Adición de usuarios, grupos o dispositivos a una unidad administrativa

En Microsoft Entra ID, usted puede agregar usuarios, grupos o dispositivos a una unidad administrativa para limitar el alcance de los permisos de rol. Al agregar un grupo a una unidad administrativa, el propio grupo entra en el ámbito de administración de la unidad administrativa, pero no a los miembros del grupo. Para obtener más información sobre lo que pueden hacer los administradores con ámbito, consulte Unidades administrativas en Microsoft Entra ID.

En este artículo se describe cómo agregar manualmente usuarios, grupos o dispositivos a unidades administrativas. Para obtener información sobre cómo agregar usuarios o dispositivos a unidades administrativas dinámicamente mediante reglas, consulte Administración de usuarios o dispositivos para una unidad administrativa con reglas para grupos de pertenencia dinámica.

Requisitos previos

• Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
• Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
• Para agregar usuarios, grupos o dispositivos existentes:
  • Administrador de roles con privilegios
• Para crear nuevos grupos:
  • Administrador de grupos (con ámbito en la unidad administrativa o en todo el directorio)
• Módulo Microsoft Graph PowerShell al usar PowerShell
• Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Centro de administración

Puede agregar usuarios, grupos o dispositivos en unidades administrativas mediante el centro de administración de Microsoft Entra. También puede agregar usuarios en una operación masiva o crear un nuevo grupo en una unidad administrativa.

Adición de un único usuario, grupo o dispositivo a unidades administrativas

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Entra ID.

3. Vaya a una de las opciones siguientes:

   • Usuarios>Todos los usuarios
   • Grupos>Todos los grupos
   • Dispositivos>Todos los dispositivos

4. Seleccione el usuario, grupo o dispositivo que quiere agregar a las unidades administrativas.

5. Seleccione Unidades administrativas.

6. Seleccione Asignar a la unidad administrativa.

7. En el panel Seleccionar , seleccione las unidades administrativas y, a continuación, seleccione Seleccionar.

   

Adición de usuarios, grupos o dispositivos a una única unidad administrativa

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Entra ID>Roles y administradores>Unidades de administración.

3. Seleccione la unidad administrativa a la que quiere agregar usuarios, grupos o dispositivos.

4. Seleccione una de las siguientes opciones:

   • Usuarios
   • Grupos
   • Dispositivos

5. Seleccione Agregar miembro, Agregar o Agregar dispositivo.

6. En el panel Seleccionar , seleccione los usuarios, grupos o dispositivos que desea agregar a la unidad administrativa y, a continuación, seleccione Seleccionar.

   

Agregar usuarios de una unidad administrativa en una operación masiva

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Entra ID>Roles y administradores>Unidades de administración.

3. Seleccione la unidad administrativa a la que quiere agregar usuarios.

4. Seleccione Usuarios>Operaciones masivas>Adición masiva de miembros.

   

5. En el panel Agregar miembros masivamente, descargue la plantilla de los valores separados por comas (CSV).

6. Edite la plantilla CSV descargada con la lista de usuarios que desea agregar.

   Agregue un nombre principal de usuario (UPN) en cada fila. No quite las dos primeras filas de la plantilla.

7. Guarde los cambios y cargue el archivo CSV.

   

8. Seleccione Enviar.

Creación de un nuevo grupo en una unidad administrativa

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de grupos.

2. Vaya a Entra ID>Roles y administradores>Unidades de administración.

3. Seleccione la unidad administrativa en la que quiere crear un nuevo grupo.

4. Seleccione Grupos.

5. Seleccione Nuevo grupo y complete los pasos para crear un nuevo grupo.

   

PowerShell

Use el comando New-MgDirectoryAdministrativeUnitMemberByRef para agregar usuarios, grupos o dispositivos a una unidad administrativa o crear un nuevo grupo en una unidad administrativa.

Adición de usuarios a una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Adición de grupos a una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Adición de dispositivos a una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Creación de un nuevo grupo en una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

API de Graph

Use la API Agregar un miembro para agregar usuarios, grupos o dispositivos a una unidad administrativa o crear un nuevo grupo en una unidad administrativa.

Adición de usuarios a una unidad administrativa

Solicitud

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Cuerpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Ejemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Adición de grupos a una unidad administrativa

Solicitud

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Cuerpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Ejemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Adición de dispositivos a una unidad administrativa

Solicitud

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Cuerpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Creación de un nuevo grupo en una unidad administrativa

Solicitud

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Cuerpo

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Pasos siguientes

• Unidades administrativas en el identificador de Entra de Microsoft
• Asignación de roles de Microsoft Entra con el ámbito de la unidad administrativa
• Administración de usuarios o dispositivos para una unidad administrativa con reglas para grupos de pertenencia dinámica
• Quitar usuarios, grupos o dispositivos de una unidad administrativa