Adicionar e gerenciar contas de administrador
Aplica-se a: Locatários da força de trabalho
Locatários externos (saiba mais)
Na ID externa do Microsoft Entra, um locatário externo representa seu diretório de contas de consumidor e convidado. Com uma função de administrador, as contas corporativas e de convidado podem gerenciar o locatário.
Pré-requisitos
- Se você ainda não criou seu locatário externo do Microsoft Entra, crie um agora.
- Noções básicas sobre as contas de usuário na ID Externa do Microsoft Entra.
- Entenda mais sobre as funções de usuário usadas para controlar o acesso a recursos.
Adicionar uma conta de administrador
Use as etapas a seguir para criar uma nova conta de usuário e conceder permissões de administrador à conta adicionando uma função do Microsoft Entra. (Somente as etapas necessárias são descritas aqui. Para obter uma descrição completa de todas as características, consulte o artigo da Microsoft Entra ID Como criar usuários.)
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione Novo Usuário>Criar Novo Usuário.
Na guia Informações básicas, em Identidade, insira as informações sobre este administrador:
- Nome principal do usuário: insira um nome de usuário exclusivo e selecione um domínio no menu suspenso após o símbolo @.
- Nome de exibição: insira o nome do usuário, como Chris Green ou Chris A. Green.
- Senha: copie a senha gerada automaticamente ou desmarque a opção gerar senha automaticamente e insira uma senha diferente. Você precisa dar essa senha ao administrador para entrar pela primeira vez.
Selecione a guia Atribuições e use as etapas a seguir para atribuir uma função ao usuário. (Adicionar um grupo é opcional).
- Selecione + Adicionar função.
- No menu exibido, escolha até 20 funções na lista. Você pode atribuir o usuário a uma ou mais das funções de administrador no Microsoft Entra ID.
- Escolha o botão Selecionar.
Selecione o botão Revisar + criar.
O administrador é criado e adicionado ao seu locatário externo.
Convidar um administrador (conta de convidado)
Você também pode chamar um novo usuário convidado para gerenciar seu locatário. Para convidar um novo usuário convidado com permissões de administrador, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione Novo usuário>Convidar usuário externo (versão prévia).
Na guia Informações básicas, insira as informações sobre o usuário:
- Email. Obrigatório. O endereço de email do usuário que você gostaria de convidar.
- Nome de exibição. O primeiro e último nome do novo usuário. Por exemplo, Mary Parker.
- Em Mensagem de convite:
- Selecione a caixa de seleção Enviar mensagem de convite se quiser enviar o email de convite ao usuário. Caso contrário, desmarque a caixa de seleção.
- Na Mensagem , adicione uma mensagem pessoal para incluir no email de convite.
- Para enviar uma cópia do email de convite a alguém, adicione o endereço de email na caixa de texto destinatário Cc.
- A URL de redirecionamento do Invite, por padrão, direciona para MyApplications, onde o usuário é levado ao aceitar o convite. Você pode alterá-la para uma URL diferente.
Selecione a guia Atribuições e use as etapas a seguir para atribuir uma função ao usuário. (Adicionar um grupo é opcional).
- Selecione + Adicionar função.
- No menu exibido, escolha até 20 funções na lista. Você pode atribuir o usuário a uma ou mais das funções de administrador no Microsoft Entra ID.
- Escolha o botão Selecionar.
Selecione o botão Revisar + convidar.
Um email de convite é enviado para o usuário. O usuário precisa aceitar o convite para poder entrar.
Alterar ou adicionar uma atribuição de função
Você pode atribuir uma função ao criar um usuário ou chamar um usuário convidado. Você pode adicionar, alterar ou remover uma função para um usuário:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione o usuário cujas funções você deseja alterar. Depois, selecione Funções atribuídas.
- Selecione Adicionar atribuições, depois selecione a função a ser atribuída (por exemplo, Administrador de Aplicativos) e escolha Adicionar.
Excluir uma atribuição de função
Caso precise remover uma atribuição de função de um usuário, siga estas etapas:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione o usuário cujas funções você deseja alterar. Depois, selecione Funções atribuídas.
- Selecione a função que você deseja remover, por exemplo, Administrador de Aplicativos, depois selecione Remover atribuição.
Revisar atribuições de função da conta de administrador
Como parte de um processo de auditoria, você normalmente revisa quais usuários são atribuídos a funções específicas no seu diretório de cliente. Use as etapas a seguir para auditar quais usuários estão atualmente atribuídos a funções com privilégios.
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Funções e administradores>Funções e administradores.
- Selecione uma função, como Administrador de Usuário. A página Atribuições lista os usuários com essa função.
Excluir uma conta de administrador
Para excluir um usuário existente, você deve ter pelo menos a atribuição de função Administrador de Usuário. Os Administradores de Autenticação Com Privilégios podem excluir qualquer usuário, incluindo outros administradores. Os Administradores de Usuários podem excluir qualquer usuário não administrador.
- Entre no Centro de administração do Microsoft Entra como pelo menos um dos Administradores de Autenticação com Privilégios.
- Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione o usuário que deseja excluir.
- Para confirmar a exclusão, selecione Excluir e, depois, Sim.
O usuário é excluído e não aparecerá mais na página Todos os usuários. O usuário pode ser visto na página Usuários excluídos pelos próximos 30 dias e pode ser restaurado durante esse período. Para saber como restaurar um usuário, confira Restaurar ou remover um usuário excluído recentemente usando o Microsoft Entra ID.
Proteger contas administrativas
Recomendamos que você proteja todas as contas de administrador com MFA (autenticação multifator) para obter mais segurança. A MFA é um processo de verificação de identidade durante a entrada que solicita ao usuário uma senha de uso único.
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas de acordo com as recomendações para as contas de acesso de emergência.