Home Entra ID Entra ID – Delegação de acesso com Unidades Administrativas

Entra ID – Delegação de acesso com Unidades Administrativas

por Avatar photoJosimar Hedler
por Avatar photoJosimar Hedler 280 visualizações 4 minutos leitura

As unidades administrativas são recursos do Microsoft Entra ID que podem ser contêineres para outros recursos do Microsoft Entra. Uma unidade administrativa pode conter apenas usuários, grupos e dispositivos.

As unidades administrativas restringem as permissões de uma função a qualquer parte da organização que você definir. Você pode, por exemplo, usar unidades administrativas para delegar a função de Administrador da assistência técnica a especialistas de suporte regional, para que eles possam gerenciar os usuários somente na região à qual dão suporte. Você pode gerenciar unidades administrativas usando o portal do Azure, os cmdlets e scripts do PowerShell ou o Microsoft Graph.

ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção

O que é uma unidade administrativa?

No Microsoft Entra ID, usando um único locatário, se você atribuir a um usuário qualquer função de administrador, ele agora será um administrador de todos os usuários do locatário e facilita a administração em empresas com múltiplas filiais, departamentos ou equipes. Sempre pense no princípio de segurança de privilégios mínimos: essa é sempre a melhor maneira de conceder responsabilidades administrativas. As unidades administrativas são contêineres criados para solucionar esse desafio no Microsoft Entra ID. Se você deseja que um administrador de usuários possa gerenciar apenas um conjunto específico de usuários e um grupo.

Digamos, apenas para gerenciar os usuários do Departamento de Pesquisa de um hospital. Você poderá configurar uma unidade administrativa. Dentro dessa unidade administrativa, você adicionaria os usuários e grupos da equipe de pesquisa e, em seguida, adicionaria um usuário específico à função de Administrador do Usuários dentro da unidade administrativa e o chamaria de Administrador para pesquisa. O administrador para pesquisa poderá gerenciar os usuários na unidade administrativa, mas não em todo o locatário, o que ajuda a atingir o princípio de privilégios mínimos. Tenho um artigo sobre o Princípio de segurança zero, você pode conferir ele clicando aqui.

Aqui está algumas das funções de administrador estão disponíveis para uma unidade administrativa.

  • Administrador de autenticação
  • Administrador de grupos
  • Administrador de assistência técnica
  • Administrador de licenças
  • Administrador de senha
  • Administrador de usuários

Nota: Se você estiver familiarizado com o Active Directory local, essa funcionalidade foi tratada na configuração de UOs (Unidades Organizacionais) em seu diretório e ao adicionar os usuários à UO.

Vamos aprender a configurarHands On

Pré-requisitos

  • Licença P1 ou P2 do Microsoft Entra ID para cada administrador de unidade administrativa
  • Licenças gratuitas de Identificação do Microsoft Entra para membros da unidade administrativa
  • Função de Administrador de Funções com Privilégios

Para criar uma Unidade Administrativa vamos para o portal do Microsoft Entra

  1. Vá para Identidade.
  2. Depois em Funções e Administradores.
  3. Unidades Administrativas.
  4. E em adicionar.

De um nome para sua Unidade Administrativa, depois se quiser você pode colocar um descrição.

Nota: Se você não quiser que administradores no nível do locatário possam acessar essa unidade administrativa, coloque o botão de alternância Unidade administrativa de gerenciamento restrito na posição Sim.
Use uma Unidade Administrativa Restrita se precisar
ocultar usuários e dados confidenciais de administradores não autorizados.

Na guia Atribuir funções, selecione uma função e selecione os usuários aos quais atribuir a função com esse escopo da unidade administrativa.

Feito isso, e so revisar e criar a sua Unidade Administrativa.

Adicionando usuários, grupo ou dispositivo em UA.

Assim que você criar sua Unidade Administrativa, clique sobre ela. Dessa forma, será exibida uma interface onde você pode adicionar usuários, grupos ou dispositivos. Neste artigo, seguiremos com a adição de usuários.

Gerenciar UA com regras de grupos de associação dinâmica.

Você pode adicionar ou remover manualmente usuários ou dispositivos de unidades administrativas. Com os grupos de associação dinâmica, você pode adicionar ou remover usuários ou dispositivos de unidades administrativas dinamicamente usando regras, veja como criar unidades administrativas com regras de grupos de associação dinâmica usando o centro de administração do Microsoft Entra.

Nota: As regras de associação dinâmica para unidades administrativas exigem uma licença do Microsoft Entra ID P1 para cada usuário exclusivo que seja membro de uma ou mais unidades administrativas dinâmicas.

Veja agora como configurar uma Unidade Administrativa utilizando regras de associação dinâmica para gerenciar automaticamente usuários.

No portal do Microsoft Entra ID

  1. Vá para Identidade.
  2. Depois em Funções e Administradores.
  3. Unidades Administrativas.
  4. Aqui ira listar as Unidades Admonistrativas ja criadas, clique sobre ela.

Agora vamos configurar uma Associação Dinâmica para Usuários em sua Unidade Administrativa.

  1. Vá para Propriedades.
  2. Em tipo de acesso selecione Usuário ou Grupo Dinâmico, nesse artigo seguiremos com Usuários.
  3. Depois em Adicionar Consulta Dinâmica.

Neste artigo, utilizei a expressão baseada na cidade como exemplo para a criação de usuários dinâmicos. No entanto, você pode escolher as seleções que melhor atendem às necessidades de sua organização, como estado, departamento ou outro atributo relevante.

Nota: Para que a regra funcione corretamente, o atributo correspondente deve ser preenchido corretamente no Microsoft Entra ID . No exemplo, utilizei “São Paulo” , mas cada empresa deve definir os valores conforme sua estrutura e objetivo.

Chegamos ao final desta jornada! E você, já utiliza Unidade Administrativo em seu ambiente corporativo? Compartilhe conosco quais políticas foram configuradas. Deixe seu comentário e faça parte desta jornada conosco!

Avatar photo

Sou Josimar Hedler, profissional de T.I atualmente aprimorando habilidades como Administrador do Microsoft 365. Comprometido com a excelência e inovação, buscando contribuir para soluções eficientes e a satisfação do cliente.” O objetivo é me tornar em breve um Especialista na area de segurança do Microsoft 365. Estou embarcando nessa nova jornada e estudar tem sido um desafio e ao mesmo tempo muito gratificante.

Você também pode gostar

Entra ID – Acionar Aplicativos Lógicos com extensões...

Entra ID – Automatizar tarefas de integração de...

Entra ID – Proxy de aplicativos locais para...

Entra ID – Simplificando a Recuperação e Gestão...

Entra ID – Grupos Dinâmicos de Dispositivos (Device...

Entra ID: Bloqueando Microsoft Admin Portals para Usuários...

Entra ID – Consentimento de usuários em aplicativos de...

Entra ID – Criando uma conexão ZTNA (Zero...

Entra ID – Criando uma conexão ZTNA (Zero...

Veja como o Identity Protection pode melhorar a...

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar