Configurar a delegação usando unidades administrativas

  • 7 minutos

As unidades administrativas são recursos de ID do Microsoft Entra que podem ser contêineres para outros recursos do Microsoft Entra. Uma unidade administrativa pode conter apenas usuários, grupos e dispositivos.

As unidades administrativas restringem as permissões numa função a qualquer parte da sua organização que defina. Pode, por exemplo, utilizar unidades administrativas para delegar a função Administrador de Assistência Técnica a especialistas de suporte regional para que possam gerir os utilizadores apenas na região onde prestam suporte. Você pode gerenciar unidades administrativas usando o portal do Azure, cmdlets e scripts do PowerShell ou o Microsoft Graph.

O que é uma unidade administrativa?

No Microsoft Entra ID, usando um único locatário se você atribuir a um usuário qualquer função de administrador, ele agora será um administrador sobre cada usuário no locatário. Pense sempre no princípio de segurança do menor privilégio, é sempre a melhor forma de atribuir responsabilidades administrativas. As unidades administrativas são contêineres criados para resolver esse desafio no Microsoft Entra ID. Se você quiser que um administrador de usuário seja capaz de gerenciar apenas um conjunto específico de usuários e grupo. Digamos para gerenciar apenas usuários no Departamento de Pesquisa de um hospital. Pode criar uma unidade administrativa. Dentro dessa unidade administrativa, você adicionaria os usuários e grupos para a equipe de pesquisa e, em seguida, adicionaria um usuário específico à função de Administrador de Usuários dentro da unidade administrativa, chamando-os de Administrador para pesquisa. O administrador para pesquisa seria capaz de gerenciar os usuários na unidade administrativa, mas não em todo o locatário, o que ajuda a alcançar o princípio do menor privilégio.

Que funções de administrador estão disponíveis para uma unidade administrativa?

Você pode ter usuários nas seguintes funções para gerenciar sua unidade administrativa:

  • Administrador de autenticação
  • Administrador de grupos
  • Administrador do serviço de assistência
  • Administrador de licenças
  • Administrador de palavras-passe
  • Administrador de usuários

Nota

Se você estiver familiarizado com o Ative Directory local, esse recurso foi tratado configurando Unidades Organizacionais (UOs) em seu diretório e adicionando seus usuários à UO.

Planeie as suas unidades administrativas

Você pode usar unidades administrativas para agrupar logicamente os recursos do Microsoft Entra. Uma organização cujo departamento de TI está espalhado globalmente pode criar unidades administrativas que definem limites geográficos relevantes. Em outro cenário, onde uma organização global tem suborganizações que são semi-autônomas em suas operações, as unidades administrativas poderiam representar as suborganizações.

Os critérios sobre os quais as unidades administrativas são criadas são guiados pelos requisitos exclusivos de uma organização. As unidades administrativas são uma maneira comum de definir a estrutura nos serviços do Microsoft 365. Recomendamos que você prepare suas unidades administrativas com seu uso nos serviços do Microsoft 365 em mente. Você pode obter o valor máximo das unidades administrativas quando pode associar recursos comuns no Microsoft 365 em uma unidade administrativa.

Você pode esperar que a criação de unidades administrativas na organização passe pelas seguintes etapas:

  1. Adoção inicial: Sua organização começará a criar unidades administrativas com base em critérios iniciais e o número de unidades administrativas aumentará à medida que os critérios forem refinados.
  2. Poda: Após a definição dos critérios, as unidades administrativas que não são mais necessárias serão excluídas.
  3. Estabilização: Sua estrutura organizacional está definida e o número de unidades administrativas não mudará significativamente no curto prazo.

Delegar administração no Microsoft Entra ID

Com o crescimento organizacional vem a complexidade. Uma resposta comum é reduzir parte da carga de trabalho do gerenciamento de acesso com funções de administrador do Microsoft Entra. Você pode atribuir o menor privilégio possível aos usuários para acessar seus aplicativos e executar suas tarefas. Mesmo que você não atribua a função de Administrador Global a todos os proprietários de aplicativos, estará colocando as responsabilidades de gerenciamento de aplicativos nos Administradores Globais existentes. Há muitas razões para uma organização se mover em direção a uma administração mais descentralizada.

No Microsoft Entra ID, você pode delegar permissões de criação e gerenciamento de aplicativos das seguintes maneiras:

  • Restringir quem pode criar aplicativos e gerenciar os aplicativos que eles criam. Por padrão, no Microsoft Entra ID, todos os usuários podem registrar registros de aplicativos e gerenciar todos os aspetos dos aplicativos que criam. Você pode restringir para permitir apenas pessoas selecionadas essa permissão.
  • Atribuir um ou mais proprietários a um aplicativo. Uma maneira simples de conceder a alguém a capacidade de gerenciar todos os aspetos da configuração do Microsoft Entra ID para um aplicativo específico.
  • Atribuição de uma função administrativa interna que concede acesso para gerenciar a configuração no Microsoft Entra ID para todos os aplicativos. A maneira recomendada de conceder aos especialistas em TI acesso para gerenciar amplas permissões de configuração de aplicativos sem conceder acesso para gerenciar outras partes do Microsoft Entra ID não relacionadas à configuração do aplicativo.
  • Crie uma função personalizada para definir permissões específicas. Em seguida, atribua a função a um usuário para atribuir um proprietário limitado. Ou você pode atribuir no escopo do diretório - todos os aplicativos - como um administrador limitado.

