Para un control administrativo más pormenorizado en Microsoft Entra ID, puede asignar usuarios a un rol de Microsoft Entra con un ámbito limitado a una o varias unidades administrativas. Para obtener scripts de PowerShell de ejemplo para tareas comunes, consulte Uso de unidades administrativas para trabajar.
General
¿Por qué no puedo crear una unidad administrativa?
Solo un administrador global o un administrador de rol con privilegios puede crear una unidad administrativa en Microsoft Entra ID. Compruebe que el usuario que intenta crear la unidad administrativa tenga asignado el rol de administrador global o de administrador de rol con privilegios.
He agregado un grupo a una unidad administrativa. ¿Por qué todavía no aparecen los miembros del grupo?
Al agregar un grupo a una unidad administrativa, no todos los miembros del grupo se agregan a esta. Los usuarios deben asignarse directamente a la unidad administrativa.
Acabo de agregar (o quitar) un miembro de la unidad administrativa. ¿Por qué no se muestra (o se sigue mostrando) en la interfaz de usuario?
A veces, la adición o eliminación de uno o varios miembros de una unidad administrativa puede tardar unos minutos antes de que se refleje en el panel Unidades administrativas. También puede ir directamente a las propiedades del recurso asociado y ver si se ha completado la acción. Para obtener más información sobre los miembros de las unidades administrativas, consulte Enumerar usuarios, grupos o dispositivos en una unidad administrativa.
Soy administrador de contraseñas delegado de una unidad administrativa. ¿Por qué no puedo restablecer la contraseña de un usuario específico?
Como administrador de una unidad administrativa, solo puede restablecer las contraseñas de los usuarios asignados a la unidad administrativa. Asegúrese de que el usuario para el que se produjo el error de restablecimiento de contraseña pertenece a la unidad administrativa a la que se le asignó. Si el usuario pertenece a la misma unidad administrativa y todavía no puede restablecer su contraseña, compruebe los roles que tiene asignados.
Para evitar una elevación de privilegios, un administrador con ámbito de unidad administrativa no puede restablecer la contraseña de un usuario asignado a un rol con un ámbito de toda la organización.
¿Por qué son necesarias las unidades administrativas? ¿No podrían usarse grupos de seguridad para definir un ámbito?
Los grupos de seguridad tienen un propósito y modo de autorización existentes. Un Administrador de usuarios, por ejemplo, puede administrar la pertenencia a todos los grupos de seguridad de la organización de Microsoft Entra. El rol podría usar grupos para administrar el acceso a aplicaciones como Salesforce. Un administrador de usuarios no debe poder administrar el modelo de delegación, que sucedería si los grupos de seguridad se ampliaran para admitir escenarios de "agrupación de recursos".
Las unidades administrativas, como las unidades organizativas en Windows Server Active Directory, están diseñadas para proporcionar una manera de administrar con ámbito una amplia gama de objetos de directorio. Los grupos de seguridad pueden ser miembros de los ámbitos de recursos. El uso de grupos de seguridad para definir el conjunto de grupos de seguridad que un administrador puede administrar podría resultar confuso.
¿Por qué se agrega un grupo a una unidad administrativa?
Agregar un grupo a una unidad administrativa lleva el propio grupo al ámbito de administración de la unidad administrativa, pero no a los miembros del grupo. Para obtener más información, consulte Unidades administrativas en Microsoft Entra ID.
¿Un recurso (usuario, grupo o dispositivo) puede ser miembro de más de una unidad administrativa?
Sí, un recurso puede ser miembro de más de una unidad administrativa. Los administradores con ámbito de la unidad administrativa o toda la organización que tienen permisos sobre el recurso pueden administrarlo.
¿Las unidades administrativas están disponibles en las organizaciones B2C?
No, las unidades administrativas no están disponibles para las organizaciones B2C.
¿Se admiten las unidades administrativas anidadas?
No se admiten las unidades administrativas anidadas.
¿Las unidades administrativas son compatibles con PowerShell y Graph API?
Sí. Puede encontrar la compatibilidad con las unidades administrativas en la documentación de cmdlets de PowerShell y los scripts de ejemplo.
La compatibilidad con el tipo de recurso administrativeUnit puede encontrarla en Microsoft Graph.
Unidades administrativas dinámicas (versión preliminar)
Acabo de guardar una regla de pertenencia dinámica para una unidad administrativa, pero todavía no veo que se haya rellenado ningún usuario.
La actualización inicial de una unidad administrativa puede tardar unos minutos en función del tamaño del inquilino y la carga actual de Microsoft Entra ID.
Después de crear una regla de pertenencia dinámica en el centro de administración de Microsoft Entra mediante el generador de reglas e intentar guardarla, aparece el error "No se pudieron actualizar las propiedades de la unidad administrativa".
Esto suele significar que hay un problema con los valores de propiedad proporcionados. Confirme que los valores de propiedad que ha proporcionado tienen un tipo de valor adecuado (booleano, cadena o colección de cadenas). Para más información, consulte los valores permitidos para cada operador para los usuarios o dispositivos.
Este error también puede producirse si una persona sin una licencia de Microsoft Entra ID P1 intenta guardar una actualización en la unidad administrativa.
¿Cómo puedo agregar un único miembro a una unidad administrativa además de la regla de pertenencia dinámica actual?
Para agregar un solo usuario, agregue una expresión adecuada con el operador de consulta OR a la regla de pertenencia dinámica.
Soy administrador global, pero no puedo agregar ni quitar miembros de una unidad administrativa.
Después de configurar una unidad administrativa para la pertenencia dinámica, debe editar las reglas de pertenencia dinámica para cambiar la pertenencia.
¿Cuántas unidades administrativas con reglas de pertenencia dinámica puedo crear en un inquilino?
En la versión preliminar, el número total de grupos dinámicos y unidades administrativas dinámicas combinadas no puede superar los 5000.
¿Hay un límite en el número de caracteres de una regla de pertenencia dinámica?
Sí. 3072 caracteres.
¿Puedo crear unidades administrativas con reglas de pertenencia dinámica en el Centro de administración de Microsoft 365?
No.
Unidades administrativas de administración restringida (versión preliminar)
Soy el propietario de un grupo que es miembro de una unidad administrativa de administración restringida. ¿Cómo se ven afectados mis permisos?
Como propietario de un grupo protegido, no podrá administrarlo solo en función de la propiedad. La administración de recursos protegidos actualmente requiere que se asigne un rol en el ámbito de la unidad administrativa de administración restringida del recurso protegido.
¿Cómo se ven afectados mis recursos de Microsoft 365 mediante el uso de unidades administrativas de administración restringidas?
Actualmente, se admite la protección de recursos de Microsoft Entra en unidades administrativas de administración restringida. No se admiten los recursos administrados fuera del identificador de Microsoft Entra.
No puedo modificar el miembro de una unidad administrativa de administración restringida.
El usuario, grupo o dispositivo es miembro de la unidad administrativa de administración restringida. Los derechos de administración se limitan a los administradores cuyo ámbito es esa unidad administrativa.