Administrar usuarios o dispositivos para una unidad administrativa con reglas de pertenencia dinámica (versión preliminar)
Importante
Las reglas de pertenencia dinámica para unidades administrativas se encuentran actualmente en versión preliminar. Consulte los Términos del producto para ver los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Puede agregar o quitar usuarios o dispositivos de unidades administrativas manualmente. Con esta versión preliminar, puede agregar o quitar usuarios o dispositivos de unidades administrativas dinámicamente mediante reglas. En este artículo, se describe cómo crear unidades administrativas con reglas de pertenencia dinámica mediante el centro de administración de Microsoft Entra, PowerShell o la API de Microsoft Graph.
Nota:
Las reglas de pertenencia dinámica para unidades administrativas se pueden crear con los mismos atributos disponibles para grupos dinámicos. Para obtener más información sobre los atributos específicos disponibles y ejemplos sobre cómo usarlos, consulte Reglas de pertenencia dinámica para grupos en Microsoft Entra ID.
Aunque las unidades administrativas con miembros asignados manualmente admiten varios tipos de objetos, como usuario, grupo y dispositivos, actualmente no es posible crear una unidad administrativa con reglas de pertenencia dinámica que incluyan más de un tipo de objeto. Por ejemplo, puede crear unidades administrativas con reglas de pertenencia dinámica para usuarios o dispositivos, pero no ambas. Actualmente no se admiten la unidades administrativas con reglas de pertenencia dinámica para grupos.
Requisitos previos
- Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
- Licencia Microsoft Entra ID P1 o P2 para cada miembro de unidad administrativa
- Administrador global o administrador de roles con privilegios
- Módulo Microsoft Graph PowerShell SDK instalado al utilizar PowerShell
- Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
- La nube Azure global (no disponible en nubes especializadas, como Azure Government o Microsoft Azure operated by 21Vianet)
Nota:
Las reglas de pertenencia dinámica para las unidades administrativas requieren una licencia de Microsoft Entra ID P1 para cada usuario único que sea miembro de una o varias unidades administrativas dinámicas. Aunque no es necesario asignar licencias a los usuarios para que sean miembros de las unidades administrativas dinámicas, es preciso tener el número mínimo de licencias en la organización de Microsoft Entra para abarcarlos a todos. Por ejemplo, si tiene un total de 1000 usuarios únicos en todas las unidades administrativas dinámicas de la organización, necesitará al menos 1000 licencias de Microsoft Entra ID P1 para cumplir el requisito de licencia. No es necesaria ninguna licencia para los dispositivos que son miembros de una unidad administrativa de dispositivos dinámica.
Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Adición de reglas de pertenencia dinámica
Siga estos pasos para crear unidades administrativas con reglas de pertenencia dinámica para usuarios o dispositivos.
Centro de administración de Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Seleccione la unidad administrativa a la que quiere agregar usuarios o dispositivos.
Seleccione Propiedades.
En la lista Tipo de pertenencia, seleccione Usuario dinámico o Dispositivo dinámico, en función del tipo de regla que quiera agregar.
Seleccione Agregar una consulta dinámica.
Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Generador de reglas en Azure Portal.
Cuando termine, seleccione Guardar para guardar la regla de pertenencia dinámica.
En la página Propiedades, seleccione Guardar para guardar el tipo de pertenencia y la consulta.
Se muestra el mensaje siguiente:
Después de cambiar el tipo de unidad administrativa, la pertenencia existente podría cambiar en función de la regla de pertenencia dinámica que proporcione.
Seleccione Sí para continuar.
Para ver los pasos para editar la regla, consulte la siguiente sección Edición de reglas de pertenencia dinámica.
PowerShell
Cree una regla de pertenencia dinámica. Para más información, consulte Reglas de pertenencia dinámica a grupos de Microsoft Entra ID.
Use el comando Connect-MgGraph para conectarse con Microsoft Entra ID con un usuario al que se haya asignado el rol Administrador de roles con privilegios o Administrador global.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Use el comando New-MgDirectoryAdministrativeUnit para crear una nueva unidad administrativa con una regla de pertenencia dinámica mediante los parámetros siguientes:
MembershipType:DynamicoAssignedMembershipRule: regla de pertenencia dinámica que creó en un paso anteriorMembershipRuleProcessingState:OnoPaused.
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Cree una regla de pertenencia dinámica. Para más información, consulte Reglas de pertenencia dinámica a grupos de Microsoft Entra ID.
Use la API Create administrativeUnit para crear una unidad administrativa con una regla de pertenencia dinámica.
A continuación se muestra un ejemplo de una regla de pertenencia dinámica que se aplica a dispositivos Windows.
Request
POST https://graph.microsoft.com/beta/administrativeUnitsCuerpo
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Edición de reglas de pertenencia dinámica
Cuando se haya configurado una unidad administrativa para la pertenencia dinámica, se deshabilitan los comandos habituales para agregar o quitar miembros de la unidad administrativa, ya que el motor de pertenencia dinámica conserva la única propiedad de agregar o quitar miembros. Para realizar cambios en la pertenencia, puede editar las reglas de pertenencia dinámica.
Centro de administración de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Seleccione la unidad administrativa que tenga las reglas de pertenencia dinámica que quiere editar.
Seleccione Reglas de pertenencia para editar las reglas de pertenencia dinámica mediante el generador de reglas.
También puede abrir el generador de reglas seleccionando Reglas de pertenencia dinámica en el panel de navegación izquierdo.
Cuando termine, seleccione Guardar para guardar los cambios de la regla de pertenencia dinámica.
PowerShell
Use el comando Update-MgDirectoryAdministrativeUnit para editar la regla de pertenencia dinámica.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Use la API de Update administrativeUnit para editar la regla de pertenencia dinámica.
Request
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Cuerpo
{
"membershipRule": "(user.country -eq "Germany")"
}
Cambio de una unidad administrativa dinámica a asignada
Siga estos pasos para cambiar una unidad administrativa con reglas de pertenencia dinámica a una unidad administrativa en la que los miembros se asignan manualmente.
Centro de administración de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Seleccione la unidad administrativa quiere cambiar a asignada.
Seleccione Propiedades.
En la lista Tipo de pertenencia, seleccione Asignado.
Seleccione Guardar para guardar el tipo de pertenencia.
Se muestra el mensaje siguiente:
Después de cambiar el tipo de unidad administrativa, la regla dinámica ya no se procesará. Los miembros actuales de la unidad administrativa permanecerán en la unidad administrativa, y la unidad administrativa tendrá asignada la pertenencia.
Seleccione Sí para continuar.
Cuando se cambia la configuración del tipo de pertenencia de dinámica a asignada, los miembros actuales permanecen intactos en la unidad administrativa. Además, está habilitada la capacidad de agregar grupos a la unidad administrativa.
PowerShell
Use el comando Update-MgDirectoryAdministrativeUnit para editar la regla de pertenencia dinámica.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Use la API de Update administrativeUnit para cambiar la configuración del tipo de pertenencia.
Request
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Cuerpo
{
"membershipType": "Assigned"
}