Criar ou excluir unidades administrativas

Importante

As unidades administrativas de gestão restrita estão atualmente em fase de pré-visualização. Consulte os Termos de Produto para obter os termos legais que se aplicam aos recursos do Azure que estão quer em versão beta, prévia ou ainda não lançados em disponibilidade geral.

As unidades administrativas permitem que você subdivida sua organização em qualquer unidade desejada e, em seguida, atribua administradores específicos que podem gerenciar apenas os membros dessa unidade. Por exemplo, você pode usar unidades administrativas para delegar permissões a administradores de cada escola em uma grande universidade, para que eles possam controlar o acesso, gerenciar usuários e definir políticas somente na Escola de Engenharia.

Este artigo descreve como criar ou excluir unidades administrativas para restringir o escopo de permissões de função no Microsoft Entra ID.

Pré-requisitos

• Licença do Microsoft Entra ID P1 ou P2 para cada administrador de unidade administrativa
• Licenças gratuitas do Microsoft Entra ID para membros da unidade administrativa
• Função privilegiada Função de administrador
• módulo de do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao usar o Graph Explorer para API do Microsoft Graph

Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

Criar uma unidade administrativa

Você pode criar uma nova unidade administrativa usando o centro de administração do Microsoft Entra, o Microsoft Entra PowerShell ou o Microsoft Graph.

Centro de administração

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Identidade>Funções de administradores &>Unidades de administração.

   

3. Selecione Adicionar.

4. Na caixa Nome, insira o nome da unidade administrativa. Opcionalmente, adicione uma descrição da unidade administrativa.

5. Se você não quiser que os administradores de nível de locatário possam acessar essa unidade administrativa, defina a Unidade administrativa de gerenciamento restrito alternar para Sim. Para obter mais informações, consulte Unidades administrativas de gerenciamento restrito.

   

6. Opcionalmente, na guia Atribuir funções, selecione uma função e, em seguida, selecione os usuários aos quais atribuir a função com esse escopo de unidade administrativa.

   

7. No separador Revisão + Criar, reveja a unidade administrativa e todas as atribuições de funções.

8. Selecione o botão Criar.

PowerShell

Utilize o comando Connect-MgGraph para iniciar sessão no seu inquilino e dar consentimento às permissões necessárias.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Use o comando New-MgBetaDirectoryAdministrativeUnit para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade IsMemberManagementRestricted como $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph API

Use o Create administrativeUnit API para criar uma nova unidade administrativa.

Pedido

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Corpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Utilize a API Create administrativeUnit (beta) para criar uma nova unidade administrativa de gerenciamento restrito. Defina a propriedade isMemberManagementRestricted como true.

Pedido

POST https://graph.microsoft.com/beta/administrativeUnits

Corpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Excluir uma unidade administrativa

No Microsoft Entra ID, você pode excluir uma unidade administrativa que não precisa mais como uma unidade de escopo para funções administrativas. Antes de excluir a unidade administrativa, você deve remover todas as atribuições de função com esse escopo da unidade administrativa.

Centro de administração

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Identidade>Funções de administradores &>Unidades de administração.

3. Selecione a unidade administrativa que deseja excluir.

4. Selecione Funções e administradorese, em seguida, abra uma função para ver as atribuições dessa função.

5. Remova todas as atribuições de função no âmbito da unidade administrativa.

6. Navegue até Identidade>Funções de administradores &>Unidades de administração.

7. Adicione uma marca de seleção ao lado da unidade administrativa que você deseja excluir.

8. Selecione Excluir.

   

9. Para confirmar que deseja excluir a unidade administrativa, selecione Sim.

PowerShell

Use o comando Remove-MgDirectoryAdministrativeUnit para excluir uma unidade administrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph API

Utilize a API Delete administrativeUnit para eliminar uma unidade administrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Próximos passos

• Adicionar usuários, grupos ou dispositivos a uma unidade administrativa
• Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
• Unidades Administrativas do Microsoft Entra: Solução de Problemas e Perguntas Frequentes