Creación o eliminación de unidades administrativas
Importante
Las unidades administrativas de administración restringida se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte los Términos del producto para ver los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Las unidades administrativas permiten subdividir la organización en cualquier unidad que desee y, a continuación, asignar administradores específicos que solo puedan administrar miembros de esa unidad. Por ejemplo, las unidades administrativas se pueden usar para delegar permisos a los administradores de cada facultad de una universidad grande, con el fin de puedan controlar el acceso, administrar los usuarios y establecer directivas solo en la facultad de ingeniería.
Este artículo describe cómo crear o eliminar unidades administrativas para restringir el alcance de los permisos de función en Microsoft Entra ID.
Requisitos previos
- Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
- Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
- Rol de Administrador de roles con privilegios
- Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
- Módulo de PowerShell de Azure AD al usar PowerShell
- El módulo AzureADPreview al usar PowerShell y las unidades administrativas de administración restringidas
- Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Creación de una unidad administrativa
Puede crear una unidad administrativa nueva mediante el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph.
Centro de administración de Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Seleccione Agregar.
En el cuadro Nombre, escriba el nombre de la unidad administrativa. Si quiere, agregue una descripción de la unidad administrativa.
Si no desea que los administradores de nivel de inquilino puedan acceder a esta unidad administrativa, establezca el botón de alternancia Unidad administrativa de administración restringida en Sí. Para obtener más información, consulte Unidades administrativas de administración restringida.
Opcionalmente, en la pestaña Asignar roles, seleccione un rol y, a continuación, seleccione los usuarios a los que asignar el rol con este ámbito de unidad administrativa.
En la pestaña Revisar y crear, revise la unidad administrativa y todas las asignaciones de roles.
Seleccione el botón Crear.
PowerShell
Use el comando Connect-MgGraph para iniciar sesión en el inquilino y dar su consentimiento a los permisos necesarios.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Use el comando New-MgDirectoryAdministrativeUnit para crear una unidad administrativa.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Use el comando New-MgBetaDirectoryAdministrativeUnit para crear una nueva unidad administrativa de administración restringida. Establezca la propiedad IsMemberManagementRestricted en $true.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Use Create administrativeUnit API para crear una unidad administrativa.
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Cuerpo
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Use la API Create administrativeUnit (beta) para crear una nueva unidad administrativa de administración restringida. Establezca la propiedad isMemberManagementRestricted en true.
Request
POST https://graph.microsoft.com/beta/administrativeUnits
Cuerpo
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Eliminación de una unidad administrativa
En Microsoft Entra ID, puede eliminar una unidad administrativa que ya no necesita como unidad de alcance para funciones administrativas. Antes de eliminar la unidad administrativa, debe quitar todas las asignaciones de roles con ese ámbito de unidad administrativa.
Centro de administración de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Seleccione la unidad administrativa que desea eliminar.
Seleccione Roles y administradores y abra un rol para ver las asignaciones de roles.
Quite todas las asignaciones de roles con el ámbito de unidad administrativa.
Vaya a Identidad>Roles y administradores>Unidades administrativas.
Agregue una marca de verificación junto a la unidad administrativa que desea eliminar.
Seleccione Eliminar.
Para confirmar que quiere eliminar la unidad administrativa, seleccione Sí.
PowerShell
Use el comando Remove-MgDirectoryAdministrativeUnit para eliminar una unidad administrativa.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
Use Delete administrativeUnit API para eliminar una unidad administrativa.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}