Compartilhar via


Adicionar usuários, grupos ou dispositivos a uma unidade administrativa

No Microsoft Entra ID, você pode adicionar usuários, grupos ou dispositivos em uma unidade administrativa para limitar o escopo das permissões de função. Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o escopo de gerenciamento da unidade administrativa, mas não os respectivos membros. Para obter mais detalhes sobre o que os administradores com escopo podem fazer, consulte Unidades administrativas no Microsoft Entra ID.

Este artigo descreve como adicionar manualmente usuários, grupos ou dispositivos a unidades administrativas. Para informações sobre como adicionar usuários ou dispositivos a unidades administrativas de forma dinâmica usando regras, confira Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de grupos de associação dinâmica.

Pré-requisitos

  • Licença P1 ou P2 do ID do Microsoft Entra para cada administrador de unidade administrativa
  • Licenças Gratuitas do Microsoft Entra ID para membros da unidade administrativa
  • Para adicionar usuários, grupos ou dispositivos existentes:
    • Administrador de função com privilégios
  • Para criar novos grupos:
    • Administrador de grupos (com escopo para a unidade administrativa ou diretório inteiro)
  • Microsoft Graph/PowerShell
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Centro de administração do Microsoft Entra

Você pode adicionar usuários, grupos ou dispositivos a unidades administrativas usando o Centro de administração do Microsoft Entra. Você também pode adicionar usuários em uma operação em massa ou criar um grupo em uma unidade administrativa.

Adicionar um único usuário, grupo ou dispositivo em unidades administrativas

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade.

  3. Navegue até um dos seguintes:

    • Usuários>Todos os usuários
    • Grupos>Todos os grupos
    • Dispositivos>Todos os dispositivos
  4. Selecione o usuário, o grupo ou o dispositivo que você deseja adicionar nas unidades administrativas.

  5. Selecione Unidades administrativas.

  6. Selecione Atribuir à unidade administrativa.

  7. No painel Selecionar, selecione as unidades administrativas e, em seguida, Selecionar.

    Captura de tela da página Unidades administrativas para adicionar um usuário a uma unidade administrativa.

Adicionar usuários, grupos ou dispositivos em uma unidade administrativa

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

  3. Selecione a unidade administrativa à qual você deseja adicionar usuários, grupos ou dispositivos.

  4. Selecione uma das seguintes:

    • Usuários
    • Grupos
    • Dispositivos
  5. Selecione Adicionar membro, Adicionar ou Adicionar dispositivo.

  6. No painel Selecionar, selecione os usuários, os grupos ou os dispositivos que você deseja adicionar na unidade administrativa e clique em Selecionar.

    Captura de tela da adição de diversos dispositivos a uma unidade administrativa.

Adicionar usuários de uma unidade administrativa em uma operação em massa

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

  3. Selecione a unidade administrativa à qual você deseja adicionar usuários.

  4. Selecione Usuários>Operações em massa>Adicionar membros em massa.

    Captura de tela da página Usuários para atribuir usuários a uma unidade administrativa como uma operação em massa.

  5. No painel de Adicionar membros em massa, baixe o modelo de valores separados por vírgulas (CSV).

  6. Edite o modelo CSV baixado com a lista de usuários que você deseja adicionar.

    Adicione um nome principal de usuário (UPN) em cada linha. Não remova as duas primeiras linhas do modelo.

  7. Salve as alterações e carregue o arquivo CSV.

    Captura de tela de um arquivo CSV editado para acrescentar usuários a unidade administrativa em massa.

  8. Selecione Enviar.

Criar um grupo em uma unidade administrativa

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

  2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

  3. Selecione a unidade administrativa na qual você deseja criar um grupo.

  4. Selecione Grupos.

  5. Selecione Novo grupo e conclua as etapas para criar um grupo.

    Captura de tela da página Unidades administrativas para criar um novo grupo em uma unidade administrativa.

PowerShell

Use o comando New-MgDirectoryAdministrativeUnitMemberByRef para adicionar usuários, grupos ou dispositivos a uma unidade administrativa ou criar um novo grupo em uma unidade administrativa.

Adicionar usuários a uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Adicionar grupos a uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Adicionar dispositivos em uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Criar um grupo em uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

API do Microsoft Graph

Use a API Adicionar um membro para adicionar usuários, grupos ou dispositivos a uma unidade administrativa ou criar um novo grupo em uma unidade administrativa.

Adicionar usuários a uma unidade administrativa

Solicitação

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Exemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Adicionar grupos a uma unidade administrativa

Solicitação

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Exemplo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Adicionar dispositivos em uma unidade administrativa

Solicitação

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corpo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Criar um grupo em uma unidade administrativa

Solicitação

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Corpo

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Próximas etapas