Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As organizações têm recursos que precisam de segurança estrita, como a conta de usuário do CEO. Atualmente, um Administrador de Assistência Técnica pode potencialmente obter acesso à conta de um CEO redefinindo sua senha e um Administrador de Grupos no nível do locatário pode adicionar usuários a grupos de segurança com acesso a dados financeiros no SharePoint.
Unidades administrativas de gerenciamento restrito permitem que você proteja objetos específicos em seu locatário contra modificação por qualquer pessoa que não seja um conjunto específico de pessoas que você designa. Isso permite que você atenda aos requisitos de segurança ou conformidade sem precisar remover atribuições de função de seus administradores no nível do locatário.
Por que usar unidades administrativas de gerenciamento restrito?
Aqui estão alguns motivos pelos quais as unidades administrativas de gerenciamento restrito podem ajudá-lo a gerenciar o acesso em seu locatário.
Proteger suas contas executivas e seus dispositivos
Você deseja proteger suas contas executivas de nível C e seus dispositivos contra Administradores de assistência técnica que, de outra forma, seriam capazes de redefinir suas senhas ou acessar chaves de recuperação do BitLocker. Você pode adicionar suas contas de usuário no nível C a uma unidade administrativa de gerenciamento restrito e habilitar um conjunto confiável específico de administradores que podem redefinir suas senhas e acessar chaves de recuperação do BitLocker quando necessário.
Implementar o controle de conformidade somente para administradores locais
Você deseja implementar um controle de conformidade para garantir que determinados recursos só possam ser gerenciados por administradores em um país/região específico. Você pode adicionar esses recursos em uma unidade administrativa de gerenciamento restrito e atribuir administradores locais para gerenciar esses objetos. Nem mesmo os Administradores Globais terão permissão para modificar os objetos, a menos que eles se atribuam explicitamente a uma função com escopo para a unidade administrativa de gerenciamento restrito (que é um evento auditável).
Restringir o gerenciamento de grupos de segurança confidenciais a administradores específicos
Você está usando grupos de segurança para controlar o acesso a aplicativos confidenciais em sua organização e não deseja permitir que os administradores com escopo de locatário, que podem modificar grupos, controlem quem pode acessar os aplicativos. Você pode adicionar esses grupos de segurança a uma unidade administrativa de gerenciamento restrito e, em seguida, garantir que somente os administradores específicos que você atribuir podem gerenciá-los.
Cenário de exemplo
O diagrama a seguir mostra um exemplo de unidade administrativa de gerenciamento restrito executivo (mostrada na caixa roxa) com objetos que só podem ser modificados pelo suporte executivo. Administradores de nível de locatário e administradores locais não podem modificar os objetos na unidade administrativa executiva.
Observação
Colocar objetos em uma unidade administrativa de gerenciamento restrito restringe severamente quem pode fazer alterações nos objetos. Essa restrição pode causar a interrupção dos fluxos de trabalho existentes.
Quais objetos podem ser membros?
Aqui estão os objetos que podem ser membros de unidades administrativas de gerenciamento restrito.
| Tipo de objeto do Microsoft Entra | Unidade administrativa | Unidade administrativa de gerenciamento restrito |
|---|---|---|
| Usuários | Sim | Sim |
| Dispositivos | Sim | Sim |
| Grupos (Segurança) | Sim | Sim |
| Grupos (Microsoft 365) | Sim | Não |
| Grupos (Segurança habilitada para email) | Sim | Não |
| Grupos (Distribuição) | Sim | Não |
Quais tipos de operações são bloqueadas?
Para administradores que não estão explicitamente atribuídos no escopo de unidade administrativa de gerenciamento restrito, as operações que modificam diretamente as propriedades de objetos do Microsoft Entra em unidades administrativas de gerenciamento restrito são bloqueadas, enquanto as operações em objetos relacionados nos serviços do Microsoft 365 não são afetadas.
| Tipo de operação | Bloqueado | Permitido |
|---|---|---|
| Ler propriedades padrão, como nome UPN, foto do usuário | ✅ | |
| Modificar quaisquer propriedades do Microsoft Entra do usuário, grupo ou dispositivo | ❌ | |
| Excluir o usuário, grupo ou dispositivo | ❌ | |
| Atualizar a senha de um usuário | ❌ | |
| Modificar proprietários ou membros do grupo na unidade administrativa de gerenciamento restrito | ❌ | |
| Adicionar usuários, grupos ou dispositivos em uma unidade administrativa de gerenciamento restrito a grupos no Microsoft Entra ID | ✅ | |
| Modificar as configurações de email e caixa de correio no Exchange do usuário na unidade administrativa de gerenciamento restrito | ✅ | |
| Aplicar políticas a um dispositivo em uma unidade administrativa de gerenciamento restrito usando o Intune | ✅ | |
| Adicionar ou remover um grupo como proprietário de um site no SharePoint | ✅ | |
| Atribuir licenças e atualizar o local de uso dos usuários em uma unidade administrativa de gerenciamento restrito | ✅ |
Quem pode modificar objetos?
