Partilhar via


Unidades administrativas de gerenciamento restrito no Microsoft Entra ID (Visualização)

Importante

As unidades administrativas de gestão restrita estão atualmente em fase de pré-visualização. Consulte os Termos do Produto para obter os termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

As unidades administrativas de gerenciamento restrito permitem que você proteja objetos específicos em seu locatário contra modificações feitas por qualquer pessoa que não seja um conjunto específico de administradores que você designar. Isso permite que você atenda aos requisitos de segurança ou conformidade sem precisar remover atribuições de função no nível do locatário de seus administradores.

Porquê utilizar unidades administrativas de gestão restrita?

Aqui estão alguns motivos pelos quais você pode usar unidades administrativas de gerenciamento restrito para ajudar a gerenciar o acesso em seu locatário.

  • Você deseja proteger suas contas executivas de nível C e seus dispositivos contra Administradores de Helpdesk que, de outra forma, poderiam redefinir suas senhas ou acessar chaves de recuperação do BitLocker. Você pode adicionar suas contas de usuário de nível C em uma unidade administrativa de gerenciamento restrita e habilitar um conjunto confiável específico de administradores que podem redefinir suas senhas e acessar chaves de recuperação do BitLocker quando necessário.
  • Você está implementando um controle de conformidade para garantir que determinados recursos só possam ser gerenciados por administradores em um país específico. Você pode adicionar esses recursos em uma unidade administrativa de gerenciamento restrito e atribuir administradores locais para gerenciar esses objetos. Mesmo os Administradores Globais não terão permissão para modificar os objetos, a menos que se atribuam explicitamente a uma função com escopo para a unidade administrativa de gerenciamento restrito (que é um evento auditável).
  • Você está usando grupos de segurança para controlar o acesso a aplicativos confidenciais em sua organização e não deseja permitir que os administradores com escopo de locatário que podem modificar grupos possam controlar quem pode acessar os aplicativos. Você pode adicionar esses grupos de segurança a uma unidade administrativa de gerenciamento restrito e, em seguida, certificar-se de que apenas os administradores específicos atribuídos podem gerenciá-los.

Nota

A colocação de objetos em unidades administrativas de gerenciamento restrito restringe severamente quem pode fazer alterações nos objetos. Essa restrição pode fazer com que os fluxos de trabalho existentes sejam interrompidos.

Que objetos podem ser membros?

Aqui estão os objetos que podem ser membros de unidades administrativas de gerenciamento restrito.

Tipo de objeto Microsoft Entra Unidade administrativa Unidade administrativa com configuração de gerenciamento restrito habilitada
Utilizadores Sim Sim
Dispositivos Sim Sim
Grupos (Segurança) Sim Sim
Grupos (Microsoft 365) Sim No
Grupos (segurança ativada para email) Sim No
Grupos (Distribuição) Sim No

Que tipos de operações são bloqueadas?

Para administradores não atribuídos explicitamente no escopo da unidade administrativa de gerenciamento restrito, as operações que modificam diretamente as propriedades do Microsoft Entra de objetos em unidades administrativas de gerenciamento restrito são bloqueadas, enquanto as operações em objetos relacionados nos serviços do Microsoft 365 não são afetadas.

Tipo de operação Bloqueado Permitido
Leia as propriedades padrão, como nome principal do usuário, foto do usuário
Modificar quaisquer propriedades do Microsoft Entra do usuário, grupo ou dispositivo
Excluir o usuário, grupo ou dispositivo
Atualizar senha para um usuário
Modificar proprietários ou membros do grupo na unidade administrativa de gestão restrita
Adicionar usuários, grupos ou dispositivos em uma unidade administrativa de gerenciamento restrita a grupos no Microsoft Entra ID
Modificar configurações de email e caixa de correio no Exchange para o usuário na unidade administrativa de gerenciamento restrito
Aplicar políticas a um dispositivo numa unidade administrativa de gestão restrita com o Intune
Adicionar ou remover um grupo como proprietário de site no SharePoint

Quem pode modificar objetos?

Somente administradores com uma atribuição explícita no escopo de uma unidade administrativa de gerenciamento restrito podem alterar as propriedades do Microsoft Entra de objetos na unidade administrativa de gerenciamento restrito.

Função do utilizador Bloqueado Permitido
Administrador Global
Administradores com escopo de locatário (incluindo Administrador Global)
Administradores afetados no âmbito da unidade administrativa de gestão restrita
Administradores atribuídos no âmbito de outra unidade administrativa de gestão restrita da qual o objeto é membro
Administradores designados no âmbito de outra unidade administrativa regular da qual o objeto é membro
Administrador de Grupos, Administrador de Usuários e outras funções atribuídas no escopo de um recurso
Proprietários de grupos ou dispositivos adicionados a unidades administrativas de gerenciamento restrito

Limitações

Aqui estão alguns dos limites e restrições para unidades administrativas de gestão restrita.

  • A configuração de gerenciamento restrito deve ser aplicada durante a criação da unidade administrativa e não pode ser alterada depois que a unidade administrativa for criada.
  • Os grupos em uma unidade administrativa de gerenciamento restrito não podem ser gerenciados com os recursos de Governança de ID do Microsoft Entra, como o Gerenciamento de Identidades Privilegiadas do Microsoft Entra ou o Gerenciamento de Direitos do Microsoft Entra.
  • Os grupos atribuíveis por função, quando adicionados a uma unidade administrativa de gerenciamento restrita, não podem ter sua associação modificada. Os proprietários de grupos não têm permissão para gerenciar grupos em unidades administrativas de gerenciamento restrito e apenas Administradores Globais e Administradores de Função Privilegiada (nenhum dos quais pode ser atribuído no escopo da unidade administrativa) podem modificar a associação.
  • Certas ações podem não ser possíveis quando um objeto está em uma unidade administrativa de gerenciamento restrita, se a função necessária não for uma das funções que podem ser atribuídas no escopo da unidade administrativa. Por exemplo, um Administrador Global em uma unidade administrativa de gerenciamento restrito não pode ter sua senha redefinida por nenhum outro administrador no sistema, porque não há nenhuma função de administrador que possa ser atribuída no escopo da unidade administrativa que possa redefinir a senha de um Administrador Global. Nesses cenários, o Administrador Global precisaria ser removido da unidade administrativa de gerenciamento restrito primeiro e, em seguida, ter sua senha redefinida por outro Administrador Global ou Administrador de Função Privilegiada.
  • Ao excluir uma unidade administrativa de gerenciamento restrita, pode levar até 30 minutos para remover todas as proteções dos antigos membros.

Programabilidade

Os aplicativos não podem modificar objetos em unidades administrativas de gerenciamento restrito por padrão. Para conceder a um aplicativo acesso para gerenciar objetos em uma unidade administrativa de gerenciamento restrito, você deve atribuir uma função do Microsoft Entra ao aplicativo no escopo da unidade administrativa de gerenciamento restrito. Se você atribuir permissões de aplicativo do Microsoft Graph ao aplicativo, essas permissões não serão aplicadas porque ele é restrito.

Requisitos de licença

As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador de unidade administrativa e licenças do Microsoft Entra ID Free para membros da unidade administrativa. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.

Próximos passos