Criar ou excluir unidades administrativas

Importante

Atualmente, as unidades administrativas de gerenciamento restrito estão em VERSÃO PRÉVIA. Consulte os termos do produto para termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.

As unidades administrativas permitem que você subdivide sua organização em qualquer unidade desejada e, em seguida, atribua administradores específicos que podem gerenciar apenas os membros dessa unidade. Por exemplo, você pode usar unidades administrativas para delegar permissões aos administradores de cada escola em uma universidade grande, para que eles possam controlar o acesso, gerenciar usuários e definir políticas apenas na Escola de Engenharia.

Este artigo descreve como criar ou excluir unidades administrativas para restringir o escopo das permissões de função na ID do Microsoft Entra.

Pré-requisitos

• Licença P1 ou P2 do Microsoft Entra ID para cada administrador de unidade administrativa
• Licenças gratuitas de Identificação do Microsoft Entra para membros da unidade administrativa
• Função de Administrador de Funções com Privilégios
• Módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao usar o Graph Explorer com a API do Microsoft Graph

Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

Criar uma unidade administrativa

Você pode criar uma nova unidade administrativa usando o Centro de administração do Microsoft Entra, o Microsoft Entra PowerShell ou o Microsoft Graph.

Centro de Administração

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

   

3. Selecione Adicionar.

4. Na caixa Nome, insira o nome da unidade administrativa. Opcionalmente, adicione uma descrição da unidade administrativa.

5. Se você não quiser que administradores no nível do locatário possam acessar essa unidade administrativa, coloque o botão de alternância Unidade administrativa de gerenciamento restrito na posição Sim. Para obter mais informações, consulte Unidades administrativas de gerenciamento restrito.

   

6. Opcionalmente, na guia Atribuir funções, selecione uma função e selecione os usuários aos quais atribuir a função com esse escopo de unidade administrativa.

   

7. Na guia Revisar + criar, examine a unidade administrativa e as atribuições de função.

8. Selecione o botão Criar.

PowerShell

Use o comando Connect-MgGraph para entrar no locatário e consentir com as permissões necessárias.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Use o comando New-MgBetaDirectoryAdministrativeUnit para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade IsMemberManagementRestricted como $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

API do Graph

Use a API Criar administrativeUnit para criar uma unidade administrativa.

Solicitação

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Corpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Use a API Criar administrativeUnit (beta) para criar uma unidade administrativa de gerenciamento restrito. Defina a propriedade isMemberManagementRestricted como true.

Solicitação

POST https://graph.microsoft.com/beta/administrativeUnits

Corpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Excluir uma unidade administrativa

No Microsoft Entra ID, você pode excluir uma unidade administrativa que não seja mais necessária como unidade de abrangência para funções administrativas. Antes de excluir a unidade administrativa, você deve remover quaisquer atribuições de função associadas a essa unidade administrativa.

Centro de administração

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

3. Selecione a unidade administrativa que você deseja excluir.

4. Selecione Funções e administradorese, em seguida, abra uma função para ver as atribuições da função.

5. Remova todas as atribuições de função com o escopo da unidade administrativa.

6. Navegue até Identidade>Funções e administradores>Unidades administrativas.

7. Adicione uma marca de seleção ao lado da unidade administrativa que você deseja excluir.

8. Selecione Excluir.

   

9. Para confirmar se deseja excluir a unidade administrativa, selecione Sim.

PowerShell

Use o comando Remove-MgDirectoryAdministrativeUnit para excluir uma unidade administrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

API do Graph

Use a API Delete administrativeUnit para excluir uma unidade administrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Próximas etapas

• Adicionar usuários, grupos ou dispositivos a uma unidade administrativa
• Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
• Unidades Administrativas do Microsoft Entra: Solução de Problemas e Perguntas Frequentes