Unidades administrativas no Azure Active Directory

Este artigo descreve como criar unidades administrativas no Azure AD (Azure Active Directory). Uma unidade administrativa é um recurso do Azure AD que pode ser um contêiner para outros recursos do Azure AD. Uma unidade administrativa pode conter apenas usuários, grupos ou dispositivos.

As unidades administrativas restringem as permissões de uma função a qualquer parte da organização que você definir. Você pode, por exemplo, usar unidades administrativas para delegar a função de Administrador da assistência técnica a especialistas de suporte regional, para que eles possam gerenciar os usuários somente na região à qual dão suporte.

Os usuários podem ser membros de várias unidades administrativas. Por exemplo, você pode adicionar usuários a unidades administrativas por geografia e divisão; Megan Bowen pode estar nas unidades administrativas de "Seattle" e "Marketing".

Cenário de implantação

Pode ser útil restringir o escopo administrativo usando unidades administrativas em organizações compostas por divisões independentes de qualquer tipo. Considere o exemplo de uma grande universidade composta por muitas escolas autônomas (Escola de Negócios, Escola de Engenharia e assim por diante). Cada escola tem uma equipe de administradores de TI que controlam o acesso, gerenciam usuários e definem políticas para a escola deles.

Um administrador central poderia:

  • Criar uma unidade administrativa para a Escola de Negócios.
  • Preencher a unidade administrativa apenas com alunos e funcionários da Escola de Negócios.
  • Criar uma função com permissões administrativas somente para usuários do Azure AD na unidade administrativa da Escola de Negócios.
  • Adicionar a equipe de TI da escola de negócios à função, juntamente com o escopo dela.

Captura de tela da página Dispositivos e unidades administrativas com a opção Remover da unidade administrativa.

Restrições

Aqui estão algumas das restrições para unidades administrativas.

  • As unidades administrativas não podem ser aninhadas.
  • Os administradores de conta de usuário com escopo de unidade administrativa não podem criar ou excluir usuários.
  • Atualmente, as unidades administrativas não estão disponíveis no Azure Active Directory Identity Governance.

Grupos

Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o escopo de gerenciamento da unidade administrativa, mas não os respectivos membros. Em outras palavras, um administrador com escopo para a unidade administrativa pode gerenciar propriedades do grupo, como o nome do grupo ou a associação a ele, mas não pode gerenciar propriedades dos usuários ou dos dispositivos nesse grupo (a menos que esses usuários e dispositivos sejam adicionados separadamente como membros da unidade administrativa).

Por exemplo, um Administrador de Usuário com escopo para uma unidade administrativa que contém um grupo pode e não pode fazer o seguinte:

Permissões O que ele pode fazer
Gerenciar o nome do grupo ✔️
Gerenciar a associação do grupo ✔️
Gerenciar as propriedades do usuário para membros individuais do grupo
Gerenciar os métodos de autenticação do usuário de membros individuais do grupo
Redefinir as senhas de membros individuais do grupo

Para que o Administrador de Usuário gerencie as propriedades do usuário ou os métodos de autenticação do usuário de membros individuais do grupo, os membros do grupo (usuários) devem ser adicionados diretamente como membros da unidade administrativa.

Requisitos de licença

O uso de unidades administrativas requer uma licença Azure AD Premium P1 em cada administrador da unidade administrativa e uma licença Azure AD Gratuito em cada membro da unidade administrativa. Se você estiver usando regras de associação dinâmicas para unidades administrativas, cada membro da unidade administrativa exigirá uma licença Azure AD Premium P1. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.

Gerenciar unidades administrativas

Você pode gerenciar unidades administrativas usando o portal do Azure, os cmdlets e scripts do PowerShell ou a API do Microsoft Graph. Para obter mais informações, consulte:

Planejar suas unidades administrativas

Você pode usar unidades administrativas para agrupar logicamente os recursos do Azure AD. Uma organização cujo departamento de TI está globalmente disperso, pode criar unidades administrativas que definem limites geográficos relevantes. Em outro cenário, em que uma organização global tem suborganizações com operações semiautônomas, as unidades administrativas podem representar as suborganizações.

