Unidades administrativas de gerenciamento restrito no Microsoft Entra ID (Visualização)
Importante
As unidades administrativas de gestão restrita estão atualmente em fase de pré-visualização. Consulte os Termos do Produto para obter os termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.
As unidades administrativas de gerenciamento restrito permitem que você proteja objetos específicos em seu locatário contra modificações feitas por qualquer pessoa que não seja um conjunto específico de administradores que você designar. Isso permite que você atenda aos requisitos de segurança ou conformidade sem precisar remover atribuições de função no nível do locatário de seus administradores.
Porquê utilizar unidades administrativas de gestão restrita?
Aqui estão alguns motivos pelos quais você pode usar unidades administrativas de gerenciamento restrito para ajudar a gerenciar o acesso em seu locatário.
- Você deseja proteger suas contas executivas de nível C e seus dispositivos contra Administradores de Helpdesk que, de outra forma, poderiam redefinir suas senhas ou acessar chaves de recuperação do BitLocker. Você pode adicionar suas contas de usuário de nível C em uma unidade administrativa de gerenciamento restrita e habilitar um conjunto confiável específico de administradores que podem redefinir suas senhas e acessar chaves de recuperação do BitLocker quando necessário.
- Você está implementando um controle de conformidade para garantir que determinados recursos só possam ser gerenciados por administradores em um país específico. Você pode adicionar esses recursos em uma unidade administrativa de gerenciamento restrito e atribuir administradores locais para gerenciar esses objetos. Mesmo os Administradores Globais não terão permissão para modificar os objetos, a menos que se atribuam explicitamente a uma função com escopo para a unidade administrativa de gerenciamento restrito (que é um evento auditável).
- Você está usando grupos de segurança para controlar o acesso a aplicativos confidenciais em sua organização e não deseja permitir que os administradores com escopo de locatário que podem modificar grupos possam controlar quem pode acessar os aplicativos. Você pode adicionar esses grupos de segurança a uma unidade administrativa de gerenciamento restrito e, em seguida, certificar-se de que apenas os administradores específicos atribuídos podem gerenciá-los.
Nota
A colocação de objetos em unidades administrativas de gerenciamento restrito restringe severamente quem pode fazer alterações nos objetos. Essa restrição pode fazer com que os fluxos de trabalho existentes sejam interrompidos.
Que objetos podem ser membros?
Aqui estão os objetos que podem ser membros de unidades administrativas de gerenciamento restrito.
| Tipo de objeto Microsoft Entra | Unidade administrativa | Unidade administrativa com configuração de gerenciamento restrito habilitada |
|---|---|---|
| Utilizadores | Sim | Sim |
| Dispositivos | Sim | Sim |
| Grupos (Segurança) | Sim | Sim |
| Grupos (Microsoft 365) | Sim | No |
| Grupos (segurança ativada para email) | Sim | No |
| Grupos (Distribuição) | Sim | No |
Que tipos de operações são bloqueadas?
Para administradores não atribuídos explicitamente no escopo da unidade administrativa de gerenciamento restrito, as operações que modificam diretamente as propriedades do Microsoft Entra de objetos em unidades administrativas de gerenciamento restrito são bloqueadas, enquanto as operações em objetos relacionados nos serviços do Microsoft 365 não são afetadas.
| Tipo de operação | Bloqueado | Permitido |
|---|---|---|
| Leia as propriedades padrão, como nome principal do usuário, foto do usuário | ✅ | |
| Modificar quaisquer propriedades do Microsoft Entra do usuário, grupo ou dispositivo | ❌ | |
| Excluir o usuário, grupo ou dispositivo | ❌ | |
| Atualizar senha para um usuário | ❌ | |
| Modificar proprietários ou membros do grupo na unidade administrativa de gestão restrita | ❌ | |
| Adicionar usuários, grupos ou dispositivos em uma unidade administrativa de gerenciamento restrita a grupos no Microsoft Entra ID | ✅ | |
| Modificar configurações de email e caixa de correio no Exchange para o usuário na unidade administrativa de gerenciamento restrito | ✅ | |
| Aplicar políticas a um dispositivo numa unidade administrativa de gestão restrita com o Intune | ✅ | |
| Adicionar ou remover um grupo como proprietário de site no SharePoint | ✅ |
Quem pode modificar objetos?
Somente administradores com uma atribuição explícita no escopo de uma unidade administrativa de gerenciamento restrito podem alterar as propriedades do Microsoft Entra de objetos na unidade administrativa de gerenciamento restrito.
| Função do utilizador | Bloqueado | Permitido |
|---|---|---|
| Administrador Global do | ❌ | |
| Administradores com escopo de locatário (incluindo Administrador Global) | ❌ | |
| Administradores afetados no âmbito da unidade administrativa de gestão restrita | ✅ | |
| Administradores atribuídos no âmbito de outra unidade administrativa de gestão restrita da qual o objeto é membro | ✅ | |
| Administradores designados no âmbito de outra unidade administrativa regular da qual o objeto é membro | ❌ | |
| Administrador de Grupos, Administrador de Usuários e outras funções atribuídas no escopo de um recurso | ❌ | |
| Proprietários de grupos ou dispositivos adicionados a unidades administrativas de gerenciamento restrito | ❌ |
Limitações
Aqui estão alguns dos limites e restrições para unidades administrativas de gestão restrita.
- A configuração de gerenciamento restrito deve ser aplicada durante a criação da unidade administrativa e não pode ser alterada depois que a unidade administrativa for criada.
- Os grupos em uma unidade administrativa de gerenciamento restrito não podem ser gerenciados com os recursos de Governança de ID do Microsoft Entra, como o Gerenciamento de Identidades Privilegiadas do Microsoft Entra ou o Gerenciamento de Direitos do Microsoft Entra.
- Os grupos atribuíveis por função, quando adicionados a uma unidade administrativa de gerenciamento restrita, não podem ter sua associação modificada. Os proprietários de grupos não têm permissão para gerenciar grupos em unidades administrativas de gerenciamento restrito e apenas Administradores Globais e Administradores de Função Privilegiada (nenhum dos quais pode ser atribuído no escopo da unidade administrativa) podem modificar a associação.
- Certas ações podem não ser possíveis quando um objeto está em uma unidade administrativa de gerenciamento restrita, se a função necessária não for uma das funções que podem ser atribuídas no escopo da unidade administrativa. Por exemplo, um Administrador Global em uma unidade administrativa de gerenciamento restrito não pode ter sua senha redefinida por nenhum outro administrador no sistema, porque não há nenhuma função de administrador que possa ser atribuída no escopo da unidade administrativa que possa redefinir a senha de um Administrador Global. Nesses cenários, o Administrador Global precisaria ser removido da unidade administrativa de gerenciamento restrito primeiro e, em seguida, ter sua senha redefinida por outro Administrador Global ou Administrador de Função Privilegiada.
- Ao excluir uma unidade administrativa de gerenciamento restrita, pode levar até 30 minutos para remover todas as proteções dos antigos membros.
Programabilidade
Os aplicativos não podem modificar objetos em unidades administrativas de gerenciamento restrito por padrão. Para conceder a um aplicativo acesso para gerenciar objetos em uma unidade administrativa de gerenciamento restrito, você deve atribuir a permissão Directory.Write.Restrictedno Microsoft Graph.
Requisitos de licença
As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador de unidade administrativa e licenças do Microsoft Entra ID Free para membros da unidade administrativa. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.