Crear o eliminar unidades administrativas

Artículo
01/30/2025

Importante

Las unidades administrativas de administración restringida se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte los términos de producto para conocer los términos legales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o aún no se han publicado en disponibilidad general.

Las unidades administrativas le permiten subdividir la organización en cualquier unidad que desee y, a continuación, asignar administradores específicos que solo puedan administrar los miembros de esa unidad. Por ejemplo, podría usar unidades administrativas para delegar permisos a los administradores de cada escuela de una gran universidad, por lo que podrían controlar el acceso, administrar usuarios y establecer directivas solo en la Escuela de Ingeniería.

En este artículo se describe cómo crear o eliminar unidades administrativas para restringir el ámbito de los permisos de rol en microsoft Entra ID.

Prerrequisitos

Licencia P1 o P2 de Microsoft Entra ID para cada administrador de unidad administrativa
Licencias gratuitas de Id. de Microsoft Entra para miembros de la unidad administrativa
Rol de Administrador de roles con privilegios
Módulo de Microsoft Graph para PowerShell al usar PowerShell
Consentimiento del administrador al usar el Explorador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Creación de una unidad administrativa

Puede crear una nueva unidad administrativa mediante el Centro de administración de Microsoft Entra, Microsoft Entra PowerShell o Microsoft Graph.

Centro de administración
PowerShell
Graph API

Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identity>Roles y administradores>Unidades de administración.
Seleccione Agregar.
En el cuadro Nombre, escriba el nombre de la unidad administrativa. Opcionalmente, agregue una descripción de la unidad administrativa.
Si no desea que los administradores a nivel de inquilino puedan acceder a esta unidad administrativa, configure el conmutador de la unidad administrativa de gestión restringida en Sí. Para obtener más información, consulte unidades administrativas con gestión restringida.
Opcionalmente, en la pestaña Asignar roles, seleccione un rol y, a continuación, seleccione los usuarios a los que asignar el rol con este ámbito de unidad administrativa.
En la pestaña Revisar y crear, revise la unidad administrativa y todas las asignaciones de roles.
Seleccione el botón Crear.

Use el comando Connect-MgGraph para iniciar sesión en el inquilino y dar su consentimiento a los permisos necesarios.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Use el comando New-MgDirectoryAdministrativeUnit para crear una nueva unidad administrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Use el comando New-MgBetaDirectoryAdministrativeUnit para crear una nueva unidad administrativa de administración restringida. Establezca la propiedad IsMemberManagementRestricted en $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Use la API de Create administrativeUnit para crear una unidad administrativa.

Solicitud

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Cuerpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Utilice la API Create administrativeUnit (beta) para crear una nueva unidad de gestión administrativa restringida. Establezca la propiedad isMemberManagementRestricted en true.

Solicitud

POST https://graph.microsoft.com/beta/administrativeUnits

Cuerpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Eliminación de una unidad administrativa

En Microsoft Entra ID, puede eliminar una unidad administrativa que ya no necesite como unidad de ámbito para roles administrativos. Antes de eliminar la unidad administrativa, debe quitar las asignaciones de roles dentro del ámbito de esa unidad administrativa.

Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identity>Roles y administradores>Unidades de administración.
Seleccione la unidad administrativa que desea eliminar.
Seleccione Roles y administradores y abra un rol para ver las asignaciones de roles.
Quite todas las asignaciones de roles con el ámbito de unidad administrativa.
Vaya a Identity>Roles y administradores>Unidades de administración.
Agregue una marca de verificación junto a la unidad administrativa que desea eliminar.
Seleccione Eliminar.
Para confirmar que desea eliminar la unidad administrativa, seleccione Sí.

Use el comando remove-MgDirectoryAdministrativeUnit para eliminar una unidad administrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Use la API de Delete administrativeUnit para eliminar una unidad administrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Compartir vía

Crear o eliminar unidades administrativas

Prerrequisitos

Creación de una unidad administrativa

Eliminación de una unidad administrativa

Pasos siguientes

Comentarios

Recursos adicionales