Identidade e Acesso do Office 365: Gerencie Usuários e Permissões

Tutoriais

Identidade e Acesso do Office 365: Gerenciar Usuários e Permissões. Este artigo demonstra como gerenciar contas de usuários e permissões no Office 365 usando Identidade e Gerenciamento de Acesso ferramentas.

Começamos explorando uma visão geral da identidade do Office 365 e Gerenciamento de Acesso soluções. Nesta seção, discutimos como criar diferentes tipos de usuários e conceder-lhes acesso a recursos no Office 365 Identidade e Gerenciamento de Acesso.

Em particular, esta seção se concentra na criação de usuários internos e externos com Microsoft 365, Portal do Azure AD ou Azure AD PowerShell. Além disso, demonstramos como utilizar essas três ferramentas para conceder aos usuários acesso aos recursos necessários.

Além disso, administrar contas de usuário e permissões envolve redefinir senhas de usuário. Portanto, este artigo discute como redefinir senhas para usuários do Office 365 usando os três métodos.

Leia também Protegendo Contra Ataques de Phishing no Office 365

Visão Geral da Identidade e Gerenciamento de Acesso do Office 365

A ferramenta de Identidade e Gerenciamento de Acesso (IAM) do Office 365 permite aos administradores gerenciar contas de usuário e permissões. O Microsoft 365 oferece 2 tipos de usuários: internos e externos. 

Usuários internos fazem parte da organização, enquanto usuários externos pertencem a outra organização adicionada ao locatário do Office 365 para fins de colaboração.

Depois de criar um usuário interno ou externo, você concede a ele acesso a recursos por meio de funções ou grupos. Para conceder acesso por meio de funções, adicione o usuário à função.

Ao conceder acesso aos usuários a recursos por meio da associação a grupos, é recomendável adicionar os usuários ao grupo. Em seguida, você adiciona o grupo à função apropriada do Azure AD.

Este método garante que os usuários herdem as permissões atribuídas ao grupo.

Observe que você deve primeiro habilitar a atribuição de função ao criar o grupo para adicionar grupos às funções. No entanto, uma vez que você habilita essa configuração, ela é permanente para o grupo.

Como alternativa, você concede acesso a um grupo atribuível a uma função incorporada e, em seguida, adiciona usuários ao grupo.

Leia também Como Implementar o Controle de Acesso Baseado em Função no Office 365

Método 1:

Usar o Portal M365 para Gerenciar Contas de Usuário e Permissões com o Gerenciamento de Identidade e Acesso do Office 365

Além disso, fornecemos orientações passo a passo sobre como criar um grupo do Microsoft 365, adicionar usuários ao grupo e atribuir um usuário ou grupo a uma função.

Opção 2 do Passo 1: Criar Usuários Internos do Office 365 no Portal do Microsoft 365

1. Para começar a gerenciar usuários e permissões no Microsoft 365, acesse admin.microsoft.com com uma conta que tenha as permissões adequadas.

2. Em seguida, acesse a página Usuários Ativos. Clique no ícone do menu de navegação (se ainda não estiver expandido) e selecione “Usuários ativos” no nó Usuários.

3. Na página “Usuários ativos”, clique em “Adicionar usuários” para iniciar o fluxo de criação de novo usuário. Isso o guiará através do processo de adição dos detalhes do usuário necessários e, se necessário, atribuindo licenças e funções.

Também Leia Como Monitorar Logs de Atividade do Office 365 para Melhorar a Segurança

Opção 2 da Etapa 1: Criar Usuários Externos do Office 365 no Portal do Microsoft 365

Para garantir que outros usuários possam adicionar o calendário do usuário externo ao seu calendário, é recomendável que primeiro você adicione o usuário como um Contato de Email para o usuário no Exchange Online antes de criar um usuário externo no Microsoft 365.

Em minha experiência, se você pular esta etapa, outros usuários podem encontrar problemas ao adicionar o calendário do usuário externo ao seu próprio.

No entanto, se os usuários internos não precisarem adicionar o usuário externo aos seus calendários, você pode pular esta etapa e seguir para a etapa 2 abaixo:Etapa 1: adicionar um Contato de Email para o usuário no Exchange Online (opcional).

Estágio 1: adicionar um Contato de Email para o usuário no Exchange Online (opcional).

