Compartilhar via


Unidades administrativas de gerenciamento restrito no Microsoft Entra ID (versão prévia)

Importante

Atualmente, as unidades administrativas de gerenciamento restrito estão em VERSÃO PRÉVIA. Consulte os Termos do produto para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, visualização ou ainda não lançados para disponibilidade geral.

As unidades administrativas de gerenciamento restrito permitem que você proteja objetos específicos em seu locatário contra modificações por qualquer pessoa que não seja um conjunto específico de administradores designados por você. Isso permite que você atenda aos requisitos de segurança ou conformidade sem precisar remover atribuições de função de seus administradores no nível do locatário.

Por que usar unidades administrativas de gerenciamento restrito?

Aqui estão alguns motivos pelos quais as unidades administrativas de gerenciamento restrito podem ajudá-lo a gerenciar o acesso em seu locatário.

  • Você deseja proteger suas contas executivas de nível C e seus dispositivos contra Administradores de assistência técnica que, de outra forma, seriam capazes de redefinir suas senhas ou acessar chaves de recuperação do BitLocker. Você pode adicionar suas contas de usuário de nível C em uma unidade administrativa de gerenciamento restrito e habilitar um conjunto confiável específico de administradores que podem redefinir suas senhas e acessar as chaves de recuperação do BitLocker quando necessário.
  • Você está implementando um controle de conformidade para garantir que determinados recursos só possam ser gerenciados por administradores em um país específico. Você pode adicionar esses recursos em uma unidade administrativa de gerenciamento restrito e atribuir administradores locais para gerenciar esses objetos. Nem mesmo os Administradores Globais terão permissão para modificar os objetos, a menos que eles se atribuam explicitamente a uma função com escopo para a unidade administrativa de gerenciamento restrito (que é um evento auditável).
  • Você está usando grupos de segurança para controlar o acesso a aplicativos confidenciais em sua organização e não deseja permitir que os administradores com escopo de locatário, que podem modificar grupos, controlem quem pode acessar os aplicativos. Você pode adicionar esses grupos de segurança a uma unidade administrativa de gerenciamento restrito e, em seguida, garantir que somente os administradores específicos que você atribuir podem gerenciá-los.

Observação

Colocar objetos em unidades administrativas de gerenciamento restrito restringe severamente quem pode fazer alterações nos objetos. Essa restrição pode causar a interrupção dos fluxos de trabalho existentes.

Quais objetos podem ser membros?

Aqui estão os objetos que podem ser membros de unidades administrativas de gerenciamento restrito.

Tipo de objeto do Microsoft Entra Unidade administrativa Unidade administrativa com configuração de gerenciamento restrito habilitada
Usuários Sim Sim
Dispositivos Sim Sim
Grupos (Segurança) Sim Sim
Grupos (Microsoft 365) Sim Não
Grupos (Segurança habilitada para email) Sim Não
Grupos (Distribuição) Sim Não

Quais tipos de operações são bloqueadas?

Para administradores que não estão explicitamente atribuídos no escopo de unidade administrativa de gerenciamento restrito, as operações que modificam diretamente as propriedades de objetos do Microsoft Entra em unidades administrativas de gerenciamento restrito são bloqueadas, enquanto as operações em objetos relacionados nos serviços do Microsoft 365 não são afetadas.

Tipo de operação Bloqueado Permitido
Ler propriedades padrão, como nome UPN, foto do usuário
Modificar quaisquer propriedades do Microsoft Entra do usuário, grupo ou dispositivo
Excluir o usuário, grupo ou dispositivo
Atualizar a senha de um usuário
Modificar proprietários ou membros do grupo na unidade administrativa de gerenciamento restrito
Adicionar usuários, grupos ou dispositivos em uma unidade administrativa de gerenciamento restrito a grupos no Microsoft Entra ID
Modificar as configurações de email e caixa de correio no Exchange do usuário na unidade administrativa de gerenciamento restrito
Aplicar políticas a um dispositivo em uma unidade administrativa de gerenciamento restrito usando o Intune
Adicionar ou remover um grupo como proprietário de um site no SharePoint

Quem pode modificar objetos?

Somente administradores com uma atribuição explícita no escopo de uma unidade administrativa de gerenciamento restrito podem alterar as propriedades de objetos do Microsoft Entra ID na unidade administrativa de gerenciamento restrito.

Função de usuário Bloqueado Permitido
Administrador Global
Administradores com escopo de locatário (incluindo o Administrador Global)
Administradores atribuídos no escopo da unidade administrativa de gerenciamento restrito
Administradores atribuídos no escopo de outra unidade administrativa de gerenciamento restrito da qual o objeto é membro
Administradores atribuídos no escopo de outra unidade administrativa regular da qual o objeto é membro
Administrador de Grupos, Administrador de Usuários e outras funções atribuídas no escopo de um recurso
Proprietários de grupos ou dispositivos adicionados a unidades administrativas de gerenciamento restrito

Limitações

Aqui estão alguns dos limites e restrições para unidades administrativas de gerenciamento restrito.

  • A configuração do gerenciamento restrito deve ser aplicada durante a criação da unidade administrativa e não pode ser alterada depois da criação da unidade administrativa.
  • Os grupos em uma unidade administrativa de gerenciamento restrito não podem ser gerenciados com os recursos do Microsoft Entra ID Governance, como o Privileged Identity Management do Microsoft Entra ou o gerenciamento de direitos do Microsoft Entra.
  • Os grupos atribuíveis a funções, quando adicionados a uma unidade administrativa de gerenciamento restrito, não podem ter sua associação modificada. Os proprietários de grupos não têm permissão para gerenciar grupos em unidades administrativas de gerenciamento restrito e somente os Administradores Globais e os Administradores de Função com Privilégios (nenhum dos quais pode ser atribuído no escopo da unidade administrativa) podem modificar a associação.
  • Certas ações podem não ser possíveis quando um objeto está em uma unidade administrativa de gerenciamento restrito, se a função necessária não for uma das funções que podem ser atribuídas no escopo da unidade administrativa. Por exemplo, um Administrador Global em uma unidade administrativa de gerenciamento restrito não pode ter a senha redefinida por nenhum outro administrador no sistema, pois não há nenhuma função de administrador que possa ser atribuída no escopo da unidade administrativa que possa redefinir a senha de um Administrador Global. Nesses cenários, o Administrador Global precisaria ser removido da unidade administrativa de gerenciamento restrito primeiro e, em seguida, ter sua senha redefinida por outro Administrador Global ou Administrador de Funções com Privilégios.
  • Ao excluir uma unidade administrativa de gerenciamento restrito, pode levar até 30 minutos para remover todas as proteções dos membros anteriores.

Programação

Os aplicativos não podem modificar objetos em unidades administrativas de gerenciamento restrito por padrão. Para conceder a um aplicativo acesso para gerenciar objetos em uma unidade administrativa de gerenciamento restrito, você deve atribuir uma função do Microsoft Entra ao aplicativo no escopo dessa unidade administrativa de gerenciamento restrito. Se você atribuir permissões de aplicativo do Microsoft Graph ao aplicativo, essas permissões não serão aplicadas porque é um ambiente restrito.

Requisitos de licença

As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador da unidade administrativa e licenças do Microsoft Entra ID Gratuito para membros da unidade administrativa. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.

Próximas etapas