Crear unidades administrativas
A medida que diseña la estrategia para la administración de identidades y la gobernanza en Azure, es fundamental planificar la administración completa de la infraestructura de Microsoft Entra. Puede ser útil restringir el ámbito administrativo mediante unidades administrativas para su organización. La división de roles y responsabilidades es especialmente útil para las organizaciones que tienen muchas divisiones independientes.
Pensemos en las tareas de administración de una universidad grande compuesta por varias escuelas diferentes, por ejemplo, de Negocios, Ingeniería y Medicina. La universidad cuenta con oficinas administrativas, edificios académicos, edificios sociales y dormitorios estudiantiles. Con fines de seguridad, cada oficina de negocios tiene su propia red interna para recursos como servidores, impresoras y máquinas de fax. Todos los edificios académicos están conectados a la red universitaria, para que tanto instructores como alumnos puedan acceder a sus cuentas. La red también está disponible para estudiantes y decanos en las habitaciones compartidas y los edificios sociales. En toda la universidad, los usuarios invitados necesitan acceso a Internet a través de la red universitaria.
La universidad tiene un equipo de administradores de TI que trabajan juntos para controlar el acceso a los recursos, administrar usuarios y establecer directivas para la escuela. Algunos administradores tienen privilegios mayores que otros en función del ámbito de sus responsabilidades. Se necesita una autoridad central para planificar, administrar y supervisar la estructura completa. En este escenario, puede asignar unidades administrativas para facilitar la administración de la organización.
Aspectos que hay que tener en cuenta en las unidades administrativas
Veamos cómo un rol de administrador central puede usar unidades administrativas para dar soporte al departamento de Ingeniería en nuestro escenario:
Cree un rol que tenga permisos administrativos solo para los usuarios de Microsoft Entra en la unidad administrativa del departamento de Ingeniería.
Cree una unidad administrativa para el departamento de Ingeniería.
Rellene la unidad administrativa solo con los alumnos, el personal y los recursos del departamento de Ingeniería.
Agregue el equipo de TI del departamento de Ingeniería al rol, junto con su ámbito.
Aspectos que se deben tener en cuenta al trabajar con unidades administrativas
Piense en cómo puede implementar unidades administrativas en su organización. A continuación, se indican algunas consideraciones:
Considere la posibilidad de usar herramientas de administración. Revise las opciones para administrar las unidades administrativas. Puede usar Azure Portal, cmdlets y scripts de PowerShell o Microsoft Graph.
Considere los requisitos de rol de Azure Portal. Planifique su estrategia para unidades administrativas según los privilegios de rol. En Azure Portal, solo los usuarios con el rol Administrador global o Administrador de roles con privilegios pueden administrar las unidades administrativas.
Considere el ámbito de las unidades administrativas. Tenga en cuenta que el ámbito de una unidad administrativa solo se aplica a los permisos de administración. Los miembros y administradores de una unidad administrativa pueden ejercer sus permisos de usuario predeterminados para examinar otros usuarios, grupos o recursos fuera de su unidad administrativa.