Unidades administrativas no Microsoft Entra ID
Este artigo descreve unidades administrativas no Microsoft Entra ID. Uma unidade administrativa é um recurso do Microsoft Entra que pode ser um contentor para outros recursos do Microsoft Entra. Uma unidade administrativa só pode conter utilizadores, grupos ou dispositivos.
As unidades administrativas restringem as permissões numa função a qualquer parte da sua organização que defina. Pode, por exemplo, utilizar unidades administrativas para delegar a função Administrador de Assistência Técnica a especialistas de suporte regional para que possam gerir os utilizadores apenas na região onde prestam suporte.
Os usuários podem ser membros de várias unidades administrativas. Por exemplo, você pode adicionar usuários a unidades administrativas por geografia e divisão; Megan Bowen pode estar nas unidades administrativas "Seattle" e "Marketing".
Cenário de implementação
Pode ser útil restringir o âmbito administrativo utilizando unidades administrativas em organizações compostas por divisões independentes de qualquer tipo. Considere o exemplo de uma grande universidade que é composta por muitas escolas autônomas (Escola de Negócios, Escola de Engenharia e assim por diante). Cada escola tem uma equipe de administradores de TI que controlam o acesso, gerenciam usuários e definem políticas para sua escola.
Um administrador central poderia:
- Criar uma unidade administrativa para a Escola de Negócios.
- Preencher a unidade administrativa apenas com alunos e funcionários dentro da Escola de Negócios.
- Crie uma função com permissões administrativas apenas sobre usuários do Microsoft Entra na unidade administrativa da School of Business.
- Adicione a equipe de TI da escola de negócios à função, juntamente com seu escopo.
Restrições
Aqui estão algumas das restrições para as unidades administrativas.
- As unidades administrativas não podem ser aninhadas.
- Atualmente, as unidades administrativas não estão disponíveis no Microsoft Entra ID Governance.
Grupos
Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o âmbito de gestão da unidade administrativa, mas não os membros do grupo. Em outras palavras, um administrador com escopo para a unidade administrativa pode gerenciar propriedades do grupo, como nome do grupo ou associação, mas não pode gerenciar propriedades dos usuários ou dispositivos dentro desse grupo (a menos que esses usuários e dispositivos sejam adicionados separadamente como membros da unidade administrativa).
Por exemplo, um Administrador de Usuário com escopo para uma unidade administrativa que contém um grupo pode e não pode fazer o seguinte:
| Permissões | Pode fazer |
|---|---|
| Gerir o nome do grupo | ✅ |
| Gerenciar a associação do grupo | ✅ |
| Gerenciar as propriedades do usuário para membros individuais do grupo | ❌ |
| Gerenciar os métodos de autenticação de usuário de membros individuais do grupo | ❌ |
| Redefinir as senhas de membros individuais do grupo | ❌ |
Para que o Administrador do Usuário gerencie as propriedades do usuário ou os métodos de autenticação do usuário de membros individuais do grupo, os membros do grupo (usuários) devem ser adicionados diretamente como membros da unidade administrativa.
Requisitos de licença
O uso de unidades administrativas requer uma licença do Microsoft Entra ID P1 para cada administrador de unidade administrativa ao qual são atribuídas funções de diretório no escopo da unidade administrativa e uma licença do Microsoft Entra ID Free para cada membro da unidade administrativa. A criação de unidades administrativas está disponível com uma licença Microsoft Entra ID Free. Se você estiver usando regras de associação dinâmica para unidades administrativas, cada membro da unidade administrativa exigirá uma licença do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.
Gerir unidades administrativas
Você pode gerenciar unidades administrativas usando o centro de administração do Microsoft Entra, cmdlets e scripts do PowerShell ou a API do Microsoft Graph. Para obter mais informações, consulte:
- Criar ou excluir unidades administrativas
- Adicionar usuários, grupos ou dispositivos a uma unidade administrativa
- Gerenciar usuários ou dispositivos para uma unidade administrativa com regras de associação dinâmicas (Visualização)
- Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
- Trabalhar com unidades administrativas: aborda como trabalhar com unidades administrativas usando o PowerShell.
- Suporte gráfico de unidade administrativa: fornece documentação detalhada sobre o Microsoft Graph para unidades administrativas.
Planeie as suas unidades administrativas
Você pode usar unidades administrativas para agrupar logicamente os recursos do Microsoft Entra. Uma organização cujo departamento de TI está espalhado globalmente pode criar unidades administrativas que definem limites geográficos relevantes. Em outro cenário, onde uma organização global tem suborganizações que são semi-autônomas em suas operações, as unidades administrativas poderiam representar as suborganizações.
