Gerenciar contas de administrador no Azure Active Directory B2C

No Azure AD B2C (Azure Active Directory B2C), um locatário representa seu diretório de contas de consumidores, corporativas e convidados. Com uma função de administrador, as contas corporativas e de convidado podem gerenciar o locatário.

Neste artigo, você aprenderá como:

• Adicionar um administrador (conta de trabalho)
• Convidar um administrador (conta de convidado)
• Adicionar atribuição de função a uma conta de usuário
• Para remover uma atribuição de função de uma conta de usuário
• Excluir uma conta de administrador
• Proteger contas administrativas

Pré-requisitos

• Se você ainda não criou seu próprio locatário do Azure AD B2C, crie um agora. É possível usar um locatário existente do Azure AD B2C.
• Entenda mais sobre as contas de usuário do Azure AD B2C.
• Entenda mais sobre as funções de usuário usadas para controlar o acesso a recursos.

Adicionar um administrador (conta de trabalho)

Para criar uma nova conta administrativa, siga estas etapas:

1. Entre no portal do Azure com permissões de Administrador global ou de Administrador de funções com privilégios.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário do Azure AD B2C no menu Diretórios + assinaturas.

3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.

4. Em Gerenciar, selecione Usuários.

5. Selecione Novo usuário.

6. Selecione Criar usuário (você pode criar vários usuários ao mesmo tempo selecionando Desejo criar usuários em massa).

7. Na página do Usuário, insira as informações deste usuário:

   • Nome de usuário. Obrigatório. O nome de usuário do novo usuário. Por exemplo, mary@contoso.com. A parte de domínio do nome de usuário deve conter o nome de domínio padrão inicial, <o nome do locatário>.onmicrosoft.com ou seu domínio personalizado, como contoso.com.
   • Nome. Obrigatório. O primeiro e último nome do novo usuário. Por exemplo, Mary Parker.
   • Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário aos grupos posteriormente.
   • Função de diretório: se você precisar de permissões administrativas do Microsoft Entra para o usuário, adicione-as a uma função do Microsoft Entra. É possível dar ao usuário a atribuição de administrador global ou uma ou mais funções de administrador limitadas no Microsoft Entra ID. Para obter mais informações sobre como atribuir funções, confira Usar funções para controlar o acesso aos recursos.
   • Informações do trabalho: você pode adicionar mais informações sobre o usuário nesse ponto ou fazer isso mais tarde.

8. Copie a senha gerada automaticamente que foi fornecida na caixa Senha. Você precisará fornecer essa senha ao usuário na primeira vez que entrar.

9. Selecione Criar.

O usuário é criado e adicionado ao seu locatário do Azure AD B2C. De preferência, tenha pelo menos uma conta de trabalho nativa para seu locatário do Azure AD B2C atribuída à função de Administrador global. Esta conta pode ser considerada uma conta break-glass ou contas de acesso de emergência.

Convidar um administrador (conta de convidado)

Você também pode chamar um novo usuário convidado para gerenciar seu locatário. A conta de convidado é a opção preferencial quando a sua organização também tem o Microsoft Entra ID, pois o ciclo de vida desta identidade pode ser gerenciado externamente.

Para convidar o usuário, siga estas etapas:

1. Entre no portal do Azure com permissões de Administrador global ou de Administrador de funções com privilégios.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário do Azure AD B2C no menu Diretórios + assinaturas.

3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.

4. Em Gerenciar, selecione Usuários.

5. Selecione Nova conta convidada.

6. Na página do Usuário, insira as informações deste usuário:

   • Nome. Obrigatório. O primeiro e último nome do novo usuário. Por exemplo, Mary Parker.
   • Endereço de email. Obrigatório. O endereço de email do usuário que você gostaria de convidar, que deve ser um conta Microsoft. Por exemplo, mary@contoso.com.
   • Mensagem pessoal: você adiciona uma mensagem pessoal que será incluída no email de convite.
   • Grupos. Opcional. Você pode adicionar o usuário a um ou mais grupos existentes. Você também pode adicionar o usuário aos grupos posteriormente.
   • Função de diretório: se você precisar de permissões administrativas do Microsoft Entra para o usuário, adicione-as a uma função do Microsoft Entra. É possível dar ao usuário a atribuição de administrador global ou uma ou mais funções de administrador limitadas no Microsoft Entra ID. Para obter mais informações sobre como atribuir funções, confira Usar funções para controlar o acesso aos recursos.
   • Informações do trabalho: você pode adicionar mais informações sobre o usuário nesse ponto ou fazer isso mais tarde.