Para abrir a página de Contatos do Exchange Online, faça login em admin.exchange.microsoft.com usando suas credenciais de administrador. Uma vez logado, acesse a página Destinatários -> Contatos.

Por fim, clique em “Adicionar um contato de email” e siga as etapas. Adicionei minha conta do Gmail para usar como demonstração.

Estágio 2: adicionar o Contato de Email como um usuário convidado.

Faça login em admin.microsoft.com e acesse a seção “Usuários convidados” dentro da guia Usuários. Em seguida, clique em “Adicionar usuário convidado” para iniciar a adição de um novo usuário convidado.

A ação abrirá a página “Novo usuário” do Azure AD em uma nova guia do navegador. Na página do Azure AD, selecione a opção Convidar usuário, adicione as informações necessárias e clique no botão Convidar

Para ativar a conta deles, o usuário externo precisa verificar seu email da Microsoft e seguir o link fornecido na mensagem.

Também leia Usando Políticas de Acesso Condicional para Aumentar a Segurança do Office 365

Etapa 2 Opção 1: Conceder Permissões de Contas de Usuário por Meio de Funções no Portal do Office 365

Para atribuir funções a usuários no Office 365, navegue até o portal do Microsoft 365 e siga as instruções abaixo.

Atribua usuários internos e externos a funções do Microsoft 365.

1. No menu, expanda Funções e clique em Atribuições de Função

2. Em seguida, clique na função Azure AD para atribuir um usuário, por exemplo, “Administrador de Helpdesk”.

3. Na aba de vôo da função, clique na guia Atribuído. Em seguida, clique em “Adicionar usuários”. Finalmente, selecione os usuários que você deseja atribuir a função e clique em Adicionar

Depois de adicionados, verifique a guia “Atribuído” para confirmar se eles foram adicionados com sucesso.

Leia também Confira Relatórios de Usuários do Office 365

Passo 2 Opção 2: Conceder Permissões a Contas de Usuário Via Grupos no Portal do Microsoft 365

Para atribuir acesso a usuários por meio de grupos, siga um processo de 2 etapas.

Adicione os usuários ao grupo. Em seguida, atribua o grupo a uma função usando a interface de gerenciamento de funções.

Como mencionado anteriormente, a seleção da opção para atribuir funções a grupos deve ser feita durante a criação do grupo. Portanto, para usar grupos para atribuir funções de usuário, crie um grupo e habilite a função de atribuição de função durante o processo de criação.

1. Para fazer isso, no portal do Microsoft 365, expanda “Teams & grupos”, em seguida, selecione “Times e grupos ativos”.

2. Em seguida, para iniciar o fluxo de trabalho “Adicionar um grupo”, clique em Adicionar um grupo.

Ao criar um novo grupo, você pode adicionar usuários ao grupo na seção “Membros” do fluxo de trabalho. Além disso, você pode marcar a caixa de seleção “Permitir que a função de administrador seja atribuída a este grupo” na seção “Configurações”.

Consulte a segunda captura de tela abaixo para a configuração.

3. Para atribuir funções a um grupo, navegue no menu, expanda Funções e clique em Atribuições de função.

4. Após clicar em Atribuições de função, selecione a Função do Azure AD que deseja atribuir ao grupo, como “Administrador do Helpdesk”.

5. Em seguida, na guia Volante, clique em “Adicionar grupos”.

6. Finalmente, selecione os grupos aos quais deseja atribuir a função e clique em Adicionar.

Depois de adicionar os grupos à função, verifique a guia “Atribuído” para confirmar que foram adicionados com sucesso.

Também leia Top 10 Melhores Ferramentas IAM – Gerenciamento de Acesso à Identidade (Prós e Contras)

Redefinir a Senha do Usuário do Office 365 no Portal do Microsoft 365

1. Para redefinir a senha do usuário no portal do Microsoft 365, expanda o menu “Usuários” no painel de navegação. Em seguida, selecione “Usuários ativos” e passe o mouse sobre a conta do usuário que requer a redefinição da senha.

2. Clique no símbolo de chave que aparece ao passar o mouse sobre a conta. Isso inicia o processo de redefinição da senha.

3. Finalmente, selecione as opções desejadas no “Flyout de redefinição de senha” e clique em “Redefinir senha”. O portal do Microsoft 365 exibe uma mensagem de confirmação com a nova senha.

