Compartilhar via


Criar ou excluir unidades administrativas

Importante

Atualmente, as unidades administrativas de gerenciamento restrito estão em VERSÃO PRÉVIA. Consulte os Termos do produto para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, visualização ou ainda não lançados para disponibilidade geral.

As unidades administrativas permitem subdividir sua organização em qualquer unidade que você deseja e então atribuir administradores específicos que podem gerenciar apenas os membros dessa unidade. Por exemplo, você pode usar unidades administrativas para delegar permissões a administradores de cada escola em uma grande universidade, para que eles pudessem controlar o acesso, gerenciar usuários e definir políticas somente na faculdade de engenharia.

Esse artigo descreve como criar ou excluir unidades administrativas para restringir o escopo de permissões de função no ID do Microsoft Entra.

Pré-requisitos

  • Licença P1 ou P2 do ID do Microsoft Entra para cada administrador de unidade administrativa
  • Licenças Gratuitas do Microsoft Entra ID para membros da unidade administrativa
  • Função de Administrador de Função com Privilégios
  • Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
  • Módulo do PowerShell do Azure AD ao usar o PowerShell
  • Módulo AzureADPreview ao utilizar o PowerShell e unidades administrativas de gerenciamento restrito
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Criar uma unidade administrativa

Você pode criar uma nova unidade administrativa usando o Centro de administração do Microsoft Entra, PowerShell ou Microsoft Graph.

Centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

    Captura de tela da página Unidades administrativas.

  3. Selecione Adicionar.

  4. Na caixa Nome, insira o nome da unidade administrativa. Se você quiser, também pode adicionar uma descrição da unidade administrativa.

  5. Se você não quiser que os administradores de nível de locatário possam acessar essa unidade administrativa, defina a alternância Unidade administrativa de gerenciamento restrito como Sim. Para obter mais informações, consulte Unidades administrativas de gerenciamento restrito.

    Captura de tela mostrando a página Adicionar unidade administrativa e a caixa Nome para inserir o nome da unidade administrativa.

  6. Opcionalmente, na guia Atribuir funções, selecione uma função e, em seguida, selecione os usuários aos quais atribuir a função com esse escopo de unidade administrativa.

    Captura de tela mostrando o painel Adicionar atribuições para adicionar atribuições de função com esse escopo de unidade administrativa.

  7. Na guia Revisar + criar, examine a unidade administrativa e as atribuições de função.

  8. Selecione o botão Criar.

PowerShell

Use o comando Connect-MgGraph para entrar no seu locatário e consentir as permissões necessárias.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Use o comando New-MgDirectoryAdministrativeUnit para criar uma unidade administrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Use o comando New-MgBetaDirectoryAdministrativeUnit para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade IsMemberManagementRestricted como $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

API do Microsoft Graph

Use a API Create administrativeUnit para criar uma unidade administrativa.

Solicitação

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Corpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Use a API Create administrativeUnit (beta) para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade isMemberManagementRestricted como true.

Solicitação

POST https://graph.microsoft.com/beta/administrativeUnits

Corpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Excluir uma unidade administrativa

No ID do Microsoft Entra, você pode excluir uma unidade administrativa que não é mais necessária como uma unidade de escopo para funções administrativas. Antes de excluir a unidade administrativa, será necessário remover todas as atribuições de função com esse escopo de unidade administrativa.

Centro de administração do Microsoft Entra

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

  3. Selecione a unidade administrativa que você quer excluir.

  4. Selecione Funções e administradores e, em seguida, abra uma função para exibir as atribuições de função.

  5. Remova todas as atribuições de função com o escopo da unidade administrativa.

  6. Navegue até Identidade>Funções e administradores>Unidades administrativas.

  7. Adicione uma marca de seleção ao lado da unidade administrativa que você deseja excluir.

  8. Selecione Excluir.

    Captura de tela do botão Excluir da unidade administrativa e da janela de confirmação.

  9. Para confirmar que você deseja excluir a unidade administrativa, selecione Sim.

PowerShell

Use o comando Remove-MgDirectoryAdministrativeUnit para excluir uma unidade administrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

API do Microsoft Graph

Use a API Delete administrativeUnit para excluir uma unidade administrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Próximas etapas