Partilhar via

Adicionar e gerenciar contas de administrador

  • Artigo

Aplica-se a:Círculo branco com um símbolo X cinzento.Locatários da força deCírculo verde com um símbolo de marca de verificação branco.trabalho Locatários externos (saiba mais)

No Microsoft Entra External ID, um locatário externo representa seu diretório de contas de consumidor e convidado. Com uma função de administrador, as contas de trabalho e de convidado podem gerenciar o locatário.

Pré-requisitos

  • Se você ainda não criou seu próprio locatário externo do Microsoft Entra, crie um agora.
  • Entenda as contas de usuário no Microsoft Entra External ID.
  • Compreender as funções do usuário para controlar o acesso aos recursos.

Adicionar uma conta de administrador

Para criar uma nova conta de administrador, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.

  3. Aceder a Identidade>Utilizadores>Todos os Utilizadores.

  4. Selecione Novo usuário>Criar novo usuário.

  5. Na página Novo usuário, em Selecionar modelo, selecione Criar usuário.

  6. Em Identidade, insira as informações para este administrador:

    • Nome de usuário. Necessário. O nome de usuário do novo usuário. Por exemplo, mary@contoso.com.
    • Nome. Necessário. O nome e o sobrenome do novo usuário. Por exemplo, Mary Parker.
    • Nome próprio. O primeiro nome do novo usuário. Por exemplo, Maria.
    • Apelido. O sobrenome do novo usuário. Por exemplo, Parker.
    • Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário a grupos posteriormente.
    • Funções: para adicionar permissões administrativas para o usuário, adicione-as a uma função do Microsoft Entra. Você pode atribuir o usuário a uma ou mais das funções de administrador no Microsoft Entra ID.
    • Configurações: use a alternância sim ou não para definir Bloquear entrada e selecione o local principal do administrador na lista Local de uso .
    • Informações sobre o trabalho: você pode adicionar mais informações sobre o usuário aqui ou fazê-lo mais tarde.

  7. Copie a palavra-passe gerada automaticamente fornecida na caixa Palavra-passe. Terá de fornecer esta palavra-passe ao administrador para iniciar sessão pela primeira vez.

  8. Selecione Criar.

O administrador é criado e adicionado ao seu locatário externo.

Convidar um administrador (conta de convidado)

Você também pode convidar um novo usuário convidado para gerenciar seu locatário. Para convidar um administrador, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.

  3. Aceder a Identidade>Utilizadores>Todos os Utilizadores.

  4. Selecione Novo usuário>Convidar usuário externo.

  5. Na página Novo usuário, em Selecionar modelo, selecione Convidar usuário.

  6. Em Identidade, insira informações para o administrador:

    • Nome. Necessário. O nome e o sobrenome do novo usuário. Por exemplo, Mary Parker.
    • Endereço de e-mail. Necessário. O endereço de e-mail do usuário que você gostaria de convidar.
    • Nome próprio. O primeiro nome do novo usuário. Por exemplo, Maria.
    • Apelido. O sobrenome do novo usuário. Por exemplo, Parker.
    • Mensagem pessoal: você adiciona uma mensagem pessoal que será incluída no e-mail de convite.
    • Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário a grupos posteriormente.
    • Funções: para adicionar permissões administrativas para o usuário, adicione-as a uma função do Microsoft Entra. Você pode atribuir o usuário a uma ou mais das funções de administrador no Microsoft Entra ID.
    • Configurações: use a alternância sim ou não para definir Bloquear entrada e selecione o local principal do administrador na lista Local de uso .
    • Informações sobre o trabalho: você pode adicionar mais informações sobre o usuário aqui ou fazê-lo mais tarde.

  7. Selecione Convidar.

Um e-mail de convite é enviado ao usuário. O usuário precisa aceitar o convite para poder entrar.

Adicionar uma atribuição de função

Você pode atribuir uma função ao criar um usuário ou convidar um usuário convidado. Você pode adicionar uma função, alterá-la ou remover uma função para um usuário:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
  3. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  4. Selecione o usuário para o qual você deseja alterar as funções. Em seguida, selecione Funções atribuídas.
  5. Selecione Adicionar atribuições, selecione a função a atribuir (por exemplo, Administrador de Aplicativos) e escolha Adicionar.

Remover uma atribuição de função

Se você precisar remover uma atribuição de função de um usuário, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
  3. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  4. Selecione o usuário para o qual você deseja alterar as funções. Em seguida, selecione Funções atribuídas.
  5. Selecione a função que deseja remover, por exemplo, Administrador de aplicativo e, em seguida, selecione Remover atribuição.

Rever as atribuições de função de administrador da conta

Como parte de um processo de auditoria, você normalmente analisa quais usuários são atribuídos a funções específicas no diretório de clientes. Use as etapas a seguir para auditar quais usuários estão atualmente atribuídos a funções privilegiadas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
  3. Navegue até Identity>Roles & admins>Roles & admins.
  4. Selecione uma função, como Administrador de Usuário. A página Atribuições lista os usuários com essa função.

Excluir uma conta de administrador

Para excluir um usuário existente, você deve ter pelo menos a atribuição da função Administrador de Usuário . Os administradores de autenticação privilegiada podem excluir qualquer usuário, incluindo outros administradores. Os administradores de usuários podem excluir qualquer usuário não administrador.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação Privilegiada.
  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
  3. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  4. Selecione o usuário que você deseja excluir.
  5. Selecione Excluir e, em seguida, Sim para confirmar a exclusão.

O usuário é excluído e não aparece mais na página Todos os usuários . O utilizador pode ser visto na página Utilizadores eliminados durante os próximos 30 dias e pode ser restaurado durante esse período. Para obter mais informações sobre como restaurar um usuário, consulte Restaurar ou remover um usuário excluído recentemente usando o Microsoft Entra ID.

Proteger contas administrativas

É recomendável proteger todas as contas de administrador com autenticação multifator (MFA) para maior segurança. MFA é um processo de verificação de identidade durante o início de sessão que solicita ao utilizador um código de acesso único.

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.