Administración de permisos mediante unidades administrativas en Microsoft Entra ID
Una unidad administrativa es un recurso de Microsoft Entra que puede ser un contenedor para otros recursos de Microsoft Entra. Una unidad administrativa solo puede contener usuarios, grupos o dispositivos.
Las unidades administrativas restringen los permisos de un rol a cualquier parte de la organización que defina. Por ejemplo, podría usar unidades administrativas para delegar el rol de administrador del departamento de soporte técnico a especialistas de soporte técnico regionales. Al hacerlo, pueden administrar usuarios solo en la región que admiten.
Escenario de implementación
Puede ser útil restringir el ámbito administrativo mediante el uso de unidades administrativas en organizaciones que se componen de divisiones independientes de cualquier tipo. Considere el ejemplo de una gran universidad formada por muchas escuelas autónomas (Escuela de Negocios, Escuela de Ingeniería, etc.). Cada centro educativo tiene un equipo de administradores de TI que controlan el acceso, administran los usuarios y establecen directivas para su escuela.
En este escenario, un administrador central podría:
- Crear una unidad administrativa para la Escuela de Negocios.
- Rellenar la unidad administrativa solo con los alumnos y el personal de la Escuela de Negocios.
- Cree un rol con permisos administrativos solo para usuarios de Microsoft Entra de la unidad administrativa de la Escuela de negocios.
- Agregue el equipo de TI de la escuela de negocios al rol, junto con su ámbito.
Requisitos de licencia
El uso de unidades administrativas requiere:
- Una licencia Microsoft Entra ID P1 para cada administrador de unidad administrativa.
- Una licencia gratuita Microsoft Entra ID para cada miembro de la unidad administrativa.
Si usa reglas de pertenencia dinámica para unidades administrativas, cada miembro de la unidad administrativa requiere una licencia Microsoft Entra ID P1.
Administrar unidades administrativas
Puede administrar unidades administrativas mediante el portal de Azure, los cmdlets y scripts de PowerShell o Microsoft Graph API.
Las unidades administrativas se pueden usar para agrupar lógicamente Microsoft Entra recursos. Considere los escenarios siguientes:
- El departamento de TI de una organización está repartido por todo el mundo. Por lo tanto, puede crear unidades administrativas que definan los límites geográficos pertinentes.
- Una organización global tiene suborganizaciones que son semiautónomas en sus operaciones. Por lo tanto, las unidades administrativas podrían representar las suborganizaciones.
Los criterios en los que se crean las unidades administrativas se guían por los requisitos únicos de una organización. Las unidades administrativas son una forma común de definir la estructura en los servicios de Microsoft 365. Al planear las unidades administrativas, debe tener en cuenta cómo se usan en los servicios de Microsoft 365. Puede obtener el valor máximo de las unidades administrativas cuando puede asociar recursos comunes en Microsoft 365 en una unidad administrativa.
Una organización puede esperar que sus unidades administrativas pasen por las siguientes fases:
- Adopción inicial. La organización comenzará a crear unidades administrativas en función de los criterios iniciales. El número de unidades administrativas aumentará a medida que se refinan los criterios.
- Poda. Una vez definidos los criterios, se eliminarán las unidades administrativas que ya no sean necesarias.
- Estabilización. Una vez definida la estructura organizativa, el número de unidades administrativas no cambiará significativamente a corto plazo.
Escenarios admitidos actualmente
Como administrador global o Administrador de roles con privilegios, puede usar el portal de Azure para:
- Cree unidades administrativas.
- Agregar usuarios, grupos o dispositivos como miembros de unidades administrativas.
- Administrar usuarios o dispositivos para una unidad administrativa con reglas de pertenencia dinámica.
- Asignar personal de TI a roles de administrador con ámbito de unidad administrativa.
Los administradores con ámbito de unidad administrativa pueden usar el Centro de administración de Microsoft 365 para la administración básica de usuarios en sus unidades administrativas. Un administrador de grupo con ámbito de unidad administrativa puede administrar grupos mediante PowerShell, Microsoft Graph y los centros de administración de Microsoft 365.
