Gerenciar contas de administrador no Azure Ative Directory B2C
No Azure Ative Directory B2C (Azure AD B2C), um locatário representa seu diretório de contas de consumidor, trabalho e convidado. Com uma função de administrador, as contas de trabalho e de convidado podem gerenciar o locatário.
Neste artigo, vai aprender a:
- Adicionar um administrador (conta profissional)
- Convidar um administrador (conta de convidado)
- Adicionar atribuição de função a uma conta de utilizador
- Remover uma atribuição de função de uma conta de utilizador
- Excluir uma conta de administrador
- Proteger contas administrativas
Pré-requisitos
- Se você ainda não criou seu próprio locatário do Azure AD B2C, crie um agora. Você pode usar um locatário existente do Azure AD B2C.
- Entenda as contas de usuário no Azure AD B2C.
- Compreender as funções do usuário para controlar o acesso aos recursos.
Adicionar um administrador (conta profissional)
Para criar uma nova conta administrativa, siga estes passos:
Entre no portal do Azure com permissões de Administrador Global ou Administrador de Função Privilegiada.
Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
Em Gerir, selecione Utilizadores.
Selecione Novo usuário.
Selecione Criar usuário (você pode criar muitos usuários ao mesmo tempo selecionando Quero criar usuários em massa).
Na página Usuário, insira as informações para este usuário:
- Nome de usuário. Necessário. O nome de usuário do novo usuário. Por exemplo,
mary@contoso.com
. A parte de domínio do nome de usuário deve usar o nome de domínio padrão inicial, o nome> do locatário.onmicrosoft.com ou seu domínio personalizado, <comocontoso.com
. - Nome. Necessário. O nome e o sobrenome do novo usuário. Por exemplo, Mary Parker.
- Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário a grupos posteriormente.
- Função de diretório: se você precisar de permissões administrativas do Microsoft Entra para o usuário, poderá adicioná-las a uma função do Microsoft Entra. Você pode atribuir o usuário para ser um administrador global ou uma ou mais das funções limitadas de administrador no Microsoft Entra ID. Para obter mais informações sobre como atribuir funções, consulte Usar funções para controlar o acesso a recursos.
- Informações sobre o trabalho: você pode adicionar mais informações sobre o usuário aqui ou fazê-lo mais tarde.
- Nome de usuário. Necessário. O nome de usuário do novo usuário. Por exemplo,
Copie a palavra-passe gerada automaticamente fornecida na caixa Palavra-passe. Terá de dar esta palavra-passe ao utilizador para iniciar sessão pela primeira vez.
Selecione Criar.
O usuário é criado e adicionado ao seu locatário do Azure AD B2C. É preferível ter pelo menos uma conta de trabalho nativa para seu locatário do Azure AD B2C atribuída à função de Administrador Global. Esta conta pode ser considerada uma conta de vidro quebra-quebra ou contas de acesso de emergência.
Convidar um administrador (conta de convidado)
Você também pode convidar um novo usuário convidado para gerenciar seu locatário. A conta de convidado é a opção preferida quando sua organização também tem o Microsoft Entra ID porque o ciclo de vida dessa identidade pode ser gerenciado externamente.
Para convidar um utilizador, siga estes passos:
Entre no portal do Azure com permissões de Administrador Global ou Administrador de Função Privilegiada.
Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
Em Gerir, selecione Utilizadores.
Selecione Nova conta de convidado.
Na página Usuário, insira as informações para este usuário:
- Nome. Necessário. O nome e o sobrenome do novo usuário. Por exemplo, Mary Parker.
- Endereço de e-mail. Necessário. O endereço de email do usuário que você gostaria de convidar, que deve ser uma conta da Microsoft. Por exemplo,
mary@contoso.com
. - Mensagem pessoal: você adiciona uma mensagem pessoal que será incluída no e-mail de convite.
- Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário a grupos posteriormente.