Os critérios em que as unidades administrativas são criadas são guiados pelos requisitos exclusivos de uma organização. As unidades administrativas são uma forma comum de definir a estrutura nos serviços Microsoft 365. Recomendamos que você prepare suas unidades administrativas considerando o uso delas nos serviços Microsoft 365. Você pode obter o valor máximo das unidades administrativas quando pode associar recursos comuns no Microsoft 365 em uma unidade administrativa.

Você pode esperar que a criação de unidades administrativas na organização passe pelas seguintes fases:

  1. Adoção inicial: sua organização começará a criar unidades administrativas com base em critérios iniciais e o número de unidades administrativas aumentará à medida que os critérios forem refinados.
  2. Remoção: depois que os critérios estiverem definidos, as unidades administrativas que não forem mais necessárias serão excluídas.
  3. Estabilização: sua estrutura organizacional está definida e o número de unidades administrativas não será alterado significativamente em curto prazo.

Cenários com suporte no momento

Como um Administrador global ou um Administrador de funções com privilégios, você pode usar o portal do Azure para:

  • Criar unidades administrativas
  • Adicionar usuários, grupos ou dispositivos como membros de unidades administrativas
  • Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de associação dinâmica (versão prévia)
  • Atribuir à equipe de TI funções de administrador no escopo da unidade administrativa.

Os administradores no escopo da unidade administrativa podem usar o centro de administração do Microsoft 365 para o gerenciamento básico de usuários nas unidades administrativas deles. Um administrador de grupo no escopo da unidade administrativa pode gerenciar grupos usando os centros de administração do PowerShell, do Microsoft Graph e do Microsoft 365.

As unidades administrativas aplicam o escopo somente às permissões de gerenciamento. Elas não impedem os membros ou administradores de usar as permissões de usuário padrão para procurar outros usuários, grupos ou recursos fora da unidade administrativa. No centro de administração do Microsoft 365, os usuários fora de uma unidade administrativa do administrador com escopo são filtrados. Mas você pode procurar outros usuários no portal do Azure, no PowerShell e em outros serviços da Microsoft.

Observação

Somente os recursos descritos nesta seção estão disponíveis no centro de administração do Microsoft 365. Não há recursos no nível da organização disponíveis para uma função do Azure AD no escopo da unidade administrativa.

As seções a seguir descrevem o suporte atual para cenários de unidades administrativas.

Gerenciamento de unidades administrativas

Permissões Microsoft Graph/PowerShell Portal do Azure Centro de administração do Microsoft 365
Criar ou excluir unidades administrativas ✔️ ✔️ ✔️
Adicionar ou remover membros ✔️ ✔️ ✔️
Atribuir administradores com escopo da unidade administrativa ✔️ ✔️ ✔️
Adicionar ou remover usuários ou dispositivos dinamicamente com base em regras (versão prévia) ✔️ ✔️
Adicionar ou remover grupos dinamicamente com base em regras

Gerenciamento de Usuários

Permissões Microsoft Graph/PowerShell Portal do Azure Centro de administração do Microsoft 365
Gerenciamento de propriedades do usuário e senhas no escopo da unidade administrativa ✔️ ✔️ ✔️
Gerenciamento de licenças de usuário no escopo da unidade administrativa ✔️ ✔️ ✔️
Bloqueio e desbloqueio de entradas de usuário no escopo da unidade administrativa ✔️ ✔️ ✔️
Gerenciamento de credenciais de autenticação multifator do usuário com escopo da unidade administrativa ✔️ ✔️

Gerenciamento de grupos

Permissões Microsoft Graph/PowerShell Portal do Azure Centro de administração do Microsoft 365
Criação e exclusão de grupos no escopo da unidade administrativa ✔️ ✔️ ✔️
Gerenciamento de associação e propriedades do grupo no escopo da unidade administrativa para grupos do Microsoft 365 ✔️ ✔️ ✔️
Gerenciamento de associação e propriedades do grupo no escopo da unidade administrativa para todos os outros grupos ✔️ ✔️
Gerenciamento de licenciamento de grupo no escopo da unidade administrativa ✔️ ✔️

Gerenciamento de dispositivo

Permissões Microsoft Graph/PowerShell Portal do Azure Centro de administração do Microsoft 365
Habilitar, desabilitar ou excluir dispositivos ✔️ ✔️
Ler as chaves de recuperação do BitLocker ✔️ ✔️

O gerenciamento de dispositivos no Intune não tem suporte no momento.

Próximas etapas