7. Selecione Criar.

Um email de convite é enviado para o usuário. O usuário precisa aceitar o convite para poder entrar.

Reenviar o email de convite

Caso o convidado não tenha recebido o email de convite ou o convite tenha expirado, você pode reenviar o convite. Como alternativa ao email de convite, você pode oferecer a um convidado um link direto para aceitar o convite. Para reenviar o convite e obter o link direto:

1. Entre no portal do Azure.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário do Azure AD B2C no menu Diretórios + assinaturas.

3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.

4. Em Gerenciar, selecione Usuários.

5. Procure e selecione o usuário para o qual você deseja reenviar o convite.

6. Na página Usuário | Perfil, em Identidade, selecione (Gerenciar) .

7. Em Reenviar convite? , selecione Sim. Quando a opção Tem certeza de que deseja reenviar um convite? aparecer, selecione Sim.

8. O Azure AD B2C envia o convite. Você também pode copiar a URL do convite e fornecê-la diretamente ao convidado.

   

Adicionar uma atribuição de função

Você pode atribuir uma função ao criar um usuário ou chamar um usuário convidado. Você pode adicionar, alterar ou remover uma função para um usuário:

1. Entre no portal do Azure com permissões de Administrador global ou de Administrador de funções com privilégios.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário do Azure AD B2C no menu Diretórios + assinaturas.
3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
4. Em Gerenciar, selecione Usuários.
5. Selecione o usuário cujas funções você deseja alterar. Depois, selecione Funções atribuídas.
6. Selecione Adicionar atribuições, depois selecione a função a ser atribuída (por exemplo, Administrador de aplicativos) e escolha Adicionar.

Excluir uma atribuição de função

Caso precise remover uma atribuição de função de um usuário, siga estas etapas:

1. Selecione Azure AD B2C, Usuários e, depois, pesquise e selecione o usuário.
2. Selecione Funções atribuídas. Selecione a função que você deseja remover, por exemplo, Administrador de aplicativos, depois selecione Remover atribuição.

Revisar atribuições de função da conta de administrador

Como parte de um processo de auditoria, você normalmente revisa quais usuários são atribuídos a funções específicas no diretório do Azure AD B2C. Use as etapas a seguir para auditar quais usuários estão atualmente atribuídos a funções com privilégios.

1. Entre no portal do Azure com permissões de Administrador global ou de Administrador de funções com privilégios.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário do Azure AD B2C no menu Diretórios + assinaturas.
3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
4. Em Gerenciar, selecione Funções e administradores.
5. Selecione uma função, como Administrador global. A página Função | Atribuições lista os usuários com essa função.

Excluir uma conta de administrador

Para excluir um usuário existente, você deve ter uma atribuição de função do tipo Administrador global. Os administradores globais podem excluir qualquer usuário, incluindo outros administradores. Os administradores de usuários podem excluir qualquer usuário não administrador.

1. No diretório do Azure AD B2C, selecione Usuários depois escolha aquele que deseja excluir.
2. Para confirmar a exclusão, selecione Excluir e, depois, Sim.

O usuário é excluído e não aparece mais na página Usuários - Todos os usuários. O usuário pode ser visto na página Usuários excluídos pelos próximos 30 dias e pode ser restaurado durante esse período. Para saber como restaurar um usuário, confira Restaurar ou remover um usuário excluído recentemente usando o Microsoft Entra ID.

Proteger contas administrativas

É recomendável que você proteja todas as contas de administrador com a MFA (autenticação multifator) para obter mais segurança. A MFA é um processo de verificação de identidade durante a entrada que solicita ao usuário uma forma a mais de identificação, como um código de verificação em seu dispositivo móvel ou uma solicitação em seu aplicativo Microsoft Authenticator.

Se você não estiver usando o acesso condicional, habilite os padrões de segurança do Microsoft Entra para forçar todas as contas administrativas a usarem a MFA.

Próximas etapas

• Gerenciar contas de acesso de emergência no Azure Active Directory B2C