Também Ler Verifique os logs de auditoria do Azure AD para entradas de usuários (sucessos e falhas)

Método 2:

Use o portal do Azure AD para gerenciar contas de usuários & permissões com Office 365 IAM

 Esse portal fornece um conjunto de recursos e ferramentas que permitem que os administradores gerenciem contas de usuários, incluindo a configuração de permissões e muito mais. Esta seção explora os passos críticos para gerenciar contas de usuários no portal do Azure AD.

Passo 1 Opção 1: Criar usuários internos do Office 365 no portal do Azure AD

1. Primeiro, entre no portal.azure.com e navegue até a opção Usuários no menu.

2. Em seguida, clique em “+Adicionar” e selecione Usuário. Por fim, escolha o modelo Criar usuário, forneça os detalhes necessários e clique em Criar.

Também Ler New-MgGroupMemberByRef – Adicionar usuários a um grupo do Azure AD usando Powershell

Passo 1 Opção 2: Criar usuários externos do Office 365 no portal do Azure AD

Anteriormente, recomendei adicionar um Contato de Email para o usuário antes de criar um usuário externo. Isso é recomendado se seus usuários internos precisarem adicionar o calendário do usuário externo ao deles próprios.

Para criar um contato de email, faça login na página de Contatos do Exchange Online em admin.exchange.microsoft.com. Após fazer login, acesse a página de Destinatários -> Contatos. Em seguida, clique em “Adicionar um contato de email” e siga as etapas necessárias.

Para enviar um convite a um usuário externo no Azure AD após concluir a etapa opcional acima, siga estas etapas:

1. Primeiro, siga o guia “Etapa 1 de 2” até chegar à Etapa 2.

2. Em seguida, selecione o modelo Convidar usuário. Por fim, forneça as informações necessárias e clique em Convidar.

Depois de concluir as etapas acima, o usuário receberá um email da Microsoft.

Ele conterá um link para finalizar seu registro no Azure AD. O usuário deve clicar no link para concluir o processo.

Também Leia Get-MgUser – Encontrar Usuários do Azure AD e Filtrar usando Script do PowerShell

Passo 2 Opção 1: Concedendo Permissões de Contas de Usuário Através de Funções no Portal do Azure AD

1. Depois de ter criado um usuário, use o portal do Azure AD para atribuir funções ao usuário. Clique em “Funções e Administradores” no menu do Azure Active Directory para realizar esta tarefa. 

2. Em seguida, escolha a função que deseja atribuir ao usuário. Use a função de pesquisa, se necessário. 

3. Depois, clique em “+ Adicionar atribuições” para finalizar o processo.

Também Leia Como Habilitar a Retransmissão de Senha no Azure AD Connect

Passo 2 Opção 2: Concedendo Permissões de Contas de Usuário Através de Grupos no Portal do Azure AD

No passo 3 do item 1 acima, demonstramos como atribuir permissões a usuários por meio do Azure AD papéis. No entanto, uma maneira potencialmente melhor é atribuir papéis de usuário com base na adesão do grupo.

Siga estas etapas para concluir as tarefas no Azure AD:

Em primeiro lugar, crie um grupo e habilite-o para ser atribuído a papéis do AD. Em segundo lugar, adicione os usuários como membros ao novo grupo.

Por último, atribua os papéis que deseja atribuir aos usuários atribuindo os papéis ao grupo do Azure AD.

Aqui estão as etapas práticas:

1. Clique em “Grupos” no menu e, em seguida, clique em “Novo grupo”.

2. Ative “Os papéis do Azure AD são atribuídos ao grupo”, selecione as opções na captura de tela abaixo e clique em “Criar” para concluir a criação do grupo. 

Em seguida, siga as etapas abaixo para adicionar usuários ao grupo e atribuí-lo a um papel:

3. Clique no grupo na árvore de Grupos, depois clique em “Membros” na página do grupo. Em seguida, clique em “+ Adicionar membros” para adicionar usuários ao grupo do Azure AD.

4. Para atribuir o grupo aos papéis do Azure Active Director, clique em “Funções e Administradores” no menu do Azure Active Directory. Em seguida, selecione o papel que deseja atribuir ao grupo. Por fim, clique em “+ Adicionar atribuições”.


