Adicionar usuários, grupos ou dispositivos a uma unidade administrativa
No Microsoft Entra ID, você pode adicionar usuários, grupos ou dispositivos em uma unidade administrativa para limitar o escopo das permissões de função. Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o escopo de gerenciamento da unidade administrativa, mas não os respectivos membros. Para obter mais detalhes sobre o que os administradores com escopo podem fazer, consulte Unidades administrativas no Microsoft Entra ID.
Este artigo descreve como adicionar manualmente usuários, grupos ou dispositivos a unidades administrativas. Para informações sobre como adicionar usuários ou dispositivos a unidades administrativas de forma dinâmica usando regras, confira Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de grupos de associação dinâmica.
Pré-requisitos
- Licença P1 ou P2 do ID do Microsoft Entra para cada administrador de unidade administrativa
- Licenças Gratuitas do Microsoft Entra ID para membros da unidade administrativa
- Para adicionar usuários, grupos ou dispositivos existentes:
- Administrador de função com privilégios
- Para criar novos grupos:
- Administrador de grupos (com escopo para a unidade administrativa ou diretório inteiro)
- Microsoft Graph/PowerShell
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Centro de administração do Microsoft Entra
Você pode adicionar usuários, grupos ou dispositivos a unidades administrativas usando o Centro de administração do Microsoft Entra. Você também pode adicionar usuários em uma operação em massa ou criar um grupo em uma unidade administrativa.
Adicionar um único usuário, grupo ou dispositivo em unidades administrativas
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade.
Navegue até um dos seguintes:
- Usuários>Todos os usuários
- Grupos>Todos os grupos
- Dispositivos>Todos os dispositivos
Selecione o usuário, o grupo ou o dispositivo que você deseja adicionar nas unidades administrativas.
Selecione Unidades administrativas.
Selecione Atribuir à unidade administrativa.
No painel Selecionar, selecione as unidades administrativas e, em seguida, Selecionar.
Adicionar usuários, grupos ou dispositivos em uma unidade administrativa
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa à qual você deseja adicionar usuários, grupos ou dispositivos.
Selecione uma das seguintes:
- Usuários
- Grupos
- Dispositivos
Selecione Adicionar membro, Adicionar ou Adicionar dispositivo.
No painel Selecionar, selecione os usuários, os grupos ou os dispositivos que você deseja adicionar na unidade administrativa e clique em Selecionar.
Adicionar usuários de uma unidade administrativa em uma operação em massa
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa à qual você deseja adicionar usuários.
Selecione Usuários>Operações em massa>Adicionar membros em massa.
No painel de Adicionar membros em massa, baixe o modelo de valores separados por vírgulas (CSV).
Edite o modelo CSV baixado com a lista de usuários que você deseja adicionar.
Adicione um nome principal de usuário (UPN) em cada linha. Não remova as duas primeiras linhas do modelo.
Salve as alterações e carregue o arquivo CSV.
Selecione Enviar.
Criar um grupo em uma unidade administrativa
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa na qual você deseja criar um grupo.
Selecione Grupos.
Selecione Novo grupo e conclua as etapas para criar um grupo.
PowerShell
Use o comando New-MgDirectoryAdministrativeUnitMemberByRef para adicionar usuários, grupos ou dispositivos a uma unidade administrativa ou criar um novo grupo em uma unidade administrativa.
Adicionar usuários a uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Adicionar grupos a uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Adicionar dispositivos em uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Criar um grupo em uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
API do Microsoft Graph
Use a API Adicionar um membro para adicionar usuários, grupos ou dispositivos a uma unidade administrativa ou criar um novo grupo em uma unidade administrativa.
Adicionar usuários a uma unidade administrativa
Solicitação
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Corpo
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
Exemplo
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
Adicionar grupos a uma unidade administrativa
Solicitação
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Corpo
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
Exemplo
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
Adicionar dispositivos em uma unidade administrativa
Solicitação
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Corpo
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
Criar um grupo em uma unidade administrativa
Solicitação
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
Corpo
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}