Unidades administrativas no Microsoft Entra ID

Esse artigo descreve as unidades administrativas no Microsoft Entra ID. Uma unidade administrativa é um recurso do Microsoft Entra que pode ser um contêiner para outros recursos do Microsoft Entra. Uma unidade administrativa pode conter apenas usuários, grupos ou dispositivos.

As unidades administrativas restringem as permissões de uma função a qualquer parte da organização que você definir. Você pode, por exemplo, usar unidades administrativas para delegar a função de Administrador da assistência técnica a especialistas de suporte regional, para que eles possam gerenciar os usuários somente na região à qual dão suporte. Se você atribuir uma função a um usuário que não seja membro de uma unidade administrativa, o escopo da função será todo o locatário.

Os usuários podem ser membros de várias unidades administrativas. Por exemplo, você pode adicionar usuários a unidades administrativas por geografia e divisão; Megan Bowen pode estar nas unidades administrativas de "Seattle" e "Marketing".

Cenário de implantação

Pode ser útil restringir o escopo administrativo usando unidades administrativas em organizações compostas por divisões independentes de qualquer tipo. Considere o exemplo de uma grande universidade composta por muitas escolas autônomas (Escola de Negócios, Escola de Engenharia e assim por diante). Cada escola tem uma equipe de administradores de TI que controlam o acesso, gerenciam usuários e definem políticas para a escola deles.

Um administrador central poderia:

  • Criar uma unidade administrativa para a Escola de Negócios.
  • Preencha a unidade administrativa apenas com alunos e funcionários da Escola de Negócios.
  • Criar uma função com permissões administrativas somente para usuários do Microsoft Entra na unidade administrativa da Escola de Negócios.
  • Adicione a equipe de TI da escola de negócios à função, juntamente com seu escopo.

Captura de tela da página Dispositivos e unidades administrativas com a opção Remover da unidade administrativa.

Restrições

Aqui estão algumas das restrições para unidades administrativas.

  • As unidades administrativas não podem ser aninhadas.
  • Atualmente, as unidades administrativas não estão disponíveis no Microsoft Entra ID Governance.

Grupos

Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o escopo de gerenciamento da unidade administrativa, mas não os respectivos membros. Em outras palavras, um administrador com escopo para a unidade administrativa pode gerenciar propriedades do grupo, como o nome do grupo ou a associação a ele, mas não pode gerenciar propriedades dos usuários ou dos dispositivos nesse grupo (a menos que esses usuários e dispositivos sejam adicionados separadamente como membros da unidade administrativa).

Por exemplo, um Administrador de Usuário com escopo para uma unidade administrativa que contém um grupo pode e não pode fazer o seguinte:

Permissões O que ele pode fazer
Gerenciar o nome do grupo
Gerenciar a associação do grupo
Gerenciar as propriedades do usuário para membros individuais do grupo
Gerenciar os métodos de autenticação do usuário de membros individuais do grupo
Redefinir as senhas de membros individuais do grupo

Para que o Administrador de Usuário gerencie as propriedades do usuário ou os métodos de autenticação do usuário de membros individuais do grupo, os membros do grupo (usuários) devem ser adicionados diretamente como membros da unidade administrativa.

Requisitos de licença

O uso de unidades administrativas requer uma licença do Microsoft Entra ID P1 em cada administrador da unidade administrativa que recebe funções de diretório no escopo da unidade administrativa e uma licença Gratuita do Microsoft Entra ID em cada membro da unidade administrativa. A criação de unidades administrativas está disponível com uma licença gratuita do Microsoft Entra ID. Se você estiver usando regras de grupos de associação dinâmica para unidades administrativas, cada membro da unidade administrativa precisará de uma licença do Microsoft Entra ID P1. Para localizar a licença correta para seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.

Gerenciar unidades administrativas

Você pode gerenciar unidades administrativas usando o Centro de administração do Microsoft Entra, cmdlets e scripts do PowerShell ou a API do Microsoft Graph. Para saber mais, veja:

Planejar suas unidades administrativas

Você pode usar unidades administrativas para agrupar logicamente os recursos do Microsoft Entra. Uma organização cujo departamento de TI está globalmente disperso, pode criar unidades administrativas que definem limites geográficos relevantes. Em outro cenário, em que uma organização global tem suborganizações com operações semiautônomas, as unidades administrativas podem representar as suborganizações.

