Unidades Administrativas en Azure AD


En este blog, explicaré las unidades administrativas en Azure Active Directory. En detalle estaré cubriendo los siguientes puntos:

  • ¿Qué es una unidad administrativa (AU)?
  • Usos que le podemos dar a una unidad administrativa
  • Configuración de una unidad administrativa en Azure Active Directory

¿Qué es una unidad administrativa?

Una unidad administrativa es un recurso en Azure AD que sirve como contenedor de identidades, como usuarios, grupos o dispositivos.

Las unidades administrativas solo están disponibles en Azure AD y no son equivalentes a las unidades organizativas en Active Directory. Para poder utilizar las AU, necesitaremos una licencia de Azure AD Premium P1 para cada administrador de la AU y una licencia de Azure AD Free para cada miembro de las unidades administrativas.

Además, podemos gestionar unidades administrativas mediante Azure Portal, cmdlets de PowerShell, scripts o la API de Microsoft Graph.


Usos que podemos dar a una unidad administrativa


Se han creado unidades administrativas para poder segmentar la administración dentro del mismo arrendatario de Azure Active Directory. De esta manera, podemos lograr acotar y subdividir los permisos de un rol de administrador a cualquier parte de la organización que definamos y luego asignar administradores específicos que solo pueden administrar miembros de esa unidad.


Configurando una unidad administrativa en Azure Active Directory

Al momento de publicar este blog, podemos crear unidades administrativas mediante Azure Portal, PowerShell o Microsoft Graph.

Azure Portal

  1. Iniciamos sesión en el Azure portal o en el Azure AD administration center.

  2. Seleccionamos el directorio. En el menú administrar, seleccionamos Unidades administrativas.



  3. En la parte superior derecha, seleccionamos la opción Agregar.



  4. Nos aparecerá la pantalla de Agregar unidad administrativa, en la cual asignamos un nombre y una descripción (opcional) a nuestra unidad administrativa. Luego hacemos clic en Siguiente: Asignar Roles.

  5. En esta sección de la configuración, debemos elegir los roles que asignaremos a nuestra unidad administrativa. Para este tutorial, he elegido el rol Administrador de Usuarios, haciendo clic sobre el rol.

    Luego se desplegará el menú Agregar asignaciones, en el cual tenemos que buscar y seleccionar los usuarios que tendrán este rol sobre la Unidad Administrativa y hacemos clic en Agregar.

    Cuando hayamos concluido, hacemos clic en Siguiente: Revisión y Creación.


  6. Si está todo correcto, hacemos clic en Crear o podemos regresar a las pantallas anteriores haciendo clic en Anterior.


  7. Ya tendríamos nuestra unidad administrativa creada. Si hacemos clic sobre la unidad administrativa, tendremos la opción de añadir usuarios, grupos o equipos y podemos gestionar los roles.



    Luego de tener nuestra unidad administrativa creada, tenemos la opción de configurar el tipo de pertenencia, seleccionando la opción Propiedades (versión preliminar) y luego haciendo clic en Tipo de pertenencia. Podemos elegir entre los siguientes tipos:

    • Asignada: Esta opción nos permite seleccionar manualmente los usuarios que deseamos pertenezcan a la unidad administrativa.

    • Usuario dinámico: Nos permite asignar la pertenencia a usuarios de manera dinámica, mediante la creación de reglas basadas en atributos.

    • Dispositivo dinámico: Nos permite asignar la pertenencia a dispositivos de manera dinámica, mediante la creación de reglas basadas en atributos.


    Ejemplo de regla de usuario dinámico:

    reglas de pertenencia dinámicas

    PowerShell

    Creando unidad administrativa con PowerShell

    Para crear unidades administrativas desde PowerShell, debemos seguir los siguientes pasos:

    1. Ejecutamos PowerShell como Administrador.

    2. Una vez tengamos la consola de PowerShell ejecutada, importamos el módulo de Azure AD. Para ello, ejecutamos el siguiente comando:
    3. Import-Module -Name AzureAD
      
    4. Ahora iniciamos sesión en nuestro tenant de AzureAD, autenticándonos con una cuenta que tenga rol de administrador asignado. Para ello, ejecutamos el siguiente comando:
    5. Connect-AzureAD -TenantID [colocamos el id de nuestro tenant]
      

      Nota: 💡 Si solo tenemos un tenant, podemos utilizar el comando anterior sin la opción “TenantID”, en cambio es recomendable especificar el identificador del tenant para que PowerShell sepa a cuál nos queremos conectar.


    6. Una vez estemos conectados, ejecutamos el siguiente comando:
    7. New-AzureADMSAdministrativeUnit -DisplayName "Sede Principal" -Description "Unidad Administrativa de la Sede Principal"
      

      Ya con estos sencillos pasos tendremos nuestra unidad administrativa creada.

      Ver unidades administrativas desde PowerShell

      Para ver las unidades administrativas que hemos creado, podemos ejecutar el comando Get-AzureADMSAdministrativeUnit.


      Añadir miembros en una unidad administrativa desde PowerShell

      Si queremos añadir miembros a nuestra unidad administrativa, tan solo tenemos que ejecutar el comando Add-AzureADMSAdministrativeUnitMember, especificando los siguientes parámetros requeridos:

      • Id: Se refiere al identificador de nuestra unidad administrativa.

      • RefObjectId: Se refiere al identificador de referencia del objeto (usuario, grupo o equipo) que deseamos añadir a la unidad administrativa.

      Para el siguiente ejemplo utilizaré el usuario “Juan Pérez” que ya tengo creado en mi tenant, como conozco el ObjectID, haré una consulta con el comando Get-AzureADUser:


      Teniendo todos los datos que necesitamos, procedemos a añadir el usuario como miembro de la unidad administrativa:


      Para validar que está correcto, podemos ejecutar el comando Get-AzureADMSAdministrativeUnitMember, indicando el Id de nuestra unidad administrativa. El cmdlet nos devolverá el listado de identificadores de los objetos que son miembros de la UA, como podemos ver en la siguiente imagen:



      Tienes dudas? Déjame saber en los comentarios!


Comentarios

Entradas populares de este blog

Cuentas de servicio administradas (MSA y gMSA)

Qué es Microsoft Graph para PowerShell?