Para un control administrativo más pormenorizado en Microsoft Entra ID, puedes asignar usuarios a un rol de Microsoft Entra con un ámbito limitado a una o varias unidades administrativas. Para obtener scripts de PowerShell de ejemplo para tareas comunes, consulta Uso de unidades administrativas para trabajar.
General
¿Por qué no puedo crear una unidad administrativa?
Debes tener asignado al menos el rol Administrador con rol privilegiado para crear una unidad administrativa en Microsoft Entra ID. Comprueba que el usuario que intenta crear la unidad administrativa tiene asignado el rol Administrador con privilegios.
He agregado un grupo a una unidad administrativa. ¿Por qué todavía no aparecen los miembros del grupo?
Al agregar un grupo a una unidad administrativa, no todos los miembros del grupo se agregan a esta. Los usuarios deben asignarse directamente a la unidad administrativa.
Acabo de agregar (o quitar) un miembro de la unidad administrativa. ¿Por qué no se muestra (o se sigue mostrando) en la interfaz de usuario?
A veces, la adición o eliminación de uno o varios miembros de una unidad administrativa puede tardar unos minutos antes de que se refleje en el panel Unidades administrativas. También puedes ir directamente a las propiedades del recurso asociado y ver si se ha completado la acción. Para obtener más información sobre los miembros de las unidades administrativas, consulta Enumerar usuarios, grupos o dispositivos en una unidad administrativa.
Soy administrador de contraseñas delegado de una unidad administrativa. ¿Por qué no puedo restablecer la contraseña de un usuario específico?
Como administrador de una unidad administrativa, solo puedes restablecer las contraseñas de los usuarios asignados a la unidad administrativa. Asegúrate de que el usuario para el que se produjo el error de restablecimiento de contraseña pertenece a la unidad administrativa a la que se le asignó. Si el usuario pertenece a la misma unidad administrativa y todavía no puedes restablecer su contraseña, comprueba los roles que tiene asignados.
Para evitar una elevación de privilegios, un administrador con ámbito de unidad administrativa no puede restablecer la contraseña de un usuario asignado a un rol con un ámbito de toda la organización.
¿Por qué son necesarias las unidades administrativas? ¿No podrían usarse grupos de seguridad para definir un ámbito?
Los grupos de seguridad tienen un propósito y modo de autorización existentes. Un Administrador de usuarios, por ejemplo, puede administrar la pertenencia a todos los grupos de seguridad de la organización de Microsoft Entra. El rol podría usar grupos para administrar el acceso a aplicaciones como Salesforce. Un administrador de usuarios no debe poder administrar el modelo de delegación, que sucedería si los grupos de seguridad se ampliaran para admitir escenarios de "agrupación de recursos".
Las unidades administrativas, como las unidades organizativas en Windows Server Active Directory, están diseñadas para proporcionar una manera de administrar con ámbito una amplia gama de objetos de directorio. Los grupos de seguridad pueden ser miembros de los ámbitos de recursos. El uso de grupos de seguridad para definir el conjunto de grupos de seguridad que un administrador puede administrar podría resultar confuso.
¿Por qué se agrega un grupo a una unidad administrativa?
Agregar un grupo a una unidad administrativa lleva el propio grupo al ámbito de administración de la unidad administrativa, pero no a los miembros del grupo. Para obtener más información, consulta Unidades administrativas en Microsoft Entra ID.
¿Un recurso (usuario, grupo o dispositivo) puede ser miembro de más de una unidad administrativa?
Sí, un recurso puede ser miembro de más de una unidad administrativa. Los administradores con ámbito de la unidad administrativa o toda la organización que tienen permisos sobre el recurso pueden administrarlo.
¿Las unidades administrativas están disponibles en las organizaciones B2C?
No, las unidades administrativas no están disponibles para las organizaciones B2C.
¿Se admiten las unidades administrativas anidadas?
No se admiten las unidades administrativas anidadas.
¿Las unidades administrativas son compatibles con PowerShell y Microsoft Graph API?
Sí. Puedes encontrar la compatibilidad con las unidades administrativas en la documentación de cmdlets de PowerShell y los scripts de ejemplo.
La compatibilidad con el tipo de recurso administrativeUnit puedes encontrarla en Microsoft Graph.
Unidades administrativas dinámicas
Acabo de guardar una regla de grupos de pertenencia dinámica para una unidad administrativa, pero todavía no veo que se haya rellenado ningún usuario.
La actualización inicial de una unidad administrativa puede tardar unos minutos en función del tamaño del inquilino y la carga actual de Microsoft Entra ID.
Después de crear una regla de grupos de pertenencia dinámica en el Centro de administración Microsoft Entra mediante el generador de reglas e intentar guardarla, aparece el error "No se pudieron actualizar las propiedades de la unidad administrativa".
Esto suele significar que hay un problema con los valores de propiedad proporcionados. Confirma que los valores de propiedad que has proporcionado tienen un tipo de valor adecuado (booleano, cadena o colección de cadenas). Para obtener más información, consulta los valores permitidos para cada operador para los usuarios o dispositivos.
Este error también puede producirse si una persona sin una licencia de Microsoft Entra ID P1 intenta guardar una actualización en la unidad administrativa.
¿Cómo puedo agregar un único miembro a una unidad administrativa además de la regla de grupos de pertenencia dinámica actual?
Para agregar un solo usuario, agrega una expresión adecuada con el operador de consulta OR
a la regla de grupos de pertenencia dinámica.
Soy administrador con rol con privilegios, pero no puedo agregar ni quitar miembros para una unidad administrativa.
Después de configurar una unidad administrativa para grupos de pertenencia dinámica, debes editar las reglas de grupos de pertenencia dinámica para cambiar la pertenencia.
¿Cuántas unidades administrativas con reglas de grupos de pertenencia dinámica puedo crear en un inquilino?
El número total de grupos de pertenencia dinámica y unidades administrativas dinámicas combinadas no puede superar los 15 000.
¿Hay un límite en el número de caracteres de una regla de grupos de pertenencia dinámica?
Sí. 3072 caracteres.
¿Puedo crear unidades administrativas con reglas de grupos de pertenencia dinámica en el Centro de administración de Microsoft 365?
No.
Unidades administrativas de administración restringida (versión preliminar)
Soy el propietario de un grupo que es miembro de una unidad administrativa de administración restringida. ¿Cómo se ven afectados mis permisos?
Como propietario de un grupo protegido, no podrás administrarlo solo en función de la propiedad. La administración de recursos protegidos actualmente requiere que se asigne un rol en el ámbito de la unidad administrativa de administración restringida del recurso protegido.
¿Cómo se ven afectados mis recursos de Microsoft 365 mediante el uso de unidades administrativas de administración restringidas?
Actualmente, se admite la protección de recursos de Microsoft Entra en unidades administrativas de administración restringida. No se admiten los recursos administrados fuera del identificador de Microsoft Entra.
No puedo modificar el miembro de una unidad administrativa de administración restringida.
El usuario, grupo o dispositivo es miembro de la unidad administrativa de administración restringida. Los derechos de administración se limitan a los administradores cuyo ámbito es esa unidad administrativa.