Unidades administrativas en Microsoft Entra ID
En este artículo se describen las unidades administrativas en Microsoft Entra ID. Una unidad administrativa es un recurso de Microsoft Entra que puede ser un contenedor para otros recursos de Microsoft Entra. Una unidad administrativa solo puede contener usuarios, grupos o dispositivos.
Las unidades administrativas restringen los permisos de un rol a cualquier parte de la organización que defina. Por ejemplo, podría usar unidades administrativas para delegar el rol Administrador del departamento de soporte técnico a los especialistas de soporte técnico regionales, para que solo puedan administrar los usuarios de la región en cuestión. Ten en cuenta que si asignas un rol a un usuario que no es miembro de una unidad administrativa, el ámbito del rol es todo el inquilino.
Los usuarios pueden ser miembros de varias unidades administrativas. Por ejemplo, se podrían agregar usuarios a unidades administrativas según la geografía y la división; así, Megan Bowen podría estar en las unidades administrativas "Seattle" y "Marketing".
Escenario de implementación
Puede resultar útil para restringir el ámbito administrativo mediante el uso de unidades administrativas en organizaciones compuestas de divisiones independientes de cualquier tipo. Considera el ejemplo de una universidad grande que se compone de muchas escuelas autónomas (Escuela de negocios, Escuela de ingeniería, etc.). Cada escuela tiene un equipo de administradores de TI que controlan el acceso, administran los usuarios y establecen directivas para su escuela.
Un administrador central podría:
- Crear una unidad administrativa para la Escuela de negocios.
- Rellenar la unidad administrativa solo con los alumnos y el personal de la Escuela de Negocios.
- Crear un rol con permisos administrativos solo sobre los usuarios de Microsoft Entra en la unidad administrativa de Escuela de negocios.
- Agregar el equipo de TI de la escuela de negocios al rol, junto con su ámbito.
Restricciones
Estas son algunas de las restricciones de las unidades administrativas.
- Las unidades administrativas no se pueden anidar.
- Las unidades administrativas no están disponibles actualmente en Gobierno de Microsoft Entra ID.
Grupos
Agregar un grupo a una unidad administrativa lleva el propio grupo al ámbito de administración de la unidad administrativa, pero no a los miembros del grupo. En otras palabras, un administrador con ámbito de la unidad administrativa puede administrar las propiedades del grupo, como el nombre del grupo o la pertenencia, pero no pueden administrar las propiedades de los usuarios o dispositivos dentro de ese grupo (a menos que esos usuarios y dispositivos se agreguen por separado como miembros de la unidad administrativa).
Por ejemplo, un administrador de usuarios con ámbito en una unidad administrativa que contiene un grupo puede y no puede hacer lo siguiente:
Permisos | Puede hacer |
---|---|
Administrar el nombre del grupo | ✅ |
Administrar la pertenencia del grupo | ✅ |
Administrar las propiedades de usuario para miembros individuales del grupo | ❌ |
Administrar los métodos de autenticación de usuario para miembros individuales del grupo | ❌ |
Restablecer las contraseñas de miembros individuales del grupo | ❌ |
Para que el administrador de usuarios administre las propiedades de usuario o los métodos de autenticación de usuario de miembros individuales del grupo, los miembros del grupo (usuarios) se deben agregar directamente como miembros de la unidad administrativa.
Requisitos de licencia
El uso de unidades administrativas requiere una licencia de Microsoft Entra ID P1 para cada administrador de la unidad administrativa que tenga asignados roles de directorio en el ámbito de la unidad administrativa, y una licencia de Microsoft Entra ID gratuita para cada miembro de las unidades administrativas. La creación de unidades administrativas está disponible con una licencia de Microsoft Entra ID gratuita. Si usas reglas de grupos de pertenencia dinámica para las unidades administrativas, cada miembro de la unidad administrativa requiere una licencia de Microsoft Entra ID P1. Para obtener la licencia correcta para sus requisitos, consulta Comparación de las características con disponibilidad general de las ediciones Gratis y Premium.
Administrar unidades administrativas
Puedes administrar unidades administrativas mediante el Centro de administración Microsoft Entra, los cmdlets y scripts de PowerShell o la API de Microsoft Graph API. Para obtener más información, consulta:
- Creación o eliminación de unidades administrativas
- Agregar usuarios, grupos o dispositivos a una unidad administrativa
- Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica (versión preliminar)
- Asignación de roles de Microsoft Entra con el ámbito de la unidad administrativa
- Trabajo con unidades administrativas: se describe cómo trabajar con unidades administrativas mediante PowerShell.
- Soporte de Graph en unidades administrativas: proporciona documentación detallada sobre Microsoft Graph para unidades administrativas.
