Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica
Puedes agregar o quitar usuarios o dispositivos de unidades administrativas manualmente. Con los grupos de pertenencia dinámica, puede agregar o quitar usuarios o dispositivos para unidades administrativas dinámicamente mediante reglas. En este artículo, se describe cómo crear unidades administrativas con reglas de grupos de pertenencia dinámica mediante el centro de administración Microsoft Entra, PowerShell o la API de Microsoft Graph.
Nota:
Las reglas de pertenencia dinámica para unidades administrativas se pueden crear con los mismos atributos disponibles para grupos de pertenencia dinámica. Para obtener más información sobre los atributos específicos disponibles y ejemplos sobre cómo usarlos, consulta Administración de reglas de grupos de pertenencia dinámica en Microsoft Entra ID.
Aunque las unidades administrativas con miembros asignados admiten manualmente varios tipos de objetos, como usuarios, grupos y dispositivos, actualmente no es posible crear una unidad administrativa con reglas para grupos de pertenencia dinámica que incluyan más de un tipo de objeto. Por ejemplo, puedes crear unidades administrativas con reglas de grupos de pertenencia dinámica para usuarios o dispositivos, pero no ambas. Actualmente no se admiten las unidades administrativas con reglas de grupos de pertenencia dinámica para grupos.
Requisitos previos
- Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
- Licencia Microsoft Entra ID P1 o P2 para cada miembro de unidad administrativa
- Administrador de roles con privilegios
- Módulo de Microsoft Graph para PowerShell al usar PowerShell
- Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
- La nube Azure global (no disponible en nubes especializadas, como Azure Government o Microsoft Azure operated by 21Vianet)
Nota:
Las reglas de pertenencia dinámica para las unidades administrativas requieren una licencia de Microsoft Entra ID P1 para cada usuario único que sea miembro de una o varias unidades administrativas dinámicas. Aunque no es necesario asignar licencias a los usuarios para que sean miembros de las unidades administrativas dinámicas, es preciso tener el número mínimo de licencias en la organización de Microsoft Entra para abarcarlos a todos. Por ejemplo, si tienes un total de 1000 usuarios únicos en todas las unidades administrativas dinámicas de la organización, necesitarás al menos 1000 licencias de Microsoft Entra ID P1 para cumplir el requisito de licencia. No es necesaria ninguna licencia para los dispositivos que son miembros de una unidad administrativa de un grupo de pertenencia dinámica para dispositivos.
Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.
Adición de reglas de grupos de pertenencia dinámica
Sigue estos pasos para crear unidades administrativas con reglas de grupos de pertenencia dinámica para usuarios o dispositivos.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Selecciona la unidad administrativa a la que quieres agregar usuarios o dispositivos.
Selecciona Propiedades.
En la lista Tipo de pertenencia, selecciona Usuario dinámico o Dispositivo dinámico, en función del tipo de regla que quieras agregar.
Selecciona Agregar una consulta dinámica.
Usa el generador de reglas para especificar la regla para grupos pertenencia dinámica. Para obtener más información, consulta Generador de reglas en Azure Portal.
Cuando termines, selecciona Guardar para guardar la regla para grupos de pertenencia dinámica.
En la página Propiedades, selecciona Guardar para guardar el tipo de pertenencia y la consulta.
Se muestra el mensaje siguiente:
Después de cambiar el tipo de unidad administrativa, la pertenencia existente podría cambiar en función de la regla para grupos de pertenencia dinámica que proporciones.
Selecciona Sí para continuar.
Para ver los pasos para editar la regla, consulta la siguiente sección Edición de reglas de grupos de pertenencia dinámica.
Edición de reglas de grupos de pertenencia dinámica
Cuando se haya configurado una unidad administrativa para grupos de pertenencia dinámica, se deshabilitan los comandos habituales para agregar o quitar miembros de la unidad administrativa, ya que el motor de los grupos de pertenencia dinámica conserva la única propiedad de agregar o quitar miembros. Para realizar cambios en la pertenencia, puedes editar las reglas de grupos de pertenencia dinámica.
Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa que tenga las reglas de grupos de pertenencia dinámica que quieres editar.
Selecciona Reglas de pertenencia para editar las reglas de grupos de pertenencia dinámica mediante el generador de reglas.
También puedes abrir el generador de reglas seleccionando Reglas de pertenencia dinámica en el panel de navegación izquierdo.
Cuando termines, selecciona Guardar para guardar los cambios de la regla para grupos de pertenencia dinámica.
Cambio de una unidad administrativa dinámica a asignada
Sigue estos pasos para cambiar una unidad administrativa con reglas de grupos de pertenencia dinámica a una unidad administrativa en la que los miembros se asignan manualmente.
Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Ve a Identidad>Roles y administradores>Unidades administrativas.
Selecciona la unidad administrativa que quieres cambiar a asignada.
Selecciona Propiedades.
En la lista Tipo de pertenencia, selecciona Asignado.
Selecciona Guardar para guardar el tipo de pertenencia.
Se muestra el mensaje siguiente:
Después de cambiar el tipo de unidad administrativa, la regla dinámica ya no se procesará. Los miembros actuales de la unidad administrativa permanecerán en la unidad administrativa, y la unidad administrativa tendrá asignada la pertenencia.
Selecciona Sí para continuar.
Cuando se cambia la configuración del tipo de pertenencia de dinámica a asignada, los miembros actuales permanecen intactos en la unidad administrativa. Además, está habilitada la capacidad de agregar grupos a la unidad administrativa.