Criar ou excluir unidades administrativas
Importante
As unidades administrativas de gestão restrita estão atualmente em fase de pré-visualização. Consulte os Termos do Produto para obter os termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.
As unidades administrativas permitem-lhe subdividir a sua organização em qualquer unidade que quiser e, em seguida, atribuir administradores específicos que possam gerir apenas os membros dessa unidade. Por exemplo, você pode usar unidades administrativas para delegar permissões a administradores de cada escola em uma grande universidade, para que eles possam controlar o acesso, gerenciar usuários e definir políticas somente na Escola de Engenharia.
Este artigo descreve como criar ou excluir unidades administrativas para restringir o escopo de permissões de função no Microsoft Entra ID.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2 para cada administrador de unidade administrativa
- Licenças gratuitas do Microsoft Entra ID para membros da unidade administrativa
- Função privilegiada Função de administrador
- Módulo Microsoft.Graph ao usar o Microsoft Graph PowerShell
- Módulo do Azure AD PowerShell ao usar o PowerShell
- Módulo AzureADPreview ao usar o PowerShell e unidades administrativas de gerenciamento restrito
- Consentimento do administrador ao usar o Graph Explorer para API do Microsoft Graph
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Criar uma unidade administrativa
Você pode criar uma nova unidade administrativa usando o centro de administração do Microsoft Entra, o PowerShell ou o Microsoft Graph.
Centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione Adicionar.
Na caixa Nome, digite o nome da unidade administrativa. Opcionalmente, adicione uma descrição da unidade administrativa.
Se você não quiser que os administradores de nível de locatário possam acessar essa unidade administrativa, defina a alternância Unidade administrativa de gerenciamento restrito como Sim. Para obter mais informações, consulte Unidades administrativas de gerenciamento restrito.
Opcionalmente, na guia Atribuir funções, selecione uma função e, em seguida, selecione os usuários aos quais atribuir a função com esse escopo de unidade administrativa.
Na guia Revisar + criar, revise a unidade administrativa e todas as atribuições de função.
Selecione o botão Criar.
PowerShell
Use o comando Connect-MgGraph para entrar em seu locatário e consentir com as permissões necessárias.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Use o comando New-MgBetaDirectoryAdministrativeUnit para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade IsMemberManagementRestricted como $true.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Use a API Create administrativeUnit para criar uma nova unidade administrativa.
Pedir
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Corpo
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Use a API Create administrativeUnit (beta) para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade isMemberManagementRestricted como true.
Pedir
POST https://graph.microsoft.com/beta/administrativeUnits
Corpo
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Excluir uma unidade administrativa
No Microsoft Entra ID, você pode excluir uma unidade administrativa que não precisa mais como uma unidade de escopo para funções administrativas. Antes de excluir a unidade administrativa, você deve remover todas as atribuições de função com esse escopo da unidade administrativa.
Centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa que deseja excluir.
Selecione Funções e administradores e abra uma função para exibir as atribuições de função.
Remova todas as atribuições de função com o escopo da unidade administrativa.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Adicione uma marca de seleção ao lado da unidade administrativa que você deseja excluir.
Selecione Eliminar.
Para confirmar que deseja excluir a unidade administrativa, selecione Sim.
PowerShell
Use o comando Remove-MgDirectoryAdministrativeUnit para excluir uma unidade administrativa.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
Use a API Delete administrativeUnit para excluir uma unidade administrativa.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}