Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
No Microsoft Entra ID, para um controle administrativo mais granular, você pode atribuir uma função do Microsoft Entra com um escopo limitado a uma ou mais unidades administrativas para usuários. Quando uma função do Microsoft Entra é atribuída no escopo de uma unidade administrativa, as permissões de função se aplicam somente ao gerenciar membros da própria unidade administrativa e não se aplicam às definições ou configurações de todos os locatários.
Por exemplo, um administrador que recebe a função de Administrador de Grupos no escopo de uma unidade administrativa pode gerenciar grupos que são membros da unidade administrativa, mas não pode gerenciar outros grupos no locatário. Também não pode gerenciar as configurações de nível de locatário relacionadas a grupos como, por exemplo, políticas de nome de grupo ou expiração.
Este artigo descreve como atribuir funções do Microsoft Entra com escopo de unidade administrativa.
Pré-requisitos
- Licença P1 ou P2 do ID do Microsoft Entra para cada administrador de unidade administrativa
- Licenças Gratuitas do Microsoft Entra ID para membros da unidade administrativa
- Administrador de função com privilégios ou Administrador global
- Módulo Microsoft Graph PowerShell ao usar o PowerShell
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Funções que podem ser atribuídas com escopo da unidade administrativa
As funções a seguir do Microsoft Entra podem ser atribuídas com escopo da unidade administrativa. Além disso, qualquer função personalizada pode ser atribuída com escopo de unidade administrativa, desde que as permissões da função personalizada incluam pelo menos uma permissão relevante para usuários, grupos ou dispositivos.
| Função | Descrição |
|---|---|
| Administrador de autenticação | Tem acesso para exibir, definir e redefinir informações do método de autenticação para qualquer usuário não administrador somente na unidade administrativa atribuída. |
| Administrador de dispositivo de nuvem | Acesso limitado ao gerenciamento de dispositivos no Microsoft Entra ID. |
| Administrador de Grupos | Pode gerenciar todos os aspectos dos grupos apenas na unidade administrativa atribuída. |
| Administrador de Assistência Técnica | Pode redefinir senhas para não administradores somente na unidade administrativa atribuída. |
| Administrador de Licenças | Pode atribuir, remover e atualizar atribuições de licença somente dentro da unidade administrativa. |
| Administrador de senha | Pode redefinir senhas para não administradores somente na unidade administrativa atribuída. |
| Administrador de impressora | Pode gerenciar impressoras e conectores de impressoras. Para obter mais informações, consulte Delegar administração de impressoras na Impressão Universal. |
| Administrador de autenticação privilegiada | Pode acessar para exibir, definir e redefinir as informações de método de autenticação de qualquer usuário (administrador ou não administrador). |
| Administrador do SharePoint | Pode gerenciar grupos do Microsoft 365 apenas na unidade administrativa atribuída. Para sites do SharePoint associados a grupos do Microsoft 365 em uma unidade administrativa, também é possível atualizar as propriedades do site (nome do site, URL e política de compartilhamento externo) usando o centro de administração do Microsoft 365. Não é possível usar o centro de administração do SharePoint ou as APIs do SharePoint para gerenciar sites. |
| Administrador de equipes | Pode gerenciar grupos do Microsoft 365 apenas na unidade administrativa atribuída. Pode gerenciar membros da equipe no centro de administração do Microsoft 365 apenas para equipes associadas a grupos na unidade administrativa atribuída. Não é possível usar o centro de administração do Teams. |
| Administrador de dispositivos do Teams | Pode executar tarefas relacionadas a gerenciamento em dispositivos certificados pelo Teams. |
| Administrador de usuários | Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados somente na unidade administrativa atribuída. No momento, não é possível gerenciar as fotos de perfil dos usuários. |
| <Função personalizada> | Pode executar ações que se aplicam a usuários, grupos ou dispositivos, de acordo com a definição da função personalizada. |
Determinadas permissões de função se aplicam somente a usuários não administradores quando atribuídas ao escopo de uma unidade administrativa. Em outras palavras, os Administradores de Assistência Técnica com a unidade administrativa no escopo somente poderão redefinir senhas para os usuários na unidade administrativa se esses usuários não tiverem funções de administrador. A seguinte lista de permissões é restrita quando o alvo de uma ação é outro administrador:
- Ler e modificar métodos de autenticação de usuário ou redefinir senhas de usuário
- Modificar propriedades confidenciais do usuário, como números de telefone, endereços de email alternativos ou chaves secretas OAuth (Autorização Aberta)
- Excluir ou restaurar contas de usuário
Entidades de segurança que podem ser atribuídas com escopo da unidade administrativa
As seguintes entidades de segurança podem ser atribuídas a uma função com um escopo de unidade administrativa:
- Usuários
- Grupos atribuíveis a funções do Microsoft Entra
- Entidades de serviço
Entidades de serviço e usuários convidados
As entidades de serviço e os usuários convidados não poderão usar uma atribuição de função no escopo de uma unidade administrativa, a menos que também sejam atribuídas permissões correspondentes para ler os objetos. Isso ocorre porque entidades de serviço e usuários convidados não recebem permissões de leitura de diretório por padrão, que são necessárias para executar ações administrativas. Para permitir que uma entidade de serviço ou um usuário convidado use uma atribuição de função no escopo de uma unidade administrativa, você deve atribuir a função Leitores de diretório (ou outra função que inclua permissões de leitura) em um escopo de locatário.
No momento, não é possível atribuir permissões de leitura de diretório com escopo para uma unidade administrativa. Para obter mais informações sobre permissões padrão para usuários, consulte as permissões padrão para usuário.
Atribuir uma função com um escopo de unidade administrativa
Você pode atribuir uma função do Microsoft Entra com um escopo de unidade administrativa usando o Centro de administração do Microsoft Entra, PowerShell ou Microsoft Graph.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa à qual você deseja atribuir um escopo de função de usuário.
No painel esquerdo, selecione Funções e administradores para listar todas as funções disponíveis.
Selecione a função a ser atribuída e Adicionar atribuições.
No painel Adicionar atribuições, selecione um ou mais usuários a serem atribuídos à função.
Observação
Para atribuir uma função em uma unidade administrativa usando o Microsoft Entra PIM (Privileged Identity Management), confira Atribuir funções do Microsoft Entra no PIM.
PowerShell
Use o comando New-MgRoleManagementDirectoryRoleAssignment e o parâmetro DirectoryScopeId para atribuir uma função com escopo de unidade administrativa.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
API do Microsoft Graph
Use a API Adicionar scopedRoleMember para atribuir uma função com escopo de unidade administrativa.
Solicitação
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Corpo
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Listar atribuições de função com escopo de unidade administrativa
Você pode ver uma lista de atribuições de função do Microsoft Entra com um escopo de unidade administrativa usando o Centro de administração do Microsoft Entra, PowerShell ou Microsoft Graph.
Centro de administração Microsoft Entra
Você pode exibir todas as atribuições de função criadas com um escopo de unidade administrativa na seção Unidades administrativas do Centro de administração do Microsoft Entra.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa da lista de atribuições de funções que você quer exibir.
Selecione Funções e administradores e abra uma função para exibir as atribuições na unidade administrativa.
PowerShell
Use o comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para listar as atribuições de função com escopo de unidade administrativa.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
API do Microsoft Graph
Use a API Listar scopedRoleMembers para listar as atribuições de função com escopo de unidade administrativa.
Solicitação
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Corpo
{}