Asignación de roles de Microsoft Entra con el ámbito de la unidad administrativa
En Microsoft Entra identificador, para un control administrativo más pormenorizado, puede asignar un rol de Microsoft Entra con un ámbito limitado a una o varias unidades administrativas. Cuando se asigna un rol de Microsoft Entra en el ámbito de una unidad administrativa, los permisos de rol solo se aplican al administrar miembros de la propia unidad administrativa y no se aplican a las configuraciones o valores de todo el inquilino.
Por ejemplo, un administrador al que se le asigna el rol Administrador de grupos en el ámbito de una unidad administrativa puede administrar grupos que sean miembros de la unidad administrativa, pero no puede administrar otros grupos del inquilino. Tampoco puede administrar opciones de configuración del inquilino relacionadas con los grupos, como las directivas de expiración o nomenclatura de los grupos.
En este artículo, se explica cómo asignar roles de Microsoft Entra con el ámbito de unidad administrativa.
Requisitos previos
- Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
- Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
- Administrador global o administrador de roles con privilegios
- Módulo Microsoft Graph PowerShell al usar PowerShell
- Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Roles que se pueden asignar con un ámbito de unidad administrativa
Los siguientes roles de Microsoft Entra se pueden asignar con ámbito de unidad administrativa. Además, cualquier rol personalizado se podrá asignar con el ámbito de unidad administrativa siempre que los permisos del rol personalizado incluyan al menos un permiso relevante para usuarios, grupos o dispositivos.
| Rol | Descripción |
|---|---|
| Administrador de autenticación | Tiene acceso para ver, configurar y restablecer la información de los métodos de autenticación de cualquier usuario que no sea administrador solo en la unidad administrativa asignada. |
| Administrador de dispositivos en la nube | Acceso limitado para administrar dispositivos en Microsoft Entra id. |
| Administrador de grupos | Puede administrar todos los aspectos de los grupos de la unidad administrativa asignada únicamente. |
| Administrador del departamento de soporte técnico | Puede restablecer contraseñas de usuarios que no son administradores solo en la unidad administrativa asignada. |
| Administrador de licencias | Puede asignar, quitar y actualizar las asignaciones de licencia solo dentro de la unidad administrativa. |
| Administrador de contraseñas | Puede restablecer contraseñas de usuarios que no son administradores solo en la unidad administrativa asignada. |
| Administrador de impresoras | Puede administrar las impresoras y los conectores de impresora. Para obtener más información, vea Delegación de la administración de impresoras en Impresión universal. |
| Administrador de autenticación con privilegios | Puede ver, configurar y restablecer la información de los métodos de autenticación de cualquier usuario (administrador o no administrador). |
| Administrador de SharePoint | Puede administrar grupos de Microsoft 365 en la unidad administrativa asignada únicamente. Para los sitios de SharePoint asociados con grupos de Microsoft 365 en una unidad administrativa, también puede actualizar las propiedades del sitio (nombre, dirección URL y directiva de uso compartido externo) desde el Centro de administración de Microsoft 365. No se pueden usar el Centro de administración de SharePoint ni la API de SharePoint para administrar sitios. |
| Administrador de Teams | Puede administrar grupos de Microsoft 365 en la unidad administrativa asignada únicamente. Puede administrar miembros de equipos en el Centro de administración de Microsoft 365 para los equipos asociados con grupos de la unidad administrativa asignada únicamente. No se puede usar el Centro de administración de Teams. |
| Administrador de dispositivos de Teams | Puede realizar tareas relacionadas con la administración en dispositivos certificados para Teams. |
| Administrador de usuarios | Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados solo en la unidad administrativa asignada. Actualmente no se pueden administrar las fotografías de perfil de los usuarios. |
| <Rol personalizado> | Puede realizar acciones que se apliquen a usuarios, grupos o dispositivos, según la definición del rol personalizado. |
Determinados permisos de rol solo se aplican a los usuarios que no son administradores cuando se asignan con el ámbito de una unidad administrativa. En otras palabras, los Administradores del departamento de soporte técnico de la unidad administrativa con ámbito puede restablecer contraseñas para los usuarios de la unidad administrativa solo si esos usuarios no tienen roles de administrador. La siguiente lista de permisos está restringida cuando el destino de una acción es otro administrador:
- Leer y modificar métodos de autenticación de usuario o restablecer contraseñas de usuario
- Modificar propiedades confidenciales del usuario, como números de teléfono, direcciones de correo electrónico alternativas o claves secretas de autorización abierta (OAuth)
- Eliminación o restauración de cuentas de usuario
Entidades de seguridad que se pueden asignar con un ámbito de unidad administrativa
Las siguientes entidades de seguridad pueden asignarse a un rol con un ámbito de unidad administrativa:
- Usuarios
- Microsoft Entra grupos a los que se pueden asignar roles
- Entidades de servicio
Entidades de servicio y usuarios invitados
Las entidades de servicio y los usuarios invitados no podrán usar una asignación de roles con ámbito en una unidad administrativa a menos que también tengan asignados los permisos correspondientes para leer los objetos. Esto se debe a que las entidades de servicio y los usuarios invitados no reciben permisos de lectura de directorio de manera predeterminada, que son necesarios para realizar acciones administrativas. Para permitir que una entidad de servicio o un usuario invitado usen una asignación de roles cuyo ámbito sea una unidad administrativa, debe asignar el rol Lectores de directorio (u otro rol que incluya los permisos de lectura) en un ámbito de inquilino.
Actualmente, no es posible asignar permisos de lectura de directorio con el ámbito de una unidad administrativa. Para más información sobre los permisos predeterminados de los usuarios, consulte Permisos predeterminados de usuario.
Asignación de un rol con un ámbito de unidad administrativa
Puede asignar un rol de Microsoft Entra con un ámbito de unidad administrativa utilizando el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph.
Centro de administración de Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Seleccione la unidad administrativa y luego aquella a la que quiere asignar un ámbito de rol de usuario.
En el panel izquierdo, seleccione Roles y administradores para ver todos los roles disponibles.
Seleccione el rol que se va a asignar y luego Agregar asignaciones.
En el panel Agregar asignaciones, seleccione uno o más usuarios para asignar al rol.
Nota:
Para asignar un rol en una unidad administrativa mediante Microsoft Entra ID Privileged Identity Management (PIM), vea Asignación de roles de Microsoft Entra ID en PIM.
PowerShell
Use el comando New-MgRoleManagementDirectoryRoleAssignment y el parámetro DirectoryScopeId para asignar un rol con ámbito de unidad administrativa.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Use la API Add a scopedRoleMember para asignar un rol con ámbito de unidad administrativa.
Request
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Cuerpo
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Enumeración de asignaciones de roles con un ámbito de unidad administrativa
Puede ver una lista de las asignaciones de funciones de Microsoft Entra con alcance de unidad administrativa utilizando el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph.
Centro de administración de Microsoft Entra
Puede ver todas las asignaciones de roles creadas con un ámbito de unidad administrativa en la sección unidades de administración del centro de administración de Microsoft Entra.
Inicie sesión en el centro de administración de Microsoft Entra.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Seleccione la unidad administrativa de la lista de asignaciones de roles que desea ver.
Seleccione Roles y administradores y abra un rol para ver las asignaciones de la unidad administrativa.
PowerShell
Use el comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para enumerar las asignaciones de roles con ámbito de unidad administrativa.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
Use la API list scopedRoleMembers para enumerar las asignaciones de roles con ámbito de unidad administrativa.
Request
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Cuerpo
{}