Adición de usuarios, grupos o dispositivos a una unidad administrativa

  • Artículo

En Microsoft Entra ID, usted puede agregar usuarios, grupos o dispositivos a una unidad administrativa para limitar el alcance de los permisos de rol. Agregar un grupo a una unidad administrativa lleva el propio grupo al ámbito de administración de la unidad administrativa, pero no a los miembros del grupo. Para obtener más información sobre lo que pueden hacer los administradores de ámbito, consulte Unidades Administrativas en Microsoft Entra ID.

En este artículo se describe cómo agregar manualmente usuarios, grupos o dispositivos a unidades administrativas. Para obtener información sobre cómo agregar usuarios o dispositivos a unidades administrativas dinámicamente mediante reglas, consulte Administración de usuarios o dispositivos para una unidad administrativa con reglas de pertenencia dinámica.

Requisitos previos

  • Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
  • Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
  • Para agregar usuarios, grupos o dispositivos existentes:
    • Administrador global o administrador de roles con privilegios
  • Para crear nuevos grupos:
    • Administrador de grupos (con ámbito para la unidad administrativa o todo el directorio) o administrador global
  • PowerShell de Microsoft Graph
  • Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Puede agregar usuarios, grupos o dispositivos en unidades administrativas mediante el centro de administración de Microsoft Entra. También puede agregar usuarios en una operación masiva o crear un nuevo grupo en una unidad administrativa.

Adición de un único usuario, grupo o dispositivo a unidades administrativas

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad.

  3. Vaya a una de las opciones siguientes:

    • Usuarios>Todos los usuarios
    • Grupos>Todos los grupos
    • Dispositivos>Todos los dispositivos

  4. Seleccione el usuario, grupo o dispositivo que quiere agregar a las unidades administrativas.

  5. Seleccione Unidades administrativas.

  6. Seleccione Asignar a la unidad administrativa.

  7. En el panel Seleccionar, seleccione Unidades administrativas y, después, Seleccionar.

    Screenshot of the Administrative units page for adding a user to an administrative unit.

Adición de usuarios, grupos o dispositivos a una única unidad administrativa

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Unidades administrativas.

  3. Seleccione la unidad administrativa a la que quiere agregar usuarios, grupos o dispositivos.

  4. Seleccione uno de los siguientes:

    • Usuarios
    • Grupos
    • Dispositivos

  5. Seleccione Agregar miembro, Agregar o Agregar dispositivo.

  6. En el panel Seleccionar, seleccione los usuarios, grupos o dispositivos que quiere agregar a la unidad administrativa y, después, elija Seleccionar.

    Screenshot of adding multiple devices to an administrative unit.

Agregar usuarios de una unidad administrativa en una operación masiva

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Unidades administrativas.

  3. Seleccione la unidad administrativa a la que quiere agregar usuarios.

  4. Seleccione Usuarios>Operaciones masivas>Adición masiva de miembros.

    Screenshot of the Users page for assigning users to an administrative unit as a bulk operation.

  5. En el panel Adición masiva de miembros, descargue la plantilla de valores separados por coma (CSV).

  6. Edite la plantilla CSV descargada con la lista de usuarios que desea agregar.

    Agregue un nombre principal de usuario (UPN) en cada fila. No quite las dos primeras filas de la plantilla.

  7. Guarde los cambios y cargue el archivo CSV.

    Screenshot of an edited CSV file for adding users to an administrative unit in bulk.

  8. Seleccione Submit (Enviar).

Creación de un nuevo grupo en una unidad administrativa

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Vaya a Identidad>Roles y administradores>Unidades administrativas.

  3. Seleccione la unidad administrativa en la que quiere crear un nuevo grupo.

  4. Seleccione Grupos.

  5. Seleccione Nuevo grupo y complete los pasos para crear un nuevo grupo.

    Screenshot of the Administrative units page for creating a new group in an administrative unit.

PowerShell

Use el comando Invoke-MgGraphRequest para agregar usuarios, grupos o dispositivos a una unidad administrativa o para crear un nuevo grupo en una unidad administrativa.

Adición de usuarios a una unidad administrativa

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": "https://graph.microsoft.com/v1.0/users/{USER_ID}"
       }'

Adición de grupos a una unidad administrativa

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/groups/{GROUP_ID}
       }'

Adición de dispositivos a una unidad administrativa

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/devices/{DEVICE_ID}
       }'

Creación de un nuevo grupo en una unidad administrativa

$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.type": "#Microsoft.Graph.Group",
         "description": "{Example group description}",
         "displayName": "{Example group name}",
         "groupTypes": [
              "Unified"
          ],
         "mailEnabled": true,
          "mailNickname": "{exampleGroup}",
          "securityEnabled": false
       }'

Microsoft Graph API

Use la API Agregar un miembro para agregar usuarios, grupos o dispositivos a una unidad administrativa o crear un nuevo grupo en una unidad administrativa.

Adición de usuarios a una unidad administrativa

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Cuerpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Ejemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Adición de grupos a una unidad administrativa

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Cuerpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Ejemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Adición de dispositivos a una unidad administrativa

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Body

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Creación de un nuevo grupo en una unidad administrativa

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Cuerpo

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Pasos siguientes