Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica
Puedes agregar o quitar usuarios o dispositivos de unidades administrativas manualmente. Con los grupos de pertenencia dinámica, puede agregar o quitar usuarios o dispositivos para unidades administrativas dinámicamente mediante reglas. En este artículo, se describe cómo crear unidades administrativas con reglas de grupos de pertenencia dinámica mediante el centro de administración Microsoft Entra, PowerShell o la API de Microsoft Graph.
Nota:
Las reglas de pertenencia dinámica para unidades administrativas se pueden crear con los mismos atributos disponibles para grupos de pertenencia dinámica. Para obtener más información sobre los atributos específicos disponibles y ejemplos sobre cómo usarlos, consulta Administración de reglas de grupos de pertenencia dinámica en Microsoft Entra ID.
Aunque las unidades administrativas con miembros asignados manualmente admiten varios tipos de objetos, como usuario, grupo y dispositivos, actualmente no es posible crear una unidad administrativa con reglas de grupos de pertenencia dinámica que incluyan más de un tipo de objeto. Por ejemplo, puedes crear unidades administrativas con reglas de grupos de pertenencia dinámica para usuarios o dispositivos, pero no ambas. Actualmente no se admiten las unidades administrativas con reglas de grupos de pertenencia dinámica para grupos.
Requisitos previos
- Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
- Licencia Microsoft Entra ID P1 o P2 para cada miembro de unidad administrativa
- Administrador de roles con privilegios
- Módulo Microsoft Graph PowerShell SDK instalado al utilizar PowerShell
- Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
- La nube Azure global (no disponible en nubes especializadas, como Azure Government o Microsoft Azure operated by 21Vianet)
Nota:
Las reglas de pertenencia dinámica para las unidades administrativas requieren una licencia de Microsoft Entra ID P1 para cada usuario único que sea miembro de una o varias unidades administrativas dinámicas. Aunque no es necesario asignar licencias a los usuarios para que sean miembros de las unidades administrativas dinámicas, es preciso tener el número mínimo de licencias en la organización de Microsoft Entra para abarcarlos a todos. Por ejemplo, si tienes un total de 1000 usuarios únicos en todas las unidades administrativas dinámicas de la organización, necesitarás al menos 1000 licencias de Microsoft Entra ID P1 para cumplir el requisito de licencia. No es necesaria ninguna licencia para los dispositivos que son miembros de una unidad administrativa de un grupo de pertenencia dinámica para dispositivos.
Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.
Adición de reglas de grupos de pertenencia dinámica
Sigue estos pasos para crear unidades administrativas con reglas de grupos de pertenencia dinámica para usuarios o dispositivos.
Centro de administración Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Selecciona la unidad administrativa a la que quieres agregar usuarios o dispositivos.
Selecciona Propiedades.
En la lista Tipo de pertenencia, selecciona Usuario dinámico o Dispositivo dinámico, en función del tipo de regla que quieras agregar.
Selecciona Agregar una consulta dinámica.
Usa el generador de reglas para especificar la regla para grupos pertenencia dinámica. Para obtener más información, consulta Generador de reglas en Azure Portal.
Cuando termines, selecciona Guardar para guardar la regla para grupos de pertenencia dinámica.
En la página Propiedades, selecciona Guardar para guardar el tipo de pertenencia y la consulta.
Se muestra el mensaje siguiente:
Después de cambiar el tipo de unidad administrativa, la pertenencia existente podría cambiar en función de la regla para grupos de pertenencia dinámica que proporciones.
Selecciona Sí para continuar.
Para ver los pasos para editar la regla, consulta la siguiente sección Edición de reglas de grupos de pertenencia dinámica.
PowerShell
Crea una regla para grupos de pertenencia dinámica. Para obtener más información, consulta Reglas de grupos de pertenencia dinámica de Microsoft Entra ID.
Usa el comando Connect-MgGraph para conectarte con Microsoft Entra ID con un usuario al que se haya asignado el rol Administrador de roles con privilegios.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Usa el comando New-MgDirectoryAdministrativeUnit para crear una nueva unidad administrativa con una regla para grupos de pertenencia dinámica mediante los parámetros siguientes:
MembershipType
:Dynamic
oAssigned
MembershipRule
: regla de pertenencia dinámica que creó en un paso anteriorMembershipRuleProcessingState
:On
oPaused
.
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Crea una regla para grupos de pertenencia dinámica. Para obtener más información, consulta Reglas de pertenencia dinámica a grupos de Microsoft Entra ID.
Usa la API Create administrativeUnit para crear una nueva unidad administrativa con una regla para grupos de pertenencia dinámica.
A continuación se muestra un ejemplo de una regla para grupos de pertenencia dinámica que se aplica a los dispositivos Windows.
Solicitar
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Body
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Edición de reglas de grupos de pertenencia dinámica
Cuando se haya configurado una unidad administrativa para grupos de pertenencia dinámica, se deshabilitan los comandos habituales para agregar o quitar miembros de la unidad administrativa, ya que el motor de los grupos de pertenencia dinámica conserva la única propiedad de agregar o quitar miembros. Para realizar cambios en la pertenencia, puedes editar las reglas de grupos de pertenencia dinámica.
Centro de administración Microsoft Entra
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa que tenga las reglas de grupos de pertenencia dinámica que quieres editar.
Selecciona Reglas de pertenencia para editar las reglas de grupos de pertenencia dinámica mediante el generador de reglas.
También puedes abrir el generador de reglas seleccionando Reglas de pertenencia dinámica en el panel de navegación izquierdo.
Cuando termines, selecciona Guardar para guardar los cambios de la regla para grupos de pertenencia dinámica.
PowerShell
Usa el comando Update-MgDirectoryAdministrativeUnit para editar la regla para grupos de pertenencia dinámica.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Usa la API de Update administrativeUnit para editar la regla para grupos de pertenencia dinámica.
Solicitar
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Cuerpo
{
"membershipRule": "(user.country -eq "Germany")"
}
Cambio de una unidad administrativa dinámica a asignada
Sigue estos pasos para cambiar una unidad administrativa con reglas de grupos de pertenencia dinámica a una unidad administrativa en la que los miembros se asignan manualmente.
Centro de administración Microsoft Entra
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa que quieres cambiar a asignada.
Selecciona Propiedades.
En la lista Tipo de pertenencia, selecciona Asignado.
Selecciona Guardar para guardar el tipo de pertenencia.
Se muestra el mensaje siguiente:
Después de cambiar el tipo de unidad administrativa, la regla dinámica ya no se procesará. Los miembros actuales de la unidad administrativa permanecerán en la unidad administrativa, y la unidad administrativa tendrá asignada la pertenencia.
Selecciona Sí para continuar.
Cuando se cambia la configuración del tipo de pertenencia de dinámica a asignada, los miembros actuales permanecen intactos en la unidad administrativa. Además, está habilitada la capacidad de agregar grupos a la unidad administrativa.
PowerShell
Usa el comando Update-MgDirectoryAdministrativeUnit para editar la regla para grupos de pertenencia dinámica.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Usa la API de Update administrativeUnit para cambiar la configuración del tipo de pertenencia.
Request
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Cuerpo
{
"membershipType": "Assigned"
}