Ao conceder acesso, use um dos métodos acima por dois motivos. Primeiro, delegar a capacidade de executar tarefas administrativas reduz a sobrecarga do administrador global. Em segundo lugar, o uso de permissões limitadas melhora sua postura de segurança e reduz o potencial de acesso não autorizado.

Plano de delegação

É um trabalho desenvolver um modelo de delegação que atenda às suas necessidades. O desenvolvimento de um modelo de delegação é um processo de design iterativo, e sugerimos que você siga estas etapas:

  • Defina as funções de que precisa
  • Delegar administração de aplicativos
  • Conceder a possibilidade de registar candidaturas
  • Delegar a propriedade do aplicativo
  • Desenvolver um plano de segurança
  • Estabeleça contas de emergência
  • Proteja suas funções de administrador
  • Tornar a elevação privilegiada temporária

Definir funções

Determine as tarefas do Ative Directory que são executadas pelos administradores e como elas são mapeadas para funções. Cada tarefa deve ser avaliada quanto à frequência, importância e dificuldade. Esses critérios são aspetos vitais da definição de tarefas porque regem se uma permissão deve ser delegada:

  • Tarefas que você faz rotineiramente, têm risco limitado e são triviais de concluir são excelentes candidatos para delegação.
  • Tarefas que você faz raramente, mas que têm risco potencial em toda a organização e exigem altos níveis de habilidade, devem ser consideradas cuidadosamente antes de delegar. Em vez disso, você pode elevar temporariamente uma conta para a função necessária ou reatribuir a tarefa.

Delegar administração de aplicativos

A proliferação de aplicativos em sua organização pode sobrecarregar seu modelo de delegação. Se ele colocar a carga para o gerenciamento de acesso ao aplicativo no Administrador Global, é provável que o modelo aumente sua sobrecarga com o passar do tempo. Se você concedeu às pessoas a função de Administrador Global para coisas como configurar aplicativos corporativos, agora pode descarregá-las para as seguintes funções menos privilegiadas. Isso ajuda a melhorar sua postura de segurança e reduz o potencial de erros infelizes. As funções de administrador de aplicativos mais privilegiadas são:

  • A função de Administrador de Aplicativos , que concede a capacidade de gerenciar todos os aplicativos no diretório, incluindo registros, configurações de logon único, atribuições e licenciamento de usuários e grupos, configurações de Proxy de Aplicativo e consentimento. Ele não concede a capacidade de gerenciar o Acesso Condicional.
  • A função de Administrador de Aplicativos na Nuvem , que concede todas as habilidades do Administrador de Aplicativos, exceto que não concede acesso às configurações de Proxy de Aplicativo (porque não tem permissão local).

Delegar registro de aplicativo

Por padrão, todos os usuários podem criar registros de aplicativos. Para conceder seletivamente a capacidade de criar registos de candidaturas:

  • Definir Os usuários podem registrar aplicativos como Não nas configurações do usuário
  • Atribuir o usuário à função de desenvolvedor de aplicativos

Para conceder seletivamente a capacidade de consentir para permitir que um aplicativo acesse dados:

  • Definir Os usuários podem consentir que os aplicativos acessem os dados da empresa em seu nome Para Não nas configurações do usuário em Aplicativos corporativos
  • Atribuir o usuário à função de desenvolvedor de aplicativos

Quando um desenvolvedor de aplicativos cria um novo registro de aplicativo, ele é adicionado automaticamente como o primeiro proprietário.

Delegar a propriedade do aplicativo

Para uma delegação de acesso a aplicativos ainda mais refinada, você pode atribuir a propriedade a aplicativos corporativos individuais. Você melhora o suporte existente para atribuir proprietários de registro de aplicativo. A propriedade é atribuída por aplicativo corporativo na tela Aplicativos Corporativos. A vantagem é que os proprietários podem gerenciar apenas os aplicativos corporativos que possuem. Por exemplo, você pode atribuir um proprietário para o aplicativo Salesforce, e esse proprietário pode gerenciar o acesso e a configuração para o Salesforce e nenhum outro aplicativo. Um aplicativo corporativo pode ter muitos proprietários e um usuário pode ser o proprietário de muitos aplicativos corporativos. Há duas funções de proprietário do aplicativo:

  • A função Proprietário de Aplicativo Corporativo concede a capacidade de gerenciar os "aplicativos corporativos que o usuário possui, incluindo configurações de logon único, atribuições de usuário e grupo e adição de mais proprietários. Ele não concede a capacidade de gerenciar configurações de Proxy de Aplicativo ou Acesso Condicional.
  • A função Proprietário do Registro de Aplicativo concede a capacidade de gerenciar registros de aplicativos para aplicativos que o usuário possui, incluindo o manifesto do aplicativo e a adição de outros proprietários.

Desenvolver um plano de segurança

O Microsoft Entra ID fornece um guia abrangente para planejar e executar um plano de segurança em suas funções de administrador do Microsoft Entra, Protegendo o acesso privilegiado para implantações híbridas e em nuvem.

Estabeleça contas de emergência

Para manter o acesso ao seu repositório de gerenciamento de identidades quando surgir um problema, prepare contas de acesso de emergência de acordo com Criar contas administrativas de acesso de emergência.

Proteja suas funções de administrador

Os atacantes que obtêm o controlo de contas privilegiadas podem causar danos tremendos. Sempre proteja essas contas primeiro. Use o recurso Padrões de Segurança que está disponível para todas as organizações do Microsoft Entra. Os Padrões de Segurança impõem a autenticação multifator em contas privilegiadas do Microsoft Entra.