquirido. Debes administrar la asignación real mediante políticas internas y auditoría.

¿Es necesario instalar CALs en servidores de alta disponibilidad?

Sí, cada servidor de licencias RDS en un grupo de equilibrio de carga necesita registrar la clave. Microsoft permite dividir las activaciones entre varios servidores de licencias.

Escenarios prácticos adicionales

Escenario A: PyME que no delega soporte

La empresa solo quiere comprar licencias. Procede a:

1. Aceptar la relación de revendedor sin permisos de administrador.
2. Recibir y archivar la clave 5×5.
3. Instalar la CAL en su único servidor RDS.

Resultado: ningún tercero tiene acceso a su tenant ni a sus servidores.

Escenario B: Empresa con outsourcing puntual

Requiere que el partner implemente políticas de bloqueo de sesión. Se recomienda:

1. Crear GDAP con rol User Administrator y expiración en 60 días.
2. Monitorizar mediante auditorías de Microsoft Entra ID.
3. Revocar GDAP al terminar el proyecto.

Ventaja: trazabilidad completa y cumplimiento de normas ISO 27001.

Escenario C: ISP que ofrece escritorios virtuales

Necesita licenciamiento por dispositivo. El ISP adquiere Server Subscriptions en CSP, evitando el mantenimiento de claves y simplificando la facturación recurrente para sus clientes finales.

Errores comunes y cómo evitarlos

• Aceptar «Admin delegada» sin revisar: concede acceso amplio y sin caducidad al partner. Usa GDAP en su lugar.
• Conservar claves en texto plano: almacena las 5×5 en un gestor de contraseñas corporativo con control de acceso.
• Activar CALs en entorno de pruebas y luego en producción: resta activaciones disponibles. Utiliza licencias de evaluación donde corresponda.
• Confiar en la pantalla de «500 licencias» como control: lleva un inventario interno basado en usuarios o dispositivos reales.

Buenas prácticas de gobierno de licencias

Un programa robusto de Software Asset Management (SAM) evita multas y optimiza costos: Inventario centralizadoMantén un repositorio completo de claves, contratos y facturas. Asignación nominativaLiga cada CAL a un usuario o dispositivo con su fecha de alta y baja. Revisión anualCompara usuarios reales versus CALs instaladas; compra las faltantes o reasigna las sobrantes. Indicadores KPIMonitorea ratios de CAL por usuario, porcentaje de cumplimiento y costos mensuales.

Conclusiones

Para la simple venta de RDS CALs en un entorno Windows Server 2022, el revendedor apenas necesita que aceptes la relación de revendedor CSP sin otorgar permisos de administrador. Toda demanda extra que incluya Global Admin, Billing Admin o acceso al directorio carece de justificación técnica. Implementar GDAP solo cuando sea imprescindible, mantener la custodia interna de las claves y auditar las relaciones periódicamente garantizan conformidad y seguridad bajo el principio de mínimo privilegio.

Información basada en la documentación pública de Microsoft Partner Center y políticas CSP vigentes a agosto de 2025.