Criar e gerenciar usuários

  • 8 minutos

Todos os usuários que precisam acessar os recursos do Azure precisam de uma conta de usuário do Azure. As informações necessárias para autenticar você durante o processo de login estão contidas em sua conta de usuário. Após a autenticação, o Microsoft Entra ID cria um token de acesso para autorizar você e determina quais recursos você pode acessar e o que você pode fazer com esses recursos.

O centro de administração do Microsoft Entra é um portal de identidade baseado na Web para os produtos do Microsoft Entra. Ele fornece uma experiência administrativa unificada para que organizações e administradores configurem e gerenciem suas soluções do Microsoft Entra em um local centralizado.

Neste exercício, você usará o Centro de administração do Microsoft Entra para trabalhar com os objetos de usuário. Tenha em mente que você só pode trabalhar com um diretório por vez, mas pode usar o painel Diretório + Assinatura para alternar entre os diretórios.

Exibir usuários

Para exibir os usuários do Microsoft Entra, selecione Usuários no painel esquerdo e selecione Todos os usuários. O painel Todos os usuários será exibido. Observe as colunas Tipo de usuário e Identidades, como mostra a captura de tela a seguir:

Captura de tela que mostra o painel Todos os usuários, com as colunas Tipo de usuário e Identidades indicadas.

Normalmente, o Microsoft Entra define os usuários de três maneiras:

  • Identidades de nuvem: Esses usuários existem apenas no Microsoft Entra ID. São exemplos contas de administrador e usuários que você gerencia por conta própria. Sua origem será o Microsoft Entra ID ou External Microsoft Entra ID se o usuário for definido em outra instância do Microsoft Entra, mas precisar de acesso aos recursos de assinatura controlados por esse diretório. Quando essas contas são removidas do diretório primário, elas são excluídas.

  • Identidades sincronizadas com o diretório: esses usuários existem em um Active Directory local. Uma atividade de sincronização que ocorre vpor meio do Microsoft Entra Connect traz esses usuários para o Azure. Sua origem é o Windows Server AD.

  • Usuários convidados: esses usuários existem fora do Azure. Entre os exemplos estão as contas de outros provedores de nuvem e as contas Microsoft (como uma conta Xbox LIVE). Sua origem é Usuário convidado. Esse tipo de conta é útil quando fornecedores externos ou terceirizados precisam acessar seus recursos do Azure. Quando a ajuda deles deixar de ser necessária, você poderá remover a conta e todos os seus acessos.

Adicionar usuários

Você pode adicionar identidades de nuvem ao Microsoft Entra ID de várias maneiras:

  • Sincronizando um Windows Server Active Directory local
  • Usar o centro de administração do Microsoft Entra
  • Usando o portal do Azure
  • Usando a linha de comando
  • Outras opções

Sincronizar um Windows Server Active Directory local

O Microsoft Entra Connect é um serviço separado que permite que você sincronize um Active Directory tradicional com sua instância do Microsoft Entra. É assim que a maioria dos clientes corporativos adicionam usuários ao diretório. A vantagem dessa abordagem é que os usuários podem usar o SSO (logon único) para acessar recursos locais e baseados em nuvem.

Usar o Centro de administração do Microsoft Entra

Você pode adicionar manualmente novos usuários pelo Centro de administração do Microsoft Entra. Essa é a maneira mais fácil de adicionar um conjunto pequeno de usuários. Você precisa ter a função de Administrador de Usuários para executar essa função.

  1. Para adicionar um novo usuário, selecione Novo usuário na barra de menus superior e selecione Criar novo usuário.

    Captura de tela mostrando o botão Novo Usuário realçado no Centro de administração do Microsoft Entra.

  2. Além do Nome e do Nome de usuário, você pode adicionar informações de perfil, como Cargo e Departamento na guia Propriedades.

    Captura de tela mostrando a caixa de diálogo Novo usuário.

    O comportamento padrão é criar um novo usuário na organização. O usuário terá um nome de usuário com o nome de domínio padrão atribuído ao diretório, como alice@staracoustics.onmicrosoft.com.

  3. Também é possível convidar um usuário pra o diretório. Nesse caso, um email é enviado para um endereço de email conhecido e uma conta é criada e associada a esse endereço de email quando o usuário aceita o convite.

    Captura de tela mostrando a tela de convite.

    O usuário convidado precisará criar uma conta Microsoft (MSA) associada se esse endereço de email específico não estiver associado a uma, e a conta será adicionada ao Microsoft Entra ID como um usuário convidado.

Usar a linha de comando

Se você tiver muitos usuários para adicionar, uma opção melhor é usar uma ferramenta de linha de comando. Você pode executar o comando do Azure PowerShell New-MgUser para adicionar usuários baseados em nuvem.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

O comando retornará o novo objeto de usuário que você criou.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Se você preferir uma interface de linha de comando padrão, use a CLI do Azure:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

As ferramentas de linha de comando permitem adicionar usuários em massa por meio de scripts. A abordagem mais comum para isso é usar um arquivo CSV (valores separados por vírgula). Você pode criar esse arquivo manualmente ou pode exportá-lo de uma fonte de dados existente.

Se você estiver planejando usar um CSV, estes são alguns aspectos a considerar:

  • Convenções de nomenclatura: estabeleça ou implemente uma convenção de nomenclatura para nomes de usuário, nomes de exibição e aliases. Por exemplo, um nome de usuário pode ser composto pelo sobrenome, seguido de um ponto final (.), seguido do primeiro nome; por exemplo, Smith.John@contoso.com.

  • Senhas: implemente uma convenção para a senha inicial de um usuário recém-criado. Determine como os novos usuários receberão suas senhas de uma forma mais segura. Um método comum é gerar uma senha aleatória e enviá-la por email para o novo usuário ou seu gerente.

Para usar um CSV com o Azure PowerShell:

  1. Execute o comando Connect-MgGraph para criar uma conexão do PowerShell com seu diretório. Conecte-se com uma conta de administrador que tenha privilégios em seu diretório.

  2. Crie novos perfis de senha para os novos usuários. As senhas dos novos usuários devem estar em conformidade com as regras de complexidade de senha definidas para o diretório.

  3. Use Import-CSV para importar o CSV. Você precisa especificar o caminho e o nome do arquivo CSV.

  4. Percorra os usuários no arquivo em um loop, construindo os parâmetros necessários para cada usuário. Exemplos de parâmetro são Nome UPN, Nome de Exibição, Nome, Departamento e Cargo.

  5. Execute o comando New-MgUser para criar cada usuário. Certifique-se de habilitar cada conta.

Outras opções

Também é possível adicionar usuários ao Microsoft Entra ID programaticamente usando a API do Microsoft Graph ou por meio do Centro de Administração do Microsoft 365 e do console de administração do Microsoft Intune se estiver compartilhando o mesmo diretório.