Planeamiento de las unidades administrativas
Puede usar unidades administrativas para agrupar recursos de Microsoft Entra de manera lógica. Una organización cuyo departamento de TI está disperso a nivel global podría crear unidades administrativas que definan los límites geográficos pertinentes. En otro escenario, en el que una organización multinacional tiene distintas suborganizaciones que son semiautónomas en las operaciones, las unidades administrativas pueden representar a cada suborganización.
Los requisitos únicos de una organización guían los criterios según los cuales se crean las unidades administrativas. Las unidades administrativas son una forma habitual de definir la estructura en todos los servicios de Microsoft 365. Se recomienda que prepare las unidades administrativas teniendo en mente su uso en los servicios de Microsoft 365. Puede aprovechar al máximo las unidades administrativas cuando puede asociar recursos comunes en Microsoft 365 bajo una unidad administrativa.
Puede esperar que la creación de las unidades administrativas en la organización pase por las fases siguientes:
- Adopción inicial: la organización empezará a crear unidades administrativas en función de los criterios iniciales y el número de unidades administrativas aumentará a medida que se perfeccionan los criterios.
- Eliminación: una vez que los criterios están definidos, se eliminarán las unidades administrativas que ya no se requieran.
- Estabilización: la estructura de la organización está definida y el número de unidades administrativas no va a cambiar significativamente a corto plazo.
Escenarios admitidos actualmente
Como administrador de roles con privilegios, puede usar el Centro de administración de Microsoft Entra para:
- Crear unidades administrativas
- Agregar usuarios, grupos o dispositivos como miembros de unidades administrativas
- Administración de usuarios o dispositivos de una unidad administrativa con reglas de grupos de pertenencia dinámica (versión preliminar)
- Asignar personal de TI a roles de administrador con ámbito de unidad administrativa.
Los administradores con ámbito de unidad administrativa pueden usar el Centro de administración de Microsoft 365 para la administración básica de usuarios en sus unidades administrativas. Un administrador de grupo con ámbito de unidad administrativa puede administrar grupos mediante PowerShell, Microsoft Graph y los centros de administración de Microsoft 365.
Las unidades administrativas solo aplican el ámbito a los permisos de administración. No impiden que los miembros o los administradores usen sus permisos de usuario predeterminados para examinar otros usuarios, grupos o recursos fuera de la unidad administrativa. En el centro de administración de Microsoft 365, se filtran los usuarios que están fuera de las unidades administrativas de un administrador con ámbito. Sin embargo, puede examinar otros usuarios en el centro de administración Microsoft Entra, PowerShell y otros servicios de Microsoft.
Nota:
Solo están disponibles en el centro de administración de Microsoft 365 las características descritas en esta sección. No hay características de nivel de organización disponibles para un rol de Microsoft Entra con ámbito de unidad administrativa.
En las secciones siguientes se describe la compatibilidad actual con escenarios de unidades administrativas.
Administración de unidades administrativas
Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft Entra | Centro de administración de Microsoft 365 |
---|---|---|---|
Crear o eliminar unidades administrativas | ✅ | ✅ | ✅ |
Adición o eliminación de miembros | ✅ | ✅ | ✅ |
Asignación de administradores con ámbito de unidad administrativa | ✅ | ✅ | ✅ |
Agregar o quitar usuarios o dispositivos dinámicamente en función de las reglas (versión preliminar) | ✅ | ✅ | ❌ |
Agregar o quitar grupos dinámicamente en función de las reglas | ❌ | ❌ | ❌ |
Administración de usuarios
Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft Entra | Centro de administración de Microsoft 365 |
---|---|---|---|
Administración con ámbito de unidad administrativa de propiedades de usuario, contraseñas | ✅ | ✅ | ✅ |
Administración con ámbito de unidad administrativa de licencias de usuario | ✅ | ✅ | ✅ |
Bloqueo y desbloqueo con ámbito de unidad administrativa de inicios de sesión de usuario | ✅ | ✅ | ✅ |
Administración con ámbito de unidad administrativa de las credenciales de autenticación multifactor del usuario | ✅ | ✅ | ❌ |
Administración de grupos
Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft Entra | Centro de administración de Microsoft 365 |
---|---|---|---|
Creación y eliminación de grupos con ámbito de unidad administrativa | ✅ | ✅ | ✅ |
Administración con ámbito de unidad administrativa de propiedades del grupo y pertenencia a grupos de Microsoft 365 | ✅ | ✅ | ✅ |
Administración con ámbito de unidad administrativa de propiedades del grupo y pertenencia a todos los demás grupos | ✅ | ✅ | ❌ |
Administración con ámbito de unidad administrativa de licencias de grupo | ✅ | ✅ | ❌ |
Administración de dispositivos
Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft Entra | Centro de administración de Microsoft 365 |
---|---|---|---|
Habilitar, deshabilitar o eliminar dispositivos | ✅ | ✅ | ❌ |
Leer claves de recuperación de BitLocker | ✅ | ✅ | ❌ |
En este momento no se admite la administración de dispositivos en Intune.