Adicionar e gerenciar contas de administrador
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Na ID externa do Microsoft Entra, um locatário externo representa seu diretório de contas de consumidor e convidado. Com uma função de administrador, as contas corporativas e de convidado podem gerenciar o locatário.
Pré-requisitos
- Se você ainda não criou seu próprio locatário externo do Microsoft Entra, crie um agora.
- Noções básicas sobre as contas de usuário na ID Externa do Microsoft Entra.
- Entenda mais sobre as funções de usuário usadas para controlar o acesso a recursos.
Adicionar uma conta de administrador
Para criar uma nova conta de administrador, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione Novo Usuário>Criar Novo Usuário.
Na página Novo usuário, em Selecionar modelo, selecione Criar usuário.
Em Identidade, insira as informações desse administrador:
- Nome de usuário. Obrigatório. O nome de usuário do novo usuário. Por exemplo,
mary@contoso.com
. - Nome. Obrigatório. O primeiro e último nome do novo usuário. Por exemplo, Mary Parker.
- Nome. O primeiro nome do novo usuário. Por exemplo, Mary.
- Sobrenome. O último nome do novo usuário. Por exemplo, Parker.
- Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário aos grupos posteriormente.
- Funções: para adicionar permissões administrativas para o usuário, adicione-as a uma função do Microsoft Entra. Você pode atribuir o usuário a uma ou mais das funções de administrador no Microsoft Entra ID.
- Configurações: use a alternância sim ou não para definir Bloquear entrada e selecione o local principal do administrador na lista Local de uso.
- Informações do trabalho: você pode adicionar mais informações sobre o usuário nesse ponto ou fazer isso mais tarde.
- Nome de usuário. Obrigatório. O nome de usuário do novo usuário. Por exemplo,
Copie a senha gerada automaticamente que foi fornecida na caixa Senha. Você precisará fornecer essa senha ao administrador na primeira vez que entrar.
Selecione Criar.
O administrador é criado e adicionado ao seu locatário externo.
Convidar um administrador (conta de convidado)
Você também pode chamar um novo usuário convidado para gerenciar seu locatário. Para convidar um administrador, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione Novo usuário>Convidar usuário externo.
Na página Novo usuário, em Selecionar modelo, selecione Convidar usuário.
Em Identidade, insira as informações do administrador:
- Nome.. Obrigatório. O primeiro e último nome do novo usuário. Por exemplo, Mary Parker.
- Endereço de email. Obrigatório. O endereço de email do usuário que você gostaria de convidar.
- Nome. O primeiro nome do novo usuário. Por exemplo, Mary.
- Sobrenome. O último nome do novo usuário. Por exemplo, Parker.
- Mensagem pessoal: você adiciona uma mensagem pessoal que será incluída no email de convite.
- Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário aos grupos posteriormente.
- Funções: para adicionar permissões administrativas para o usuário, adicione-as a uma função do Microsoft Entra. Você pode atribuir o usuário a uma ou mais das funções de administrador no Microsoft Entra ID.
- Configurações: use a alternância sim ou não para definir Bloquear entrada e selecione o local principal do administrador na lista Local de uso.
- Informações do trabalho: você pode adicionar mais informações sobre o usuário nesse ponto ou fazer isso mais tarde.
Selecione Convidar.
Um email de convite é enviado para o usuário. O usuário precisa aceitar o convite para poder entrar.
Adicionar uma atribuição de função
Você pode atribuir uma função ao criar um usuário ou chamar um usuário convidado. Você pode adicionar, alterar ou remover uma função para um usuário:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione o usuário cujas funções você deseja alterar. Depois, selecione Funções atribuídas.
- Selecione Adicionar atribuições, depois selecione a função a ser atribuída (por exemplo, Administrador de Aplicativos) e escolha Adicionar.
Excluir uma atribuição de função
Caso precise remover uma atribuição de função de um usuário, siga estas etapas:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione o usuário cujas funções você deseja alterar. Depois, selecione Funções atribuídas.
- Selecione a função que você deseja remover, por exemplo, Administrador de Aplicativos, depois selecione Remover atribuição.
Revisar atribuições de função da conta de administrador
Como parte de um processo de auditoria, você normalmente revisa quais usuários são atribuídos a funções específicas no seu diretório de cliente. Use as etapas a seguir para auditar quais usuários estão atualmente atribuídos a funções com privilégios.
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo do menu Diretórios + assinaturas.
- Navegue até Identidade>Funções e administradores>Funções e administradores.
- Selecione uma função, como Administrador de Usuário. A página Atribuições lista os usuários com essa função.
Excluir uma conta de administrador
Para excluir um usuário existente, você deve ter pelo menos a atribuição de função Administrador de Usuário. Os Administradores de Autenticação Com Privilégios podem excluir qualquer usuário, incluindo outros administradores. Os Administradores de Usuários podem excluir qualquer usuário não administrador.
- Entre no Centro de administração do Microsoft Entra como pelo menos um dos Administradores de Autenticação com Privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione o usuário que deseja excluir.
- Para confirmar a exclusão, selecione Excluir e, depois, Sim.
O usuário é excluído e não aparecerá mais na página Todos os usuários. O usuário pode ser visto na página Usuários excluídos pelos próximos 30 dias e pode ser restaurado durante esse período. Para saber como restaurar um usuário, confira Restaurar ou remover um usuário excluído recentemente usando o Microsoft Entra ID.
Proteger contas administrativas
É recomendável que você proteja todas as contas de administrador com a MFA (autenticação multifator) para obter mais segurança. A MFA é um processo de verificação de identidade durante a entrada que solicita ao usuário uma senha de uso único.
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas de acordo com as recomendações para as contas de acesso de emergência.