Adicionar uma conta de administrador

  • 10 minutos

Exercício: Adicionar uma conta de administrador

Na ID externa do Microsoft Entra, um locatário externo representa seu diretório de contas de consumidor e convidado. Com uma função de administrador, as contas corporativas e de convidado podem gerenciar o locatário.

Observação

Você precisará, pelo menos, da função do diretório Administrador de usuários para criar uma conta de administrador.

Essa função é uma função privilegiada. Leia sobre as melhores práticas para trabalhar com funções privilegiadas.

Você tem comentários? Conte-nos como está indo seu projeto de prova de conceito. Gostaríamos muito de ouvir de você!

Aviso

Ao criar contas de administrador, recomendamos atribuir aos usuários a função menos privilegiada necessária, garantindo que eles tenham apenas as permissões necessárias para concluir suas tarefas.

  1. Para adicionar uma conta de administrador, entre no centro de administração do Microsoft Entra com pelo menos permissões de Administrador de Funções com Privilégios e navegue até Identidade>Usuários>Todos os usuários. Em seguida, selecione Novo usuário>Criar novo usuário.

    Captura de tela da folha Usuários com um botão intitulado

  2. Na página Criar novo usuário, insira as seguintes informações:

    • Em Noções básicas, insira as informações para esse administrador:
      1. Nome UPN (Obrigatório): o nome de usuário do novo usuário. Por exemplo, emily@woodgrovelive.com.
      2. Nome de exibição: o nome do novo usuário. Por exemplo, Emily Doe.
    • Em Senha, copie a senha gerada automaticamente fornecida na caixa de senha. Você precisará fornecer essa senha ao administrador na primeira vez que entrar.

    Captura de tela da folha

  3. Em Propriedades, você também pode inserir um Nome e Sobrenome, juntamente com algumas outras propriedades.

    Captura de tela da folha

  4. Para adicionar permissões administrativas ao usuário, adicione-as a uma ou mais das funções de administrador no Microsoft Entra ID. Em Atribuições, selecione Adicionar função. Em seguida, localize a função que você quer atribuir a esse usuário e escolha Selecionar.

    Aviso

    Ao criar contas de administrador, recomendamos atribuir aos usuários a função menos privilegiada necessária, garantindo que eles tenham apenas as permissões necessárias para concluir suas tarefas.

    Captura de tela da folha

  5. Para criar a conta, selecione Criar.

    Captura de tela da folha

    Muito bem! O administrador é criado e adicionado ao seu locatário externo.

1. Criar um usuário

Para criar um usuário, substitua os seguintes valores na solicitação do Microsoft Graph:

  • displayName com o nome de exibição do usuário.
  • mailNickname com um alias de email para o usuário. Essa propriedade precisa ser especificada quando um usuário é criado.
  • userPrincipalName com o Nome UPN do usuário. O formato geral é alias@domínio, em que o domínio precisa estar presente na coleção de domínios verificados do locatário.
  • senha com uma senha temporária que você vai compartilhar com o usuário. Durante o primeiro login, o usuário será solicitado a alterar sua senha.
Exemplo

O exemplo a seguir mostra como criar uma nova conta de usuário para Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Copiar a ID do usuário

Na resposta, copie o valor de id. Por exemplo:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. Atribuir uma função administrativa

Após o novo usuário ser criado, crie uma atribuição de função (unificada). Na solicitação do Microsoft Graph abaixo, substitua o seguinte:

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Exemplo

O exemplo a seguir atribui a função de Administrador de Segurança a Adele Vance

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

Fornecer comentários