Compartir vía


Creación o eliminación de unidades administrativas

Importante

Las unidades administrativas de administración restringida se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte los Términos del producto para ver los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Las unidades administrativas permiten subdividir la organización en cualquier unidad que desee y, a continuación, asignar administradores específicos que solo puedan administrar miembros de esa unidad. Por ejemplo, las unidades administrativas se pueden usar para delegar permisos a los administradores de cada facultad de una universidad grande, con el fin de puedan controlar el acceso, administrar los usuarios y establecer directivas solo en la facultad de ingeniería.

Este artículo describe cómo crear o eliminar unidades administrativas para restringir el alcance de los permisos de función en Microsoft Entra ID.

Requisitos previos

  • Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
  • Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
  • Rol de Administrador de roles con privilegios
  • Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
  • Módulo de PowerShell de Azure AD al usar PowerShell
  • El módulo AzureADPreview al usar PowerShell y las unidades administrativas de administración restringidas
  • Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Creación de una unidad administrativa

Puede crear una unidad administrativa nueva mediante el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph.

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Unidades administrativas.

    Captura de pantalla de la página Unidades administrativas.

  3. Seleccione Agregar.

  4. En el cuadro Nombre, escriba el nombre de la unidad administrativa. Si quiere, agregue una descripción de la unidad administrativa.

  5. Si no desea que los administradores de nivel de inquilino puedan acceder a esta unidad administrativa, establezca el botón de alternancia Unidad administrativa de administración restringida en . Para obtener más información, consulte Unidades administrativas de administración restringida.

    Captura de pantalla en la que se muestra la página Agregar unidad administrativa y el cuadro Nombre para escribir el nombre de la unidad administrativa.

  6. Opcionalmente, en la pestaña Asignar roles, seleccione un rol y, a continuación, seleccione los usuarios a los que asignar el rol con este ámbito de unidad administrativa.

    Captura de pantalla en la que se muestra el panel Agregar asignaciones para agregar asignaciones de roles con este ámbito de unidad administrativa.

  7. En la pestaña Revisar y crear, revise la unidad administrativa y todas las asignaciones de roles.

  8. Seleccione el botón Crear.

PowerShell

Use el comando Connect-MgGraph para iniciar sesión en el inquilino y dar su consentimiento a los permisos necesarios.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Use el comando New-MgDirectoryAdministrativeUnit para crear una unidad administrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Use el comando New-MgBetaDirectoryAdministrativeUnit para crear una nueva unidad administrativa de administración restringida. Establezca la propiedad IsMemberManagementRestricted en $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

Use Create administrativeUnit API para crear una unidad administrativa.

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Cuerpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Use la API Create administrativeUnit (beta) para crear una nueva unidad administrativa de administración restringida. Establezca la propiedad isMemberManagementRestricted en true.

Request

POST https://graph.microsoft.com/beta/administrativeUnits

Cuerpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Eliminación de una unidad administrativa

En Microsoft Entra ID, puede eliminar una unidad administrativa que ya no necesita como unidad de alcance para funciones administrativas. Antes de eliminar la unidad administrativa, debe quitar todas las asignaciones de roles con ese ámbito de unidad administrativa.

Centro de administración de Microsoft Entra

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Unidades administrativas.

  3. Seleccione la unidad administrativa que desea eliminar.

  4. Seleccione Roles y administradores y abra un rol para ver las asignaciones de roles.

  5. Quite todas las asignaciones de roles con el ámbito de unidad administrativa.

  6. Vaya a Identidad>Roles y administradores>Unidades administrativas.

  7. Agregue una marca de verificación junto a la unidad administrativa que desea eliminar.

  8. Seleccione Eliminar.

    Captura de pantalla del botón Eliminar de la unidad administrativa y de la ventana de confirmación

  9. Para confirmar que quiere eliminar la unidad administrativa, seleccione .

PowerShell

Use el comando Remove-MgDirectoryAdministrativeUnit para eliminar una unidad administrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Microsoft Graph API

Use Delete administrativeUnit API para eliminar una unidad administrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Pasos siguientes