Somente administradores com uma atribuição explícita no escopo de uma unidade administrativa de gerenciamento restrito podem alterar as propriedades de objetos do Microsoft Entra ID na unidade administrativa de gerenciamento restrito.
| Função | Scope | Bloqueado | Permitido |
|---|---|---|---|
| Administrador global | Inquilino | ❌ | |
| Administrador de Função Privilegiada | Inquilino | ❌ | |
| Administrador de grupos, Administrador de Usuários ou outras funções | Recurso | ❌ | |
| Proprietários de grupos ou dispositivos adicionados a unidades administrativas de gerenciamento restrito | ❌ | ||
| Função embutida ou personalizada | Inquilino | ❌ | |
| Funções que podem ser atribuídas no escopo de unidades administrativas | Unidade administrativa de gerenciamento restrito | ✅ | |
| Funções que podem ser atribuídas no escopo de unidades administrativas | Outra unidade administrativa de gerenciamento restrito da qual o objeto é membro | ✅ | |
| Funções que podem ser atribuídas no escopo de unidades administrativas | Outra unidade administrativa regular da qual o objeto é membro | ❌ |
Se um administrador com escopo de arrendatário tentar modificar um objeto em uma unidade administrativa restrita, ele verá mensagens semelhantes às seguintes:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Quem pode gerenciar unidades administrativas de gerenciamento restrito?
As seguintes funções no escopo do locatário não podem modificar objetos em unidades administrativas de gerenciamento restrito, mas podem gerenciar as próprias unidades restritas de gerenciamento administrativo.
| Função | Scope | Modificar objetos em unidades administrativas de gerenciamento restrito | Gerenciar unidades administrativas de gerenciamento restrito |
|---|---|---|---|
| Administrador global | Inquilino | Não | Sim |
| Administrador de Função Privilegiada | Inquilino | Não | Sim |
Esse gerenciamento inclui as seguintes tarefas:
- Criar ou excluir unidades administrativas de gerenciamento restrito
- Adicionar ou remover membros de unidades administrativas de gerenciamento restrito
- Atribuir funções ou remover atribuições de função com escopo de unidade administrativa de gerenciamento restrito
- Atribuir funções a si mesmos com escopo restrito a unidades administrativas de gerenciamento
Se um administrador com escopo de unidade administrativa de gerenciamento restrito alterar os trabalhos ou sair da organização, para recuperar o acesso, um Administrador Global ou Administrador de Funções Com Privilégios poderá atribuir outro administrador ou a si mesmo à unidade administrativa de gerenciamento restrito.
Logs de auditoria
Para ajudá-lo a acompanhar quando as alterações são feitas em unidades administrativas de gerenciamento restrito, essas atividades são registradas nos logs de auditoria do Microsoft Entra.
| Atividade | Categoria | Detalhes |
|---|---|---|
| Adicionar unidade administrativa | AdministrativeUnit |
IsMemberManagementRestricted = verdadeiro |
| Adicionar membro à unidade administrativa de gerenciamento restrito | AdministrativeUnit | |
| Remover membro da unidade administrativa de gerenciamento restrito | AdministrativeUnit | |
| Adicionar membro à função com escopo na unidade administrativa de gerenciamento restrito | RoleManagement | |
| Remover membro da função com escopo na unidade administrativa de gerenciamento restrito | RoleManagement |
Limitações
Aqui estão alguns dos limites e restrições para unidades administrativas de gerenciamento restrito.
- A configuração do gerenciamento restrito deve ser aplicada durante a criação da unidade administrativa e não pode ser alterada depois da criação da unidade administrativa.
- Grupos e usuários em uma unidade administrativa de gerenciamento restrito não podem ser gerenciados com recursos de governança de identidade do Microsoft Entra, como Privileged Identity Management, Gerenciamento de direitos, fluxos de trabalho do ciclo de vida e revisões de acesso.
- Quando um grupo é configurado para ter associação pública (definindo a propriedade de visibilidade como
Public), os usuários podem ingressar no grupo usando a associação de grupo de autoatendimento. Essa configuração não é a configuração padrão e não é recomendável configurar grupos em unidades administrativas de gerenciamento restrito para permitir a associação pública. Essa é uma limitação temporária e será removida. - Os grupos atribuíveis a funções, quando adicionados a uma unidade administrativa de gerenciamento restrito, não podem ter sua associação modificada. Os proprietários de grupos não têm permissão para gerenciar grupos em unidades administrativas de gerenciamento restrito e somente os Administradores Globais e os Administradores de Função com Privilégios (nenhum dos quais pode ser atribuído no escopo da unidade administrativa) podem modificar a associação.
- Certas ações podem não ser possíveis quando um objeto está em uma unidade administrativa de gerenciamento restrito, se a função necessária não for uma das funções que podem ser atribuídas no escopo da unidade administrativa. Por exemplo, um Administrador Global em uma unidade administrativa de gerenciamento restrito não pode ter sua redefinição de senha por qualquer outro administrador no sistema, pois não há nenhuma função de administrador que possa ser atribuída no escopo da unidade administrativa que possa redefinir a senha de um Administrador Global. Nesses cenários, o Administrador Global precisaria ser removido da unidade administrativa de gerenciamento restrito primeiro e, em seguida, ter sua senha redefinida por outro Administrador Global ou Administrador de Funções com Privilégios.
- Ao excluir uma unidade administrativa de gerenciamento restrito, pode levar até 30 minutos para remover todas as proteções dos membros anteriores.
- Um número máximo de 100 unidades administrativas de gerenciamento restrito em um locatário.
Programação
Os aplicativos não podem modificar objetos em unidades administrativas de gerenciamento restrito por padrão. Para conceder a um aplicativo acesso para gerenciar objetos em uma unidade administrativa de gerenciamento restrito, você deve atribuir uma função do Microsoft Entra ao aplicativo no escopo dessa unidade administrativa de gerenciamento restrito. Se você atribuir permissões de aplicativo do Microsoft Graph ao aplicativo, essas permissões não serão aplicadas porque é um ambiente restrito.
Requisitos de licença
As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador da unidade administrativa e licenças do Microsoft Entra ID Gratuito para membros da unidade administrativa. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.