Las unidades administrativas solo aplican el ámbito a los permisos de administración. No impiden que los miembros o administradores usen sus permisos de usuario predeterminados para examinar otros usuarios, grupos o recursos fuera de la unidad administrativa. En el Centro de administración de Microsoft 365, los usuarios fuera de las unidades administrativas de un administrador con ámbito se filtran. Pero puede examinar otros usuarios en el portal de Azure, PowerShell y otros servicios Microsoft.
Nota:
Solo las características descritas en esta unidad están disponibles en el Centro de administración de Microsoft 365. No hay características de nivel de organización disponibles para un rol de Microsoft Entra con ámbito de unidad administrativa.
En las secciones siguientes se describe la compatibilidad actual con escenarios de unidades administrativas.
Administración de unidades administrativas
| Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft 365 | |
|---|---|---|---|
| Crear o eliminar unidades administrativas | X | X | |
| Agregar o quitar miembros individualmente | X | X | |
| Agregar o quitar miembros de forma masiva mediante archivos CSV | X | No hay ningún plan de soporte técnico | |
| Asignación de administradores con ámbito de unidad administrativa | X | X | |
| Agregar o quitar usuarios o dispositivos dinámicamente en función de las reglas (versión preliminar) | X | X | |
| Agregar o quitar grupos dinámicamente en función de las reglas |
Administración de usuarios
| Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft 365 | |
|---|---|---|---|
| Administración con ámbito de unidad administrativa de propiedades de usuario, contraseñas | X | X | X |
| Administración con ámbito de unidad administrativa de licencias de usuario | X | X | |
| Bloqueo y desbloqueo con ámbito de unidad administrativa de inicios de sesión de usuario | X | X | X |
| Administración con ámbito de unidad administrativa de credenciales de autenticación multifactor de usuario | X | X |
Administración de grupos
| Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft 365 | |
|---|---|---|---|
| Administración con ámbito de unidad administrativa de propiedades de grupo y pertenencia | X | X | |
| Administración con ámbito de unidad administrativa de licencias de grupo | X | X |
Nota:
Agregar un grupo a una unidad administrativa no concede a los administradores de grupos con ámbito la capacidad de administrar las propiedades de los miembros individuales de ese grupo. Por ejemplo, un administrador de grupo con ámbito puede administrar la pertenencia a grupos. Sin embargo, no puede administrar los métodos de autenticación de los usuarios que son miembros del grupo agregado a una unidad administrativa. Supongamos que quiere administrar los métodos de autenticación de los usuarios que son miembros del grupo que se agrega a una unidad administrativa. En este caso, los miembros individuales del grupo deben agregarse directamente como usuarios de la unidad administrativa. El administrador del grupo también debe tener asignado un rol que pueda administrar los métodos de autenticación de usuario.
Administración de dispositivos
| Permisos | Microsoft Graph/PowerShell | Centro de administración de Microsoft 365 | |
|---|---|---|---|
| Habilitar, deshabilitar o eliminar dispositivos | X | X | |
| Leer claves de recuperación de BitLocker | X | X |
Advertencia
En este momento no se admite la administración de dispositivos en Intune.
Restricciones
Las organizaciones deben tener en cuenta las siguientes restricciones al usar unidades administrativas para ayudar a administrar los niveles de permisos:
- Las unidades administrativas no se pueden anidar.
- Los administradores de cuentas de usuario con ámbito de unidad administrativa no pueden crear ni eliminar usuarios.
- Una asignación de roles con ámbito no se aplica a los miembros de grupos agregados a una unidad administrativa, a menos que los miembros del grupo se agreguen directamente a la unidad administrativa. Para obtener más información, vea Agregar miembros a una unidad administrativa.
- Las unidades administrativas no están disponibles actualmente en Gobierno de Microsoft Entra ID.