Os critérios em que as unidades administrativas são criadas são guiados pelos requisitos exclusivos de uma organização. As unidades administrativas são uma forma comum de definir a estrutura nos serviços Microsoft 365. Recomendamos que você prepare suas unidades administrativas considerando o uso delas nos serviços Microsoft 365. Você pode obter o valor máximo das unidades administrativas quando pode associar recursos comuns no Microsoft 365 em uma unidade administrativa.

Você pode esperar que a criação de unidades administrativas na organização passe pelas seguintes fases:

  1. Adoção inicial: sua organização começará a criar unidades administrativas com base em critérios iniciais e o número de unidades administrativas aumentará à medida que os critérios forem refinados.
  2. Remoção: depois que os critérios estiverem definidos, as unidades administrativas que não forem mais necessárias serão excluídas.
  3. Estabilização: sua estrutura organizacional está definida e o número de unidades administrativas não será alterado significativamente em curto prazo.

Cenários atualmente suportados

Como um Administrador de Função com Privilégios, você pode usar o centro de administração do Microsoft Entra para:

  • Criar unidades administrativas
  • Adicionar usuários, grupos ou dispositivos como membros de unidades administrativas
  • Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de grupos de associação dinâmica
  • Atribua a equipe de TI a funções de administrador no escopo da unidade administrativa.

Os administradores com escopo de unidade administrativa podem usar o centro de administração do Microsoft 365 para gerenciamento básico de usuários em suas unidades administrativas. Um administrador de grupo com escopo de unidade administrativa pode gerenciar grupos usando o PowerShell, o Microsoft Graph e os centros de administração do Microsoft 365.

As unidades administrativas aplicam o escopo apenas às permissões de gerenciamento. Elas não impedem os membros ou administradores de usar as permissões de usuário padrão para procurar outros usuários, grupos ou recursos fora da unidade administrativa. No centro de administração do Microsoft 365, os usuários fora de uma unidade administrativa do administrador com escopo são filtrados. Mas você pode procurar outros usuários no centro de administração do Microsoft Entra, no PowerShell e em outros serviços da Microsoft.

Observação

Somente os recursos descritos nesta seção estão disponíveis no centro de administração do Microsoft 365. Não há recursos no nível da organização disponíveis para uma função do Microsoft Entra no escopo da unidade administrativa.

As seções a seguir descrevem o suporte atual para cenários de unidade administrativa.

Gestão da unidade administrativa

Permissões Microsoft Graph/PowerShell Centro de administração do Microsoft Entra Centro de administração do Microsoft 365
Criar ou excluir unidades administrativas
Adicionar ou remover membros
Atribuir administradores com escopo de unidade administrativa
Adicionar ou remover usuários ou dispositivos dinamicamente com base em regras
Adicionar ou remover grupos dinamicamente com base em regras

Gerenciamento de usuários

Permissões Microsoft Graph/PowerShell Centro de administração do Microsoft Entra Centro de administração do Microsoft 365
Gerenciamento no escopo da unidade administrativa de propriedades do usuário, senhas
Gerenciamento no escopo da unidade administrativa de licenças de usuário
Bloqueio e desbloqueio no escopo da unidade administrativa de entradas de usuários
Gerenciamento de credenciais de autenticação multifator do usuário no escopo da unidade administrativa

Gerenciamento de grupos

Permissões Microsoft Graph/PowerShell Centro de administração do Microsoft Entra Centro de administração do Microsoft 365
Criação e exclusão de grupos no escopo da unidade administrativa
Gerenciamento de associação e propriedades do grupo no escopo da unidade administrativa para grupos do Microsoft 365
Gerenciamento de associação e propriedades do grupo no escopo da unidade administrativa para todos os outros grupos
Gerenciamento no escopo da unidade administrativa de licenciamento de grupo

Gerenciamento de dispositivos

Permissões Microsoft Graph/PowerShell Centro de administração do Microsoft Entra Centro de administração do Microsoft 365
Habilitar, desabilitar ou excluir dispositivos
Ler chaves de recuperação do BitLocker

O gerenciamento de dispositivos no Intune não tem suporte no momento.

Próximas etapas