- Função de diretório: se você precisar de permissões administrativas do Microsoft Entra para o usuário, poderá adicioná-las a uma função do Microsoft Entra. Você pode atribuir o usuário para ser um administrador global ou uma ou mais das funções limitadas de administrador no Microsoft Entra ID. Para obter mais informações sobre como atribuir funções, consulte Usar funções para controlar o acesso a recursos.
- Informações sobre o trabalho: você pode adicionar mais informações sobre o usuário aqui ou fazê-lo mais tarde.
Selecione Criar.
Um e-mail de convite é enviado ao usuário. O usuário precisa aceitar o convite para poder entrar.
Reenviar o e-mail de convite
Se o hóspede não recebeu o e-mail de convite ou se o convite expirou, você pode reenviar o convite. Como alternativa ao e-mail de convite, você pode dar a um hóspede um link direto para aceitar o convite. Para reenviar o convite e obter o link direto:
Inicie sessão no portal do Azure.
Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
Em Gerir, selecione Utilizadores.
Procure e selecione o usuário para o qual deseja reenviar o convite.
No Utilizador | Página de perfil, em Identidade, selecione (Gerir).
Para Reenviar convite?, selecione Sim. Quando Ter certeza de que deseja reenviar um convite? for exibida, selecione Sim.
O Azure AD B2C envia o convite. Você também pode copiar o URL do convite e fornecê-lo diretamente ao convidado.
Adicionar uma atribuição de função
Você pode atribuir uma função ao criar um usuário ou convidar um usuário convidado. Você pode adicionar uma função, alterá-la ou remover uma função para um usuário:
- Entre no portal do Azure com permissões de Administrador Global ou Administrador de Função Privilegiada.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
- Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
- Em Gerir, selecione Utilizadores.
- Selecione o usuário para o qual você deseja alterar as funções. Em seguida, selecione Funções atribuídas.
- Selecione Adicionar atribuições, selecione a função a ser atribuída (por exemplo, Administrador de aplicativo) e escolha Adicionar.
Remover uma atribuição de função
Se você precisar remover uma atribuição de função de um usuário, siga estas etapas:
- Selecione Azure AD B2C, selecione Usuários e, em seguida, procure e selecione o usuário.
- Selecione Funções atribuídas. Selecione a função que deseja remover, por exemplo , Administrador de aplicativo e, em seguida, selecione Remover atribuição.
Rever as atribuições de função de administrador
Como parte de um processo de auditoria, você normalmente revisa quais usuários são atribuídos a funções específicas no diretório B2C do Azure AD. Use as etapas a seguir para auditar quais usuários estão atualmente atribuídos a funções privilegiadas.
- Entre no portal do Azure com permissões de Administrador Global ou Administrador de Função Privilegiada.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
- Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
- Em Gerir, selecione Funções e administradores.
- Selecione uma função, como Administrador global. O Papel | A página Atribuições lista os usuários com essa função.
Excluir uma conta de administrador
Para excluir um usuário existente, você deve ter uma atribuição de função de administrador global. Os administradores globais podem excluir qualquer usuário, incluindo outros administradores. Os administradores de usuários podem excluir qualquer usuário não administrador.
- No diretório do Azure AD B2C, selecione Usuários e selecione o usuário que deseja excluir.
- Selecione Excluir e, em seguida, Sim para confirmar a exclusão.
O utilizador é eliminado e já não aparece na página Utilizadores - Todos os utilizadores. O utilizador pode ser visto na página Utilizadores eliminados durante os próximos 30 dias e pode ser restaurado durante esse período. Para obter mais informações sobre como restaurar um usuário, consulte Restaurar ou remover um usuário excluído recentemente usando o Microsoft Entra ID.
Proteger contas administrativas
É recomendável proteger todas as contas de administrador com autenticação multifator (MFA) para maior segurança. MFA é um processo de verificação de identidade durante o início de sessão que solicita ao utilizador uma forma mais de identificação, como um código de verificação no seu dispositivo móvel ou um pedido na sua aplicação Microsoft Authenticator.
Se você não estiver usando o Acesso Condicional, poderá habilitar os padrões de segurança do Microsoft Entra para forçar todas as contas administrativas a usar MFA.