No Microsoft Entra ID, para um controle administrativo mais granular, você pode atribuir usuários a uma função do Microsoft Entra com um escopo limitado a uma ou mais unidades administrativas para usuários. Para ver os scripts de exemplo do PowerShell para tarefas comuns, consulte trabalhar com unidades administrativas.
Geral
Por que não posso criar uma unidade administrativa?
Você precisa receber pelo menos a função de Administrador de Função com Privilégios para criar uma unidade administrativa no Microsoft Entra ID. Verifique se o usuário que está tentando criar a unidade administrativa tem atribuída a ele a função de Administrador de Função com Privilégios.
Adicionei um grupo a uma unidade administrativa. Por que os membros do grupo ainda não são exibidos nele?
Quando você adiciona um grupo a uma unidade administrativa, isso não resulta na adição de todos os membros do grupo a ele. Os usuários devem ser atribuídos diretamente à unidade administrativa.
Acabei de adicionar (ou remover) um membro da unidade administrativa. Por que o membro não é exibido (ou continua sendo exibido) na interface do usuário?
Às vezes, a adição ou a remoção de um ou mais membros de uma unidade administrativa pode levar alguns minutos para ser refletida no painel Unidades administrativas. Como alternativa, você pode ir diretamente para as propriedades do recurso associado e ver se a ação foi concluída. Para obter mais informações sobre membros em unidades administrativas, confira Listar usuários, grupos ou dispositivos em uma unidade administrativa.
Sou um Administrador de senhas delegado em uma unidade administrativa. Por que não consigo redefinir a senha de um usuário específico?
Como administrador de uma unidade administrativa, você pode só redefinir senhas para os usuários atribuídos à sua unidade administrativa. Verifique se o usuário cuja redefinição de senha está falhando pertence à unidade administrativa à qual você foi atribuído. Se o usuário pertencer à mesma unidade administrativa, mas você ainda não puder redefinir a senha do usuário, verifique as funções atribuídas ao usuário.
Para evitar uma elevação de privilégio, um administrador com escopo de unidade administrativa não pode redefinir a senha de um usuário que está atribuído a uma função com um escopo de toda a organização.
Por que as unidades administrativas são necessárias? Não poderíamos ter usado grupos de segurança como a forma de definir um escopo?
Os grupos de segurança têm um modelo de finalidade e autorização existente. Um Usuário Administrador, por exemplo, pode gerenciar a associação de todos os grupos de segurança na organização do Microsoft Entra. A função pode usar grupos para gerenciar o acesso a aplicativos como o Salesforce. Um Administrador de Usuário não deve ser capaz de gerenciar o próprio modelo de delegação, que seria o resultado se os grupos de segurança fossem estendidos para dar suporte a cenários de "Agrupamento de recursos".
As unidades administrativas, como as unidades organizacionais no Windows Server Active Directory, têm a finalidade de fornecer uma maneira de delimitar a administração de uma grande variedade de objetos de diretório. Os próprios grupos de segurança podem ser membros de escopos de recursos. Usar grupos de segurança para definir o conjunto de grupos de segurança que um administrador pode gerenciar pode se tornar confuso.
O que significa adicionar um grupo a uma unidade administrativa?
Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o escopo de gerenciamento da unidade administrativa, mas não os respectivos membros. Para obter mais informações, consulte Unidades administrativas no Microsoft Entra ID.
Um recurso (usuário, grupo ou dispositivo) pode ser membro de mais de uma unidade administrativa?
Sim, um recurso pode ser membro de mais de uma unidade administrativa. O recurso pode ser gerenciado por todos os administradores com escopo de unidade administrativa e em toda a organização que têm permissões sobre o recurso.
As unidades administrativas estão disponíveis em organizações B2C?
Não, as unidades administrativas não estão disponíveis para organizações B2C.
Há suporte para unidades administrativas aninhadas?
Não, não há suporte para unidades administrativas aninhadas.
Há suporte para unidades administrativas no PowerShell e na API do Microsoft Graph?
Sim. Você encontrará suporte para unidades administrativas na documentação do cmdlet do PowerShell e scripts de exemplo.
Encontre suporte para o tipo de recurso administrativeUnit em Microsoft Graph.
Unidades administrativas dinâmicas
Acabei de salvar uma regra de grupos de associação dinâmica de uma unidade administrativa, mas ainda não vejo nenhum usuário preenchido.
A atualização inicial de uma unidade administrativa pode levar alguns minutos, dependendo do tamanho do locatário e da carga atual do Microsoft Entra ID.
Depois de criar uma regra para grupos de associação dinâmica no centro de administração do Microsoft Entra usando o construtor de regras e tentar salvá-la, recebo o erro "Ocorreu um erro ao atualizar as propriedades da unidade administrativa".
Isso geralmente significa que há um problema com os valores de propriedade fornecidos. Confirme se os valores de propriedade fornecidos têm um tipo de valor adequado (booliano, cadeia de caracteres ou coleção de cadeia de caracteres). Para obter mais informações, confira os valores permitidos em cada operador para usuários ou dispositivos.
Este erro também poderá ocorrer se uma pessoa sem uma licença P1 do Microsoft Entra ID tentar salvar uma atualização na unidade administrativa.
Como posso adicionar um membro a uma unidade administrativa além da regra de grupos de associação dinâmica atual?
Para adicionar um usuário, adicione uma expressão apropriada com o operador de consulta OR
à regra de grupos de associação dinâmica.
Sou um Administrador de Função com Privilégios, mas não consigo adicionar nem remover membros de uma unidade administrativa.
Quando uma unidade administrativa tiver sido configurada para grupos de associação dinâmica, você precisará editar as regras de grupos de associação dinâmica para alterar a associação.
Quantas unidades administrativas com regras de grupos de associação dinâmica posso criar em um locatário?
O número total de grupos de associação dinâmica e unidades administrativas dinâmicas combinadas não pode exceder 15 mil.
Há um limite para o número de caracteres em uma regra de grupos de associação dinâmica?
Sim. 3.072 caracteres.
Posso criar unidades administrativas com regras de grupos de associação dinâmicas no centro de administração do Microsoft 365?
Não.
Unidades administrativas de gerenciamento restrito (Versão prévia)
Sou o proprietário de um grupo que é membro de uma unidade administrativa de gerenciamento restrito. Como minhas permissões são afetadas?
Como proprietário de um grupo protegido, você não poderá gerenciá-lo apenas com base na propriedade. Atualmente, o gerenciamento de recursos protegidos exige que uma função seja atribuída no escopo de unidade administrativa de gerenciamento restrito do recurso protegido.
Como meus recursos do Microsoft 365 são afetados pelo uso de unidades administrativas de gerenciamento restrito?
Atualmente, a proteção dos recursos do Microsoft Entra em unidades administrativas de gerenciamento restrito é suportada. Não há suporte para os recursos gerenciados fora do Microsoft Entra ID.
Não consigo modificar um membro de uma unidade administrativa de gerenciamento restrito.
O usuário, grupo ou dispositivo é membro da unidade administrativa de gerenciamento restrito. Os direitos de gerenciamento são limitados aos administradores com escopo para essa unidade administrativa.