Os critérios sobre os quais as unidades administrativas são criadas são guiados pelos requisitos exclusivos de uma organização. As unidades administrativas são uma maneira comum de definir a estrutura nos serviços do Microsoft 365. Recomendamos que você prepare suas unidades administrativas com seu uso nos serviços do Microsoft 365 em mente. Você pode obter o valor máximo das unidades administrativas quando pode associar recursos comuns no Microsoft 365 em uma unidade administrativa.
Você pode esperar que a criação de unidades administrativas na organização passe pelas seguintes etapas:
- Adoção inicial: Sua organização começará a criar unidades administrativas com base em critérios iniciais e o número de unidades administrativas aumentará à medida que os critérios forem refinados.
- Poda: Após a definição dos critérios, as unidades administrativas que não são mais necessárias serão excluídas.
- Estabilização: Sua estrutura organizacional está definida e o número de unidades administrativas não mudará significativamente no curto prazo.
Cenários atualmente suportados
Como Administrador Global ou Administrador de Função Privilegiada, você pode usar o centro de administração do Microsoft Entra para:
- Criar unidades administrativas
- Adicionar usuários, grupos ou dispositivos como membros de unidades administrativas
- Gerenciar usuários ou dispositivos para uma unidade administrativa com regras de associação dinâmicas (Visualização)
- Atribua a equipe de TI a funções de administrador com escopo de unidade administrativa.
Os administradores com escopo de unidade administrativa podem usar o centro de administração do Microsoft 365 para gerenciamento básico de usuários em suas unidades administrativas. Um administrador de grupo com escopo de unidade administrativa pode gerenciar grupos usando o PowerShell, o Microsoft Graph e os centros de administração do Microsoft 365.
As unidades administrativas aplicam o escopo apenas às permissões de gerenciamento. Eles não impedem que membros ou administradores usem suas permissões de usuário padrão para procurar outros usuários, grupos ou recursos fora da unidade administrativa. No centro de administração do Microsoft 365, os usuários fora das unidades administrativas de um administrador com escopo são filtrados. Mas você pode procurar outros usuários no centro de administração do Microsoft Entra, no PowerShell e em outros serviços da Microsoft.
Nota
Somente os recursos descritos nesta seção estão disponíveis no Centro de administração do Microsoft 365. Nenhum recurso no nível da organização está disponível para uma função do Microsoft Entra com escopo de unidade administrativa.
As seções a seguir descrevem o suporte atual para cenários de unidade administrativa.
Gestão da unidade administrativa
| Permissões | Microsoft Graph/PowerShell | Centro de administração do Microsoft Entra | Centro de administração do Microsoft 365 |
|---|---|---|---|
| Criar ou excluir unidades administrativas | ✅ | ✅ | ✅ |
| Adicionar ou remover membros | ✅ | ✅ | ✅ |
| Atribuir administradores com escopo de unidade administrativa | ✅ | ✅ | ✅ |
| Adicionar ou remover utilizadores ou dispositivos dinamicamente com base em regras (Pré-visualização) | ✅ | ✅ | ❌ |
| Adicionar ou remover grupos dinamicamente com base em regras | ❌ | ❌ | ❌ |
Gestão de utilizadores
| Permissões | Microsoft Graph/PowerShell | Centro de administração do Microsoft Entra | Centro de administração do Microsoft 365 |
|---|---|---|---|
| Gerenciamento de escopo de unidade administrativa de propriedades de usuário, senhas | ✅ | ✅ | ✅ |
| Gerenciamento de licenças de usuário com escopo de unidade administrativa | ✅ | ✅ | ✅ |
| Bloqueio e desbloqueio de login de usuário com escopo de unidade administrativa | ✅ | ✅ | ✅ |
| Gerenciamento de escopo de unidade administrativa de credenciais de autenticação multifator do usuário | ✅ | ✅ | ❌ |
Gestão de grupos
| Permissões | Microsoft Graph/PowerShell | Centro de administração do Microsoft Entra | Centro de administração do Microsoft 365 |
|---|---|---|---|
| Criação e eliminação de grupos com âmbito de unidade administrativa | ✅ | ✅ | ✅ |
| Gerenciamento de escopo de unidade administrativa de propriedades de grupo e associação para grupos do Microsoft 365 | ✅ | ✅ | ✅ |
| Gerenciamento de escopo de unidade administrativa de propriedades de grupo e associação para todos os outros grupos | ✅ | ✅ | ❌ |
| Gestão do licenciamento de grupo com âmbito de unidade administrativa | ✅ | ✅ | ❌ |
Gestão de dispositivos
| Permissões | Microsoft Graph/PowerShell | Centro de administração do Microsoft Entra | Centro de administração do Microsoft 365 |
|---|---|---|---|
| Ativar, desativar ou excluir dispositivos | ✅ | ✅ | ❌ |
| Ler chaves de recuperação do BitLocker | ✅ | ✅ | ❌ |
No momento, não há suporte para o gerenciamento de dispositivos no Intune.