Criar ou excluir unidades administrativas
Importante
Atualmente, as unidades administrativas de gerenciamento restrito estão em VERSÃO PRÉVIA. Consulte os Termos do produto para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, visualização ou ainda não lançados para disponibilidade geral.
As unidades administrativas permitem subdividir sua organização em qualquer unidade que você deseja e então atribuir administradores específicos que podem gerenciar apenas os membros dessa unidade. Por exemplo, você pode usar unidades administrativas para delegar permissões a administradores de cada escola em uma grande universidade, para que eles pudessem controlar o acesso, gerenciar usuários e definir políticas somente na faculdade de engenharia.
Esse artigo descreve como criar ou excluir unidades administrativas para restringir o escopo de permissões de função no ID do Microsoft Entra.
Pré-requisitos
- Licença P1 ou P2 do ID do Microsoft Entra para cada administrador de unidade administrativa
- Licenças Gratuitas do Microsoft Entra ID para membros da unidade administrativa
- Função de Administrador de Função com Privilégios
- Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
- Módulo do PowerShell do Azure AD ao usar o PowerShell
- Módulo AzureADPreview ao utilizar o PowerShell e unidades administrativas de gerenciamento restrito
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Criar uma unidade administrativa
Você pode criar uma nova unidade administrativa usando o Centro de administração do Microsoft Entra, PowerShell ou Microsoft Graph.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione Adicionar.
Na caixa Nome, insira o nome da unidade administrativa. Se você quiser, também pode adicionar uma descrição da unidade administrativa.
Se você não quiser que os administradores de nível de locatário possam acessar essa unidade administrativa, defina a alternância Unidade administrativa de gerenciamento restrito como Sim. Para obter mais informações, consulte Unidades administrativas de gerenciamento restrito.
Opcionalmente, na guia Atribuir funções, selecione uma função e, em seguida, selecione os usuários aos quais atribuir a função com esse escopo de unidade administrativa.
Na guia Revisar + criar, examine a unidade administrativa e as atribuições de função.
Selecione o botão Criar.
PowerShell
Use o comando Connect-MgGraph para entrar no seu locatário e consentir as permissões necessárias.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Use o comando New-MgDirectoryAdministrativeUnit para criar uma unidade administrativa.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Use o comando New-MgBetaDirectoryAdministrativeUnit para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade IsMemberManagementRestricted como $true.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
API do Microsoft Graph
Use a API Create administrativeUnit para criar uma unidade administrativa.
Solicitação
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Corpo
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Use a API Create administrativeUnit (beta) para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade isMemberManagementRestricted como true.
Solicitação
POST https://graph.microsoft.com/beta/administrativeUnits
Corpo
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Excluir uma unidade administrativa
No ID do Microsoft Entra, você pode excluir uma unidade administrativa que não é mais necessária como uma unidade de escopo para funções administrativas. Antes de excluir a unidade administrativa, será necessário remover todas as atribuições de função com esse escopo de unidade administrativa.
Centro de administração do Microsoft Entra
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa que você quer excluir.
Selecione Funções e administradores e, em seguida, abra uma função para exibir as atribuições de função.
Remova todas as atribuições de função com o escopo da unidade administrativa.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Adicione uma marca de seleção ao lado da unidade administrativa que você deseja excluir.
Selecione Excluir.
Para confirmar que você deseja excluir a unidade administrativa, selecione Sim.
PowerShell
Use o comando Remove-MgDirectoryAdministrativeUnit para excluir uma unidade administrativa.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
API do Microsoft Graph
Use a API Delete administrativeUnit para excluir uma unidade administrativa.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}