Para obter um controle administrativo mais granular na ID do Microsoft Entra, você pode atribuir usuários a uma função do Microsoft Entra com um escopo limitado a uma ou mais unidades administrativas. Para obter exemplos de scripts do PowerShell para tarefas comuns, consulte Trabalhar com unidades administrativas.
Geral
Porque é que não consigo criar uma unidade administrativa?
Você deve receber pelo menos a função de Administrador de Função Privilegiada para criar uma unidade administrativa no Microsoft Entra ID. Verifique se o usuário que está tentando criar a unidade administrativa recebeu a função de Administrador de Função Privilegiada .
Adicionei um grupo a uma unidade administrativa. Porque é que os membros do grupo ainda não aparecem lá?
Quando você adiciona um grupo a uma unidade administrativa, isso não resulta em todos os membros do grupo sendo adicionados a ele. Os usuários devem ser diretamente atribuídos à unidade administrativa.
Acabei de acrescentar (ou remover) um membro da unidade administrativa. Por que o membro não está aparecendo (ou ainda aparecendo) na interface do usuário?
Às vezes, a adição ou remoção de um ou mais membros de uma unidade administrativa pode levar alguns minutos para ser refletida no painel Unidades administrativas . Como alternativa, você pode ir diretamente para as propriedades do recurso associado e ver se a ação foi concluída. Para obter mais informações sobre membros em unidades administrativas, consulte Listar usuários, grupos ou dispositivos em uma unidade administrativa.
Sou um administrador de senhas delegado em uma unidade administrativa. Por que não consigo redefinir a senha de um usuário específico?
Como administrador de uma unidade administrativa, você pode redefinir senhas somente para usuários atribuídos à sua unidade administrativa. Certifique-se de que o usuário cuja redefinição de senha está falhando pertence à unidade administrativa à qual você foi atribuído. Se o usuário pertencer à mesma unidade administrativa, mas você ainda não puder redefinir a senha do usuário, verifique as funções atribuídas ao usuário.
Para evitar uma elevação de privilégio, um administrador com escopo de unidade administrativa não pode redefinir a senha de um usuário atribuído a uma função com escopo em toda a organização.
Por que razão são necessárias unidades administrativas? Não poderíamos ter usado grupos de segurança como forma de definir um escopo?
Os grupos de segurança têm uma finalidade e um modelo de autorização existentes. Um administrador de usuário, por exemplo, pode gerenciar a associação de todos os grupos de segurança na organização do Microsoft Entra. A função pode usar grupos para gerenciar o acesso a aplicativos como o Salesforce. Um administrador de usuário não deve ser capaz de gerenciar o modelo de delegação em si, o que seria o resultado se os grupos de segurança fossem estendidos para oferecer suporte a cenários de "agrupamento de recursos".
As unidades administrativas, como unidades organizacionais no Ative Directory do Windows Server, destinam-se a fornecer uma maneira de definir o escopo de administração de uma ampla gama de objetos de diretório. Os próprios grupos de segurança podem ser membros de escopos de recursos. Usar grupos de segurança para definir o conjunto de grupos de segurança que um administrador pode gerenciar pode se tornar confuso.
O que significa adicionar um grupo a uma unidade administrativa?
Adicionar um grupo a uma unidade administrativa traz o próprio grupo para o âmbito de gestão da unidade administrativa, mas não os membros do grupo. Para obter mais informações, consulte Unidades administrativas no Microsoft Entra ID.
Um recurso (usuário, grupo ou dispositivo) pode ser membro de mais de uma unidade administrativa?
Sim, um recurso pode ser membro de mais de uma unidade administrativa. O recurso pode ser gerenciado por todos os administradores de toda a organização e com escopo de unidade administrativa que tenham permissões sobre o recurso.
As unidades administrativas estão disponíveis em organizações B2C?
Não, as unidades administrativas não estão disponíveis para organizações B2C.
Há suporte para unidades administrativas aninhadas?
Não, as unidades administrativas aninhadas não são suportadas.
Há suporte para unidades administrativas no PowerShell e na API do Microsoft Graph?
Sim. Você encontrará suporte para unidades administrativas na documentação do cmdlet do PowerShell e scripts de exemplo.
Encontre suporte para o tipo de recurso administrativeUnit no Microsoft Graph.
Unidades administrativas dinâmicas (Pré-visualização)
Acabei de salvar uma regra para grupos de associação dinâmica para uma unidade administrativa, mas ainda não vejo nenhum usuário preenchido.
A atualização inicial de uma unidade administrativa pode levar alguns minutos, dependendo do tamanho do locatário e da carga atual do Microsoft Entra ID.
Depois de criar uma regra para grupos de associação dinâmica no centro de administração do Microsoft Entra usando o construtor de regras e tentando salvar, recebo o erro "Falha ao atualizar as propriedades da unidade administrativa".
Isso geralmente significa que há um problema com os valores de propriedade fornecidos. Confirme se os valores de propriedade fornecidos têm um tipo de valor adequado (Boolean, string ou string collection). Para obter mais informações, consulte os valores permitidos para cada operador para usuários ou dispositivos.
Este erro também pode ocorrer se uma pessoa sem uma licença do Microsoft Entra ID P1 tentar salvar uma atualização na unidade administrativa.
Como posso adicionar um único membro a uma unidade administrativa além da regra atual para grupos dinâmicos de membros?
Para adicionar um único usuário, adicione uma expressão apropriada com o OR operador de consulta à regra para grupos dinâmicos de associação.
Sou um Administrador de Função Privilegiada, mas não posso adicionar ou remover membros de uma unidade administrativa.
Quando uma unidade administrativa tiver sido configurada para grupos de associação dinâmica, você deverá editar as regras para que os grupos de associação dinâmica alterem a associação.
Quantas unidades administrativas com regras para grupos dinâmicos de associação posso criar em um locatário?
Para a visualização, o número total de grupos de membros dinâmicos e unidades administrativas dinâmicas combinadas não pode exceder 15.000.
Existe um limite para o número de caracteres em uma regra para grupos dinâmicos de membros?
Sim. 3.072 caracteres.
Posso criar unidades administrativas com regras para grupos de associação dinâmica no centro de administração do Microsoft 365?
N.º
Unidades administrativas de gestão restritas (Pré-visualização)
Sou proprietário de um grupo que é membro de uma unidade administrativa de gestão restrita. Como minhas permissões são afetadas?
Como proprietário de um grupo protegido, você não poderá gerenciá-lo apenas com base na propriedade. Atualmente, o gerenciamento de recursos protegidos exige que uma função seja atribuída no escopo restrito da unidade administrativa de gerenciamento do recurso protegido.
Como meus recursos do Microsoft 365 são afetados pelo uso de unidades administrativas de gerenciamento restrito?
Atualmente, há suporte para a proteção de recursos do Microsoft Entra em unidades administrativas de gerenciamento restrito. Recursos gerenciados fora do Microsoft Entra ID não são suportados.
Não consigo modificar um membro de uma unidade administrativa de gestão restrita.
O usuário, grupo ou dispositivo é membro da unidade administrativa de gerenciamento restrito. Os direitos de gestão estão limitados aos administradores abrangidos por essa unidade administrativa.