Adicionar usuários, grupos ou dispositivos a uma unidade administrativa

No Microsoft Entra ID, você pode adicionar usuários, grupos ou dispositivos a uma unidade administrativa para limitar o escopo das permissões de função. Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o âmbito de gestão da unidade administrativa, mas não os membros do grupo. Para obter detalhes adicionais sobre o que os administradores com escopo podem fazer, consulte Unidades administrativas no Microsoft Entra ID.

Este artigo descreve como adicionar usuários, grupos ou dispositivos a unidades administrativas manualmente. Para obter informações sobre como adicionar usuários ou dispositivos a unidades administrativas dinamicamente usando regras, consulte Gerenciar usuários ou dispositivos para uma unidade administrativa com regras para grupos dinâmicos de associação.

Pré-requisitos

• Licença do Microsoft Entra ID P1 ou P2 para cada administrador de unidade administrativa
• Licenças gratuitas do Microsoft Entra ID para membros da unidade administrativa
• Para adicionar usuários, grupos ou dispositivos existentes:
  • Administrador de Funções com Privilégios
• Para criar novos grupos:
  • Administrador de Grupos (com escopo para a unidade administrativa ou diretório inteiro)
• Microsoft Graph PowerShell
• Consentimento do administrador ao usar o Graph Explorer para API do Microsoft Graph

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Você pode adicionar usuários, grupos ou dispositivos a unidades administrativas usando o centro de administração do Microsoft Entra. Você também pode adicionar usuários em uma operação em massa ou criar um novo grupo em uma unidade administrativa.

Adicionar um único utilizador, grupo ou dispositivo a unidades administrativas

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Identidade.

3. Navegue até um dos seguintes:

   • Utilizadores>Todos os utilizadores
   • Grupos>Todos os grupos
   • Dispositivos>Todos os dispositivos

4. Selecione o usuário, grupo ou dispositivo que deseja adicionar às unidades administrativas.

5. Selecione Unidades administrativas.

6. Selecione Atribuir à unidade administrativa.

7. No painel Selecionar, selecione as unidades administrativas e, em seguida, selecione Selecionar.

   

Adicionar usuários, grupos ou dispositivos a uma única unidade administrativa

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Funções de identidade>e unidades de administração de>administradores.

3. Selecione a unidade administrativa à qual pretende adicionar utilizadores, grupos ou dispositivos.

4. Seleccione uma das seguintes opções:

   • Utilizadores
   • Grupos
   • Dispositivos

5. Selecione Adicionar membro, Adicionar ou Adicionar dispositivo.

6. No painel Selecionar, selecione os utilizadores, grupos ou dispositivos que pretende adicionar à unidade administrativa e, em seguida, selecione Selecionar.

   

Adicionar usuários a uma unidade administrativa em uma operação em massa

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Funções de identidade>e unidades de administração de>administradores.

3. Selecione a unidade administrativa à qual deseja adicionar usuários.

4. Selecione Usuários>Operações>em massa Adicionar membros em massa.

   

5. No painel Adicionar membros em massa, baixe o modelo CSV (valores separados por vírgula).

6. Edite o modelo CSV baixado com a lista de usuários que você deseja adicionar.

   Adicione um nome principal de usuário (UPN) em cada linha. Não remova as duas primeiras linhas do modelo.

7. Salve suas alterações e carregue o arquivo CSV.

   

8. Selecione Submeter.

Criar um novo grupo numa unidade administrativa

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

2. Navegue até Funções de identidade>e unidades de administração de>administradores.

3. Selecione a unidade administrativa na qual deseja criar um novo grupo.

4. Selecione Grupos.

5. Selecione Novo grupo e conclua as etapas para criar um novo grupo.

   

PowerShell

Use o comando New-MgDirectoryAdministrativeUnitMemberByRef para adicionar usuários, grupos ou dispositivos a uma unidade administrativa ou criar um novo grupo em uma unidade administrativa.

Adicionar usuários a uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Adicionar grupos a uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Adicionar dispositivos a uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Criar um novo grupo numa unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Microsoft Graph API

Use a API Adicionar um membro para adicionar usuários, grupos ou dispositivos a uma unidade administrativa ou criar um novo grupo em uma unidade administrativa.

Adicionar usuários a uma unidade administrativa

Pedir

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Exemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Adicionar grupos a uma unidade administrativa

Pedir

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Exemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Adicionar dispositivos a uma unidade administrativa

Pedir

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Criar um novo grupo numa unidade administrativa

Pedir

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Corpo

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Próximos passos

• Unidades administrativas no Microsoft Entra ID
• Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
• Gerenciar usuários ou dispositivos para uma unidade administrativa com regras para grupos dinâmicos de associação
• Remover usuários, grupos ou dispositivos de uma unidade administrativa