O que é o gerenciamento de usuários empresariais?

Este artigo apresenta ao administrador do Microsoft Entra ID, parte do Microsoft Entra, a relação entre as principais tarefas de gerenciamento de identidades para os usuários em termos de grupos, licenças, aplicativos empresariais implantados e funções de administrador. À medida que a sua organização cresce, você pode usar os grupos e as funções de administrador do Microsoft Entra para:

  • Atribua licenças a grupos em vez de atribuir licenças a usuários individuais.
  • Conceder permissões para delegar o trabalho de gerenciamento do Microsoft Entra aos funcionários em funções com menos privilégios.
  • Atribuir acesso de aplicativo empresarial a grupos.

Atribuir usuários a grupos

Use os grupos do Microsoft Entra para atribuir licenças ou aplicativos empresariais implantados a um grande número de usuários. Use também os grupos para atribuir todas as funções de administrador, exceto administrador global do Microsoft Entra, ou permitir acesso a recursos externos, como aplicativos SaaS ou sites do SharePoint.

Use os grupos de associação dinâmica do Microsoft Entra ID para expandir e recolher automaticamente grupos de associação dinâmica. Os grupos dinâmicos fornecem maior flexibilidade e reduzem o trabalho de gerenciamento do grupo de associação dinâmica.

Observação

Você precisa de uma licença do Microsoft Entra ID P1 para cada usuário que seja membro de um ou mais grupos de associação dinâmica.

Atribuir licenças a grupos

Gerenciar atribuições de licença de usuário individualmente é demorado e propenso a erros. Se você atribuir licenças a grupos, terá um gerenciamento de licenças em grande escala mais fácil.

Os usuários do Microsoft Entra que ingressam em um grupo licenciado recebem automaticamente as licenças apropriadas. Quando os usuários saem do grupo, a ID do Microsoft Entra remove as respectivas atribuições de licença. Sem os grupos do Microsoft Entra, você precisará escrever um script do PowerShell ou usar a API do Graph para adicionar ou remover em massa as licenças dos usuários que estão ingressando na organização ou saindo dela. Para obter mais informações sobre operações em massa de grupo, consulte Carregar em massa para adicionar ou criar membros de um grupo.

Se não houver licenças suficientes disponíveis ou se ocorrer um problema como, por exemplo, planos de serviço que não podem ser atribuídos ao mesmo tempo, você poderá ver o status dos problemas de licenciamento do grupo no portal do Azure.

Delegar funções de administrador

Muitas organizações de grande porte desejam ter opções para seus usuários obterem permissões suficientes para suas tarefas de trabalho sem atribuir a poderosa função de Administrador Global a, por exemplo, usuários que devem registrar aplicativos. Aqui está um exemplo de novas funções de administrador do Microsoft Entra para ajudá-lo a distribuir o trabalho do gerenciamento de aplicativos com mais especificidade:

Nome da função Resumo de permissões
Administrador de Aplicativos Pode adicionar e gerenciar aplicativos empresariais e registros de aplicativo e definir configurações de proxy do aplicativo. Administradores de aplicativo podem exibir as políticas de acesso condicional e os dispositivos, mas não gerenciá-los.
Administrador de Aplicativos de Nuvem Pode adicionar e gerenciar aplicativos empresariais e Registros de aplicativo empresarial. Essa função tem todas as permissões do administrador do aplicativo, exceto que não pode gerenciar as configurações de proxy de aplicativo.
Desenvolvedor de Aplicativo Pode adicionar e atualizar registros de aplicativo, mas não pode gerenciar aplicativos empresariais nem configurar um proxy de aplicativo.

Novas funções de administrador do Microsoft Entra estão sendo adicionadas. Verifique o portal do Azure ou a referência de permissão de função de administrador para as funções disponíveis atuais.

Atribuir acesso de aplicativo

Use a ID do Microsoft Entra para atribuir acesso de grupo aos aplicativos empresariais implantados na sua organização do Microsoft Entra. Se você combinar grupos de associação dinâmica com atribuição de grupo a aplicativos, poderá automatizar as atribuições de acesso ao aplicativo do usuário à medida que a organização crescer. Você precisará ter uma licença P1 ou Premium P2 da ID do Microsoft Entra para atribuir acesso aos aplicativos empresariais.

O Microsoft Entra ID também fornece controle específico dos dados que fluem entre o aplicativo e os grupos aos quais você atribui acesso. Em Aplicativos Empresariais, abra um aplicativo e selecione Provisionamento para:

  • Configurar provisionamento automático para aplicativos que dão suporte a ele
  • Fornecer as credenciais para conectar-se à API de gerenciamento de usuário do aplicativo
  • Configurar os mapeamentos que controlam os fluxos de atributos de usuário entre a ID do Microsoft Entra e o aplicativo quando as contas de usuário são provisionadas ou atualizadas
  • Iniciar e parar o serviço de provisionamento do Microsoft Entra para um aplicativo, limpar o cache de provisionamento ou reiniciar o serviço
  • Exibir o Relatório de atividades de provisionamento, que fornece um log de todos os usuários e grupos criados, atualizados e removidos entre a ID do Microsoft Entra e o aplicativo e o Relatório de erros de provisionamento, que fornece mensagens de erro mais detalhadas

Próximas etapas

Se você é um administrador iniciante do Microsoft Entra, aprenda os conceitos básicos em Fundamentos do Microsoft Entra.

Ou você pode começar a criar grupos, atribuir licenças, atribuir acesso do aplicativo ou atribuir funções de administrador.