O que é o gerenciamento de usuários corporativos?
Este artigo apresenta um administrador para o Microsoft Entra ID, parte do Microsoft Entra, para a relação entre as principais tarefas de gerenciamento de identidade para usuários em termos de seus grupos, licenças, aplicativos corporativos implantados e funções de administrador. À medida que sua organização cresce, você pode usar grupos e funções de administrador do Microsoft Entra para:
- Atribua licenças a grupos em vez de atribuir licenças a utilizadores individuais.
- Conceda permissões para delegar o trabalho de gerenciamento do Microsoft Entra ao pessoal em funções menos privilegiadas.
- Atribuir acesso a aplicações empresariais a grupos.
Atribuir utilizadores a grupos
Você pode usar grupos no Microsoft Entra ID para atribuir licenças ou aplicativos corporativos implantados a um grande número de usuários. Você também pode usar grupos para atribuir todas as funções de administrador, exceto para Administrador Global do Microsoft Entra, ou pode conceder acesso a recursos externos, como aplicativos SaaS ou sites do SharePoint.
Você pode usar grupos dinâmicos no Microsoft Entra ID para expandir e contratar a associação ao grupo automaticamente. Os grupos dinâmicos oferecem maior flexibilidade e reduzem o trabalho de gerenciamento de membros de grupo.
Nota
Você precisa de uma licença do Microsoft Entra ID P1 para cada usuário exclusivo que é membro de um ou mais grupos dinâmicos.
Atribuir licenças a grupos
Gerenciar atribuições de licença de usuário individualmente é demorado e propenso a erros. Se, em vez disso, atribuir licenças a grupos , terá uma gestão de licenças em grande escala mais fácil.
Os usuários do Microsoft Entra que ingressam em um grupo licenciado recebem automaticamente as licenças apropriadas. Quando os usuários saem do grupo, o Microsoft Entra ID remove suas atribuições de licença. Sem os grupos do Microsoft Entra, você teria que escrever um script do PowerShell ou usar a API do Graph para adicionar ou remover licenças de usuário em massa para usuários que ingressam ou saem da organização.
Se não houver licenças suficientes disponíveis ou se ocorrer um problema, como planos de serviço que não podem ser atribuídos ao mesmo tempo, você poderá ver o status de qualquer problema de licenciamento para o grupo no portal do Azure.
Delegar funções de administrador
Muitas organizações grandes querem opções para que os seus utilizadores obtenham permissões suficientes para as tarefas de trabalho sem atribuir a poderosa função de Administrador Global, por exemplo, a utilizadores que têm de registar aplicações. Aqui está um exemplo de novas funções de administrador do Microsoft Entra para ajudá-lo a distribuir o trabalho de gerenciamento de aplicativos com mais especificidade:
| Nome da função | Resumo das permissões |
|---|---|
| Administrador de Aplicações | Pode adicionar e gerir aplicações empresariais e registos de aplicações, e configurar as definições de proxy de aplicações. Os administradores de aplicativos podem exibir políticas e dispositivos de Acesso Condicional, mas não gerenciá-los. |
| Administrador de Aplicações na Cloud | Pode adicionar e gerir aplicações empresariais e registos de aplicações empresariais. Esta função tem todas as permissões do administrador do aplicações, exceto que não é possível gerir as definições de proxy de aplicações. |
| Programador de Aplicações | Pode adicionar e atualizar os registos de aplicações, mas não pode gerir aplicações empresariais nem configurar um proxy de aplicação. |
Novas funções de administrador do Microsoft Entra estão sendo adicionadas. Consulte o portal do Azure ou a referência de permissões de funções de administrador para obter as funções disponíveis atualmente.
Atribuir acesso a aplicações
Você pode usar a ID do Microsoft Entra para atribuir acesso de grupo a aplicativos corporativos implantados em sua organização do Microsoft Entra. Se você combinar grupos dinâmicos com atribuição de grupo a aplicativos, poderá automatizar as atribuições de acesso ao aplicativo do usuário à medida que sua organização cresce. Você precisará de uma licença Microsoft Entra ID P1 ou Premium P2 para atribuir acesso a aplicativos corporativos.
O Microsoft Entra ID também oferece controle específico dos dados que fluem entre o aplicativo e os grupos aos quais você atribui acesso. Em Aplicações Empresariais, abra uma aplicação e selecione Aprovisionamento para:
- Configurar o aprovisionamento automático das aplicações que o suportam
- Fornecer credenciais para ligar à API de gestão de utilizadores da aplicação
- Configure os mapeamentos que controlam quais atributos de usuário fluem entre o Microsoft Entra ID e o aplicativo quando as contas de usuário são provisionadas ou atualizadas
- Inicie e pare o serviço de provisionamento do Microsoft Entra para um aplicativo, limpe o cache de provisionamento ou reinicie o serviço
- Exiba o relatório de atividade de provisionamento que fornece um log de todos os usuários e grupos criados, atualizados e removidos entre a ID do Microsoft Entra e o aplicativo e o relatório de erros de provisionamento que fornece mensagens de erro mais detalhadas
Próximos passos
Se você é um administrador iniciante do Microsoft Entra, obtenha o básico no Microsoft Entra Fundamentals.
Ou pode começar a criar grupos, atribuir licenças, atribuir acesso a aplicações ou atribuir funções de administrador.