Adición de usuarios, grupos o dispositivos a una unidad administrativa
En Microsoft Entra ID, puedes agregar usuarios, grupos o dispositivos a una unidad administrativa para limitar el ámbito de los permisos de rol. Agregar un grupo a una unidad administrativa lleva el propio grupo al ámbito de administración de la unidad administrativa, pero no a los miembros del grupo. Para obtener más información sobre lo que pueden hacer los administradores de ámbito, consulta Unidades Administrativas en Microsoft Entra ID.
En este artículo se describe cómo agregar manualmente usuarios, grupos o dispositivos a unidades administrativas. Para obtener información sobre cómo agregar usuarios o dispositivos a unidades administrativas dinámicamente mediante reglas, consulta Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica.
Requisitos previos
- Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
- Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
- Para agregar usuarios, grupos o dispositivos existentes:
- Administrador de roles con privilegios
- Para crear nuevos grupos:
- Administrador de grupos (con ámbito en la unidad administrativa o en todo el directorio)
- PowerShell de Microsoft Graph
- Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.
Centro de administración Microsoft Entra
Puedes agregar usuarios, grupos o dispositivos en unidades administrativas mediante el centro de administración Microsoft Entra. También puedes agregar usuarios en una operación masiva o crear un nuevo grupo en una unidad administrativa.
Adición de un único usuario, grupo o dispositivo a unidades administrativas
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad.
Ve a una de las opciones siguientes:
- Usuarios>Todos los usuarios
- Grupos>Todos los grupos
- Dispositivos>Todos los dispositivos
Selecciona el usuario, grupo o dispositivo que quieres agregar a las unidades administrativas.
Selecciona Unidades administrativas.
Selecciona Asignar a la unidad administrativa.
En el panel Seleccionar, selecciona Unidades administrativas y, después, Seleccionar.
Adición de usuarios, grupos o dispositivos a una única unidad administrativa
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa a la que quieres agregar usuarios, grupos o dispositivos.
Selecciona uno de los siguientes:
- Usuarios
- Grupos
- Dispositivos
Selecciona Agregar miembro, Agregar o Agregar dispositivo.
En el panel Seleccionar, selecciona los usuarios, grupos o dispositivos que quieres agregar a la unidad administrativa y, después, elige Seleccionar.
Agregar usuarios de una unidad administrativa en una operación masiva
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa a la que quieres agregar usuarios.
Selecciona Usuarios>Operaciones masivas>Adición masiva de miembros.
En el panel Adición masiva de miembros, descarga la plantilla de valores separados por coma (CSV).
Edita la plantilla CSV descargada con la lista de usuarios que deseas agregar.
Agrega un nombre principal de usuario (UPN) en cada fila. No quites las dos primeras filas de la plantilla.
Guarda los cambios y carga el archivo CSV.
Selecciona Enviar.
Creación de un nuevo grupo en una unidad administrativa
Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa en la que quieres crear un nuevo grupo.
Selecciona Grupos.
Selecciona Nuevo grupo y completa los pasos para crear un nuevo grupo.
PowerShell
Usa el comando New-MgDirectoryAdministrativeUnitMemberByRef para agregar usuarios, grupos o dispositivos a una unidad administrativa o para crear un grupo en una unidad administrativa.
Adición de usuarios a una unidad administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Adición de grupos a una unidad administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Adición de dispositivos a una unidad administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Creación de un nuevo grupo en una unidad administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
Microsoft Graph API
Usa la API Agregar un miembro para agregar usuarios, grupos o dispositivos a una unidad administrativa o crear un nuevo grupo en una unidad administrativa.
Adición de usuarios a una unidad administrativa
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Cuerpo
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
Ejemplo
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
Adición de grupos a una unidad administrativa
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Cuerpo
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
Ejemplo
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
Adición de dispositivos a una unidad administrativa
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Body
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
Creación de un nuevo grupo en una unidad administrativa
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
Cuerpo
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}
Pasos siguientes
- Unidades administrativas en Microsoft Entra ID
- Asignación de roles de Microsoft Entra con el ámbito de la unidad administrativa
- Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica
- Eliminación de usuarios, grupos o dispositivos de una unidad administrativa