Adicionar uma conta de administrador

  • 10 minutos

Exercício - Adicionar uma conta de administrador

No Microsoft Entra External ID, um locatário externo representa seu diretório de contas de consumidor e convidado. Com uma função de administrador, as contas de trabalho e de convidado podem gerenciar o locatário.

Nota

Você precisará de pelo menos a função de diretório Administrador de Usuário para criar uma conta de administrador.

Este papel é um papel privilegiado. Leia sobre as práticas recomendadas para trabalhar com funções privilegiadas.

Você tem comentários? Por favor, deixe-nos saber como está o seu projeto de prova de conceito. Gostaríamos de ouvir a sua opinião!

Aviso

Ao criar contas de administrador, recomendamos atribuir aos usuários a função menos privilegiada necessária, garantindo que eles tenham apenas as permissões necessárias para concluir suas tarefas.

  1. Para adicionar uma conta de administrador, entre no centro de administração do Microsoft Entra com pelo menos permissões de Administrador de Função Privilegiada e navegue até >> Em seguida, selecione Novo usuário>Criar novo usuário.

    Captura de ecrã da folha Utilizadores com um botão intitulado Novo utilizador realçado e uma das opções do menu pendente Criar novo utilizador que lhe permite criar um novo utilizador interno na sua organização realçado.

  2. Na página Criar novo usuário, insira as seguintes informações:

    • Em Noções básicas, insira informações para este administrador:
      1. Nome principal do usuário (Obrigatório) - O nome de usuário do novo usuário. Por exemplo, emily@woodgrovelive.com.
      2. Nome para exibição - O nome do novo usuário. Por exemplo, Emily Doe.
    • Em Senha, copie a senha gerada automaticamente fornecida na caixa senha. Terá de fornecer esta palavra-passe ao administrador para iniciar sessão pela primeira vez.

    Captura de ecrã de Criar nova folha de utilizador onde os campos obrigatórios Nome principal do utilizador, alcunha de correio, Nome para apresentação e Palavra-passe são preenchidos.

  3. Em Propriedades, você também pode inserir um Nome e Sobrenome junto com algumas outras propriedades.

    Captura de ecrã da folha Criar novo utilizador onde está selecionada uma das guias intituladas

  4. Para adicionar permissões administrativas para o usuário, adicione-as a uma ou mais das funções de administrador no Microsoft Entra ID. Em Atribuições, selecione Adicionar função. Em seguida, localize a função que deseja atribuir a esse usuário e escolha Selecionar.

    Aviso

    Ao criar contas de administrador, recomendamos atribuir aos usuários a função menos privilegiada necessária, garantindo que eles tenham apenas as permissões necessárias para concluir suas tarefas.

    Captura de ecrã da folha Criar novo utilizador onde o separador seguinte na navegação do assistente intitulado Atribuições está selecionado. Ele mostra um botão intitulado Adicionar função realçada. No painel Funções de diretório aberto à direita, a função de administrador de segurança é realçada.

  5. Para criar a conta, selecione Criar.

    Captura de ecrã da folha Criar novo utilizador onde o separador final na navegação do assistente intitulado Rever e criar está selecionado. Ele mostra uma visão geral de Noções básicas, Propriedades e Atribuições configuradas e atribuídas para esse usuário.

    Muito bem! O administrador é criado e adicionado ao seu locatário externo.

1. Criar um usuário

Para criar um usuário, substitua os seguintes valores na solicitação do Microsoft Graph:

  • displayName com o nome de exibição do usuário.
  • mailNickname com um alias de email para o usuário. Essa propriedade deve ser especificada quando um usuário é criado.
  • userPrincipalName com o nome principal (UPN) do usuário. O formato geral é alias@domain, onde o domínio deve estar presente na coleção de domínios verificados do locatário.
  • senha com uma senha temporária que você compartilhará com o usuário. Durante o primeiro início de sessão, ser-lhe-á pedido que altere a sua palavra-passe.
Exemplo

O exemplo a seguir mostra como criar uma nova conta de usuário para Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Copie o ID de utilizador

A partir da resposta, copie o valor do id. Por exemplo:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. Atribua uma função de administrador

Depois que o novo usuário for criado, crie uma atribuição de função (unificada). Na seguinte solicitação do Microsoft Graph, substitua:

  • {ID do utilizador} com o ID de usuário da etapa anterior.
  • {função-id} com uma das funções internas do Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Exemplo

O exemplo a seguir atribui a função de administrador de segurança a Adele Vance

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

Enviar comentários