Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
No Microsoft Entra ID, para um controle administrativo mais granular, você pode atribuir uma função do Microsoft Entra com um escopo limitado a uma ou mais unidades administrativas. Quando uma função do Microsoft Entra é atribuída no escopo de uma unidade administrativa, as permissões de função se aplicam somente ao gerenciar membros da própria unidade administrativa e não se aplicam a definições ou configurações de todo o locatário.
Por exemplo, um administrador ao qual é atribuída a função de Administrador de Grupos no escopo de uma unidade administrativa pode gerenciar grupos que são membros da unidade administrativa, mas não pode gerenciar outros grupos no locatário. Eles também não podem gerenciar configurações de nível de locatário relacionadas a grupos, como expiração ou políticas de nomenclatura de grupo.
Este artigo descreve como atribuir funções do Microsoft Entra com o escopo da unidade administrativa.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2 para cada administrador de unidade administrativa
- Licenças gratuitas do Microsoft Entra ID para membros da unidade administrativa
- Administrador de Função com Privilégios ou Administrador Global
- Módulo do Microsoft Graph PowerShell ao usar o PowerShell
- Consentimento do administrador ao usar o Graph Explorer para API do Microsoft Graph
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Funções que podem ser atribuídas com o escopo da unidade administrativa
As seguintes funções do Microsoft Entra podem ser atribuídas com o escopo da unidade administrativa. Além disso, qualquer função personalizada pode ser atribuída com escopo de unidade administrativa, desde que as permissões da função personalizada incluam pelo menos uma permissão relevante para usuários, grupos ou dispositivos.
| Função | Description |
|---|---|
| Administrador de autenticação | Tem acesso para exibir, definir e redefinir informações de método de autenticação para qualquer usuário não administrador somente na unidade administrativa atribuída. |
| Administrador de dispositivos na nuvem | Acesso limitado para gerenciar dispositivos no Microsoft Entra ID. |
| Administrador de Grupos | Pode gerenciar todos os aspetos de grupos somente na unidade administrativa atribuída. |
| Administrador do Helpdesk | Pode redefinir senhas para não-administradores somente na unidade administrativa atribuída. |
| Administrador de Licenças | Pode atribuir, remover e atualizar atribuições de licença somente dentro da unidade administrativa. |
| Administrador de senha | Pode redefinir senhas apenas para não-administradores dentro da unidade administrativa atribuída. |
| Administrador de Impressoras | Pode gerenciar impressoras e conectores de impressoras. Para obter mais informações, consulte Delegar administração de impressoras no Universal Print. |
| Administrador de autenticação privilegiada | Pode acessar para visualizar, definir e redefinir informações de método de autenticação para qualquer usuário (administrador ou não-administrador). |
| Administrador do SharePoint | Pode gerenciar grupos do Microsoft 365 somente na unidade administrativa atribuída. Para sites do SharePoint associados a grupos do Microsoft 365 em uma unidade administrativa, também é possível atualizar as propriedades do site (nome do site, URL e política de compartilhamento externo) usando o centro de administração do Microsoft 365. Não é possível usar o centro de administração do SharePoint ou APIs do SharePoint para gerenciar sites. |
| Administrador de Equipas | Pode gerenciar grupos do Microsoft 365 somente na unidade administrativa atribuída. Pode gerenciar membros da equipe no centro de administração do Microsoft 365 apenas para equipes associadas a grupos na unidade administrativa atribuída. Não é possível usar o centro de administração do Teams. |
| Administrador de dispositivos do Teams | Pode executar tarefas relacionadas ao gerenciamento em dispositivos certificados pelo Teams. |
| Administrador de Utilizadores | Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados apenas dentro da unidade administrativa atribuída. Atualmente, não é possível gerenciar as fotografias de perfil dos usuários. |
| <Função personalizada> | Pode executar ações que se aplicam a usuários, grupos ou dispositivos, de acordo com a definição da função personalizada. |
Determinadas permissões de função aplicam-se apenas a usuários não administradores quando atribuídas ao escopo de uma unidade administrativa. Em outras palavras, os Administradores de Helpdesk com escopo de unidade administrativa podem redefinir senhas para usuários na unidade administrativa somente se esses usuários não tiverem funções de administrador. A lista de permissões a seguir é restrita quando o alvo de uma ação é outro administrador:
- Ler e modificar métodos de autenticação de usuário ou redefinir senhas de usuário
- Modificar propriedades confidenciais do usuário, como números de telefone, endereços de e-mail alternativos ou chaves secretas de Autorização Aberta (OAuth)
- Excluir ou restaurar contas de usuário
Entidades de segurança que podem ser atribuídas com o escopo da unidade administrativa
As seguintes entidades de segurança podem ser atribuídas a uma função com um escopo de unidade administrativa:
- Utilizadores
- Grupos atribuíveis de função do Microsoft Entra
- Principais de serviço
Entidades de serviço e utilizadores convidados
Entidades de serviço e usuários convidados não poderão usar uma atribuição de função com escopo para uma unidade administrativa, a menos que também recebam permissões correspondentes para ler os objetos. Isso ocorre porque as entidades de serviço e os usuários convidados não recebem permissões de leitura de diretório por padrão, que são necessárias para executar ações administrativas. Para permitir que uma entidade de serviço ou usuário convidado use uma atribuição de função com escopo para uma unidade administrativa, você deve atribuir a função Leitores de Diretório (ou outra função que inclua permissões de leitura) em um escopo de locatário.
Atualmente, não é possível atribuir permissões de leitura de diretório com escopo a uma unidade administrativa. Para obter mais informações sobre permissões padrão para usuários, consulte permissões de usuário padrão.
Atribuir uma função com um escopo de unidade administrativa
Você pode atribuir uma função do Microsoft Entra com um escopo de unidade administrativa usando o centro de administração do Microsoft Entra, o PowerShell ou o Microsoft Graph.
Centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa à qual quer atribuir um âmbito de função de utilizador.
No painel esquerdo, selecione Funções e administradores para listar todas as funções disponíveis.
Selecione a função a ser atribuída e, em seguida, selecione Adicionar atribuições.
No painel Adicionar atribuições, selecione um ou mais usuários a serem atribuídos à função.
Nota
Para atribuir uma função em uma unidade administrativa usando o Microsoft Entra Privileged Identity Management (PIM), consulte Atribuir funções do Microsoft Entra no PIM.
PowerShell
Use o comando New-MgRoleManagementDirectoryRoleAssignment e o parâmetro para atribuir uma função com escopo de DirectoryScopeId unidade administrativa.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Use a API Add a scopedRoleMember para atribuir uma função com escopo de unidade administrativa.
Pedir
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Corpo
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Listar atribuições de função com escopo de unidade administrativa
Você pode exibir uma lista de atribuições de função do Microsoft Entra com escopo de unidade administrativa usando o centro de administração do Microsoft Entra, o PowerShell ou o Microsoft Graph.
Centro de administração do Microsoft Entra
Você pode exibir todas as atribuições de função criadas com um escopo de unidade administrativa na seção Unidades administrativas do centro de administração do Microsoft Entra.
Inicie sessão no centro de administração do Microsoft Entra.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa para a lista de atribuições de função que você deseja exibir.
Selecione Funções e administradores e abra uma função para exibir as atribuições na unidade administrativa.
PowerShell
Use o comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para listar atribuições de função com escopo de unidade administrativa.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
Use a API List scopedRoleMembers para listar atribuições de função com escopo de unidade administrativa.
Pedir
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Corpo
{}