Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica

Puede agregar o quitar usuarios o dispositivos de unidades administrativas manualmente. Con los grupos de pertenencia dinámica es posible añadir o quitar usuarios o dispositivos para unidades administrativas de forma dinámica, mediante reglas. En este artículo se describe cómo crear unidades administrativas con reglas de grupos de pertenencia dinámica mediante el centro de administración de Microsoft Entra, PowerShell o la API de Microsoft Graph.

Nota

Las reglas de pertenencia dinámica para unidades administrativas se pueden crear con los mismos atributos disponibles para los grupos de pertenencia dinámica. Para obtener más información sobre los atributos específicos disponibles y ejemplos sobre cómo usarlos, consulte Administrar reglas para grupos de pertenencia dinámica en el identificador de Entra de Microsoft.

Aunque las unidades administrativas con miembros asignados admiten manualmente varios tipos de objetos, como usuarios, grupos y dispositivos, actualmente no es posible crear una unidad administrativa con reglas para grupos de pertenencia dinámica que incluyan más de un tipo de objeto. Por ejemplo, se pueden crear unidades administrativas con reglas de grupos de pertenencia dinámica para usuarios o dispositivos, pero no para ambos. Actualmente no se admiten unidades administrativas con reglas para grupos de pertenencia dinámica para grupos.

Requisitos previos

Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
Licencia Microsoft Entra ID P1 o P2 para cada miembro de unidad administrativa
Administrador de roles con privilegios
Módulo Microsoft Graph PowerShell al usar PowerShell
Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API
La nube Azure global (no disponible en nubes especializadas, como Azure Government o Microsoft Azure operated by 21Vianet)

Nota

Las reglas de pertenencia dinámica para las unidades administrativas requieren una licencia de Microsoft Entra ID P1 para cada usuario único que sea miembro de una o varias unidades administrativas dinámicas. Aunque no es necesario asignar licencias a los usuarios para que sean miembros de las unidades administrativas dinámicas, es preciso tener el número mínimo de licencias en la organización de Microsoft Entra para abarcarlos a todos. Por ejemplo, si tiene un total de 1000 usuarios únicos en todas las unidades administrativas dinámicas de la organización, necesitará al menos 1000 licencias de Microsoft Entra ID P1 para cumplir el requisito de licencia. No es necesaria ninguna licencia para los dispositivos que son miembros de una unidad administrativa de un grupo de pertenencia dinámica para dispositivos.

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Añadir reglas para grupos de pertenencia dinámica

Siga estos pasos para crear unidades administrativas con reglas de grupos de pertenencia dinámica para usuarios o dispositivos.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.
Seleccione la unidad administrativa a la que quiere agregar usuarios o dispositivos.
Seleccione Propiedades.
En la lista Tipo de pertenencia , seleccione Usuario dinámico o Dispositivo dinámico, en función del tipo de regla que quiera agregar.
Seleccione Agregar consulta dinámica.
Use el generador de reglas para especificar la regla para grupos de pertenencia dinámica. Para más información, consulte Generador de reglas en Azure Portal.
Cuando termine, seleccione Guardar para guardar la regla para grupos de pertenencia dinámica.
En la página Propiedades , seleccione Guardar para guardar el tipo de pertenencia y la consulta.

Se muestra el mensaje siguiente:

Después de cambiar el tipo de unidad administrativa, la pertenencia existente puede cambiar de acuerdo con la regla de grupos de pertenencia dinámica que se haya proporcionado.
Seleccione Sí para continuar.

Para ver los pasos sobre cómo editar la regla, consulte la sección Editar reglas para grupos de pertenencia dinámica .