Leia também Como se conectar ao Office 365 usando PowerShell

Redefinir a senha de um usuário do Office 365 no portal do Azure AD

Os administradores devem ser capazes de redefinir senhas para gerenciar as contas de usuários e permissões usando as soluções de Gerenciamento de Identidade e Acesso do Office 365. Portanto, é bom saber que as senhas de usuários podem ser redefinidas no portal do Azure AD.

1. Clique no nó Usuários para redefinir a senha de uma conta de usuário no portal do Azure Active Directory.

2. Utilize a funcionalidade de busca para selecionar o usuário. Em seguida, conclua o processo clicando em “Redefinir senha” localizado acima dos detalhes do usuário.

Também leia Como verificar se a MFA está habilitada no Office 365 para usuários

Método 3:

Use o PowerShell para Gerenciar Contas de Usuário e Permissões com o Office 365 Identity and Access Management

Agora, vamos avançar para o terceiro e último método, que envolve o uso do PowerShell para realizar a mesma tarefa.

Primeiro, precisamos instalar os módulos do PowerShell necessários para as tarefas em questão.

Passo 1: Instalar os Módulos Necessários: AzureAD, ExchangePowerShell, Az.Accounts e Az.Resources

1. Abra o PowerShell como administrador. Pesquise PowerShell, em seguida, clique em “Executar como administrador.”

2. Para abrir uma nova instância que execute comandos dos módulos baixados, execute o seguinte comando após abrir o PowerShell como administrador.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Em seguida, para instalar os módulos do PowerShell necessários, execute os seguintes comandos. O primeiro comando instala os módulos, enquanto o segundo os importa em sua sessão atual do PowerShell.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Leia também Obter membros do grupo do Active Directory e exportar para CSV usando PowerShell

Etapa 2 Opção 1: Criar usuários internos do Office 365 no PowerShell

1. Conecte-se ao seu inquilino do Azure AD executando este comando. Isso solicita que o PowerShell peça seus detalhes de login

Connect-AzureAD

2. Uma vez conectado, execute os seguintes comandos para criar um novo usuário do Office 365.   

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Leia também Get-AzureADAuditSignInLogs – Encontrar logs de entrada dos últimos 30 dias no PowerShell

Etapa 2 Opção 2: Criar usuários externos do Office 365 no PowerShell

Como mencionado nas duas técnicas anteriores, um usuário externo pode ser adicionado criando-o como um contato de correio eletrônico, o que é um passo opcional.

Se seus usuários internos precisarem adicionar o calendário do usuário externo ao seu próprio, siga os passos 1 a 2 para adicionar um contato de correio eletrônico usando PowerShell. Caso contrário, pule para o passo 3.

1. Para se conectar ao Exchange Online no console do PowerShell que foi aberto no Passo 2 Opção 1, execute o comando abaixo e insira suas detalhes de login quando solicitado pelo PowerShell.  

Connect-ExchangeOnline

2. Adicione um Contato de Correio para o usuário externo que pretende convidar usando este comando. Modifique partes do comando de acordo com suas necessidades. 

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. Em seguida, envie o convite executando o comando fornecido: modifique os parâmetros antes de executar o comando. 

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Leia também O que é 0xc000006a – Senha de Logon Digitada Errada ou Inválida

Passo 3 Opção 1: Concedendo Permissões a Contas de Usuário Via Funções no PowerShell

Execute os seguintes comandos para atribuir um usuário a uma função. Modifique os comandos de acordo com seus requisitos.

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#passo 1: obtenha o ID do usuário que você deseja adicionar a uma função:

#passo 2: Obtenha o ID da função que você deseja atribuir ao usuário

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#passo 3: atribua a função ao usuário

Passo 3 Opção 2: Concedendo Permissões de Contas de Usuário por Meio de Grupos no PowerShell

Para atribuir uma função a um usuário por meio de sua associação a um grupo, execute os comandos no script abaixo.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#passo 1: Crie um grupo atribuível a função em Azure Active Directory ignore este passo se você já possuir um grupo atribuível a função existente

#passo 2: obtenha o ID do usuário que deseja adicionar a uma função:

#passo 3: adicione o usuário ao grupo AAD

#passo 4: adicione o grupo do Azure AD a uma função do Azure AD

Leia também SSPR: Habilite a Redefinição de Senha de Autosserviço do Azure Active Directory

Redefinir a senha do Office 365 no PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/