Crear una regla de grupos de pertenencia dinámica. Para obtener más información, consulte Administrar reglas para grupos de pertenencia dinámica en El identificador de Entra de Microsoft.
Use el comando Connect-MgGraph para conectarse con microsoft Entra ID con un usuario al que se le ha asignado el rol Administrador de roles con privilegios.
```
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
```

Use el comando New-MgDirectoryAdministrativeUnit para crear una nueva unidad administrativa con una regla para grupos de pertenencia dinámica mediante los parámetros siguientes:

MembershipType: Dynamic o Assigned
MembershipRule: regla de pertenencia dinámica que fue creada en un paso anterior
MembershipRuleProcessingState: On o Paused

# Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

Crear una regla para grupos de pertenencia dinámica. Para obtener más información, consulte Reglas de pertenencia dinámica para grupos en Microsoft Entra ID.

Use la API Create administrativeUnit para crear una nueva unidad administrativa con una regla para grupos de pertenencia dinámica.

A continuación se muestra un ejemplo de regla para grupos de pertenencia dinámica que se aplica a dispositivos Windows.

Solicitud

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Cuerpo

{
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Editar reglas para grupos de pertenencia dinámica

Cuando se haya configurado una unidad administrativa para los grupos de pertenencia dinámica, se deshabilitan los comandos habituales para añadir o quitar miembros de la unidad administrativa, ya que el motor de grupos de pertenencia dinámica conserva en exclusiva la capacidad de añadir o quitar miembros. Para realizar cambios en la pertenencia es posible editar las reglas de grupos de pertenencia dinámica.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.
Vaya a Entra ID>Roles & administradores>Unidades administrativas.
Seleccione la unidad administrativa que tenga las reglas para grupos de pertenencia dinámica que usted quiere editar.
Seleccione Reglas de pertenencia para editar las reglas de los grupos de pertenencia dinámica mediante el generador de reglas.

También puede abrir el generador de reglas seleccionando Reglas de pertenencia dinámica en el panel de navegación izquierdo.
Cuando termine, seleccione Guardar para guardar los cambios en la regla de grupos de pertenencia dinámica.

Use el comando Update-MgDirectoryAdministrativeUnit para editar la regla de grupos de pertenencia dinámica.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Utilice la API de Update administrativeUnit para editar la regla para los grupos de pertenencia dinámica.

Solicitud

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Cuerpo

{
  "membershipRule": "(user.country -eq "Germany")"
}

Cambiar una unidad administrativa dinámica a asignada

Siga estos pasos para cambiar una unidad administrativa con reglas de grupos de pertenencia dinámica a una unidad administrativa en la que los miembros se asignan de forma manual.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.
Vaya a Entra ID>Roles & administradores>Unidades administrativas.
Seleccione la unidad administrativa que desea cambiar a asignada.
Seleccione Propiedades.
En la lista Tipo de pertenencia , seleccione Asignado.
Seleccione Guardar para guardar el tipo de pertenencia.

Se muestra el mensaje siguiente:

Después de cambiar el tipo de unidad administrativa, la regla dinámica ya no se procesará. Los miembros actuales de la unidad administrativa permanecerán en la unidad administrativa, y la unidad administrativa tendrá asignada la pertenencia.
Seleccione Sí para continuar.

Cuando se cambia la configuración del tipo de pertenencia de dinámica a asignada, los miembros actuales permanecen intactos en la unidad administrativa. Además, está habilitada la capacidad de agregar grupos a la unidad administrativa.

Use el comando Update-MgDirectoryAdministrativeUnit para editar la regla para los grupos de pertenencia dinámica.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Usa la API de Update administrativeUnit para cambiar la configuración del tipo de membresía.

Solicitud

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Cuerpo

{
  "membershipType": "Assigned"
}

Pasos siguientes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-04-30

Compartir a través de

Administración de usuarios o dispositivos para una unidad administrativa con reglas de grupos de pertenencia dinámica

Requisitos previos

Añadir reglas para grupos de pertenencia dinámica

Editar reglas para grupos de pertenencia dinámica

Cambiar una unidad administrativa dinámica a asignada

Pasos siguientes

Comentarios

Recursos adicionales