Identidade e Acesso ao Office 365: Gerenciar Usuários e Permissões

Tutoriais

Office 365 Identidade & Acesso: Gerenciar Usuários & Permissões. Este artigo demonstra como gerenciar contas de usuário e permissões no Office 365 usando as ferramentas de Identidade e Gestão de Acesso.

Começamos explorando uma visão geral das soluções de Identidade e Gestão de Acesso do Office 365. Nesta seção, discutimos como criar diferentes tipos de usuários e conceder a eles acesso a recursos na Identidade e Gestão de Acesso do Office 365. 

Em particular, esta seção se concentra em criar usuários internos e externos com Microsoft 365, Azure AD Portal, ou Azure AD PowerShell. Além disso, demonstramos como usar essas três ferramentas para conceder aos usuários acesso aos recursos necessários.

Além disso, administrar contas de usuário e permissões envolve redefinir senhas de usuário. Portanto, este artigo discute como redefinir senhas para usuários do Office 365 usando os três métodos.

Leia também Protegendo Contra Ataques de Phishing no Office 365

Visão geral da Identidade e Gerenciamento de Acesso do Office 365

A ferramenta de Identidade e Gerenciamento de Acesso (IAM) do Office 365 permite que os administradores gerenciem contas de usuário e permissões. O Microsoft 365 oferece 2 tipos de usuários: internos e externos. 

Os usuários internos fazem parte da organização, enquanto os usuários externos pertencem a outra organização adicionada ao locatário do Office 365 para fins de colaboração.

Depois de criar um usuário interno ou externo, conceda a ele acesso a recursos por meio de funções ou grupos. Para conceder acesso por meio de funções, adicione o usuário à função.

Ao conceder acesso a recursos aos usuários por meio de associação a grupos, recomenda-se adicionar os usuários ao grupo. Em seguida, você adiciona o grupo à função apropriada do Azure AD.

Essa abordagem garante que os usuários herdem as permissões atribuídas ao grupo.

Observe que você deve primeiro habilitar a atribuição de função ao criar o grupo para adicionar grupos a funções. No entanto, uma vez que você habilite essa configuração, ela será permanente para o grupo.

Alternativamente, você concede acesso a um grupo com atribuição de função a uma função incorporada e, em seguida, adiciona usuários ao grupo.

Leia também Como Implementar Controle de Acesso Baseado em Função no Office 365

Método 1:

Use o Portal M365 para Gerenciar Contas de Usuário e Permissões com Gerenciamento de Identidade e Acesso ao Office 365

Além disso, fornecemos orientações passo a passo sobre como criar um grupo Microsoft 365, adicionar usuários ao grupo e atribuir um usuário ou grupo a uma função.

Passo 1 Opção 2: Criar Usuários Internos do Office 365 no Portal Microsoft 365

1. Para começar a gerenciar usuários e permissões no Microsoft 365, acesse admin.microsoft.com com uma conta que tenha as permissões apropriadas.

2. Em seguida, acesse a página Usuários Ativos. Clique no ícone do menu de navegação (se ainda não estiver expandido) e selecione “Usuários Ativos” do nó Usuários.

3. Na página “Usuários Ativos”, clique em “Adicionar usuários” para iniciar o fluxo de criação de novos usuários. Isso o guiará através do processo de adicionar os detalhes do usuário necessários e, se necessário, atribuir licenças e funções.

Leia também Como Monitorar Logs de Atividade do Office 365 para Melhorar a Segurança

Opção 2 da Etapa 1: Criar Usuários Externos do Office 365 no Portal do Microsoft 365

Para garantir que outros usuários possam adicionar o calendário do usuário externo ao próprio calendário, é recomendável que você primeiro adicione o usuário como um Contato de Correio para o usuário no Exchange Online antes de criar um usuário externo no Microsoft 365.

Em minha experiência, se você pular esta etapa, outros usuários podem encontrar problemas ao adicionar o calendário do usuário externo ao próprio.

No entanto, se os usuários internos não precisarem adicionar o usuário externo aos seus calendários, você pode pular esta etapa e prosseguir para a etapa 2 abaixo:Etapa 1: adicionar um Contato de Correio para o usuário no Exchange Online (opcional).

Etapa 1: adicionar um contato de e-mail para o usuário no Exchange Online (opcional).

Para abrir a página de Contatos do Exchange Online, faça login em admin.exchange.microsoft.com usando suas credenciais de administrador. Depois de fazer login, vá para a página Destinatários -> Contatos.

Por fim, clique em “Adicionar um contato de e-mail” e siga as etapas. Eu adicionei minha conta do Gmail para usar como exemplo.

Etapa 2: adicionar o Contato de E-mail como um usuário convidado.

Faça login em admin.microsoft.com e vá para a seção “Usuários convidados” dentro da guia Usuários. Em seguida, clique em “Adicionar usuário convidado” para iniciar a adição de um novo usuário convidado.

A ação abrirá a página “Novo usuário” do Azure AD em uma nova aba do navegador. Na página do Azure AD, selecione a opção Convidar usuário, adicione as informações necessárias e clique no botão Convidar.

Para ativar a conta, o usuário externo precisa verificar seu e-mail da Microsoft e seguir o link fornecido na mensagem.

Também leia Usando Políticas de Acesso Condicional para Aumentar a Segurança do Office 365

Etapa 2 Opção 1: Conceder Permissões de Conta de Usuário por Meio de Funções no Portal do Office 365.

Para atribuir funções aos utilizadores no Office 365, aceda ao portal Microsoft 365 e siga as instruções abaixo.

Atribuir utilizadores internos e externos a funções do Microsoft 365.

1. No menu, expanda Funções e clique em Atribuições de Função.

2. Em seguida, clique na função Azure AD para atribuir um utilizador, por exemplo, “Administrador de Helpdesk”.


3. Na janela da função, clique na aba Atribuído. Em seguida, clique em “Adicionar utilizadores”. Por fim, selecione os utilizadores que deseja atribuir a função e clique em Adicionar.


Depois de adicionados, verifique a aba “Atribuído” para confirmar que foram adicionados com sucesso.


Também Leia Consulte os Relatórios de Utilizadores do Office 365

Opção 2 da Etapa 2: Conceder Permissões de Conta de Utilizador Através de Grupos no Portal Microsoft 365

Para atribuir acesso a utilizadores através de grupos, siga um processo de 2 etapas.

Primeiro, adicione os usuários ao grupo. Em seguida, atribua o grupo a um papel usando a interface de gerenciamento de papéis.

Como mencionado anteriormente, selecionar a opção de atribuir papéis a grupos deve ser feito ao criar o grupo. Portanto, para usar grupos para atribuir papéis de usuário, crie um grupo e habilite o recurso de atribuição de papel durante o processo de criação.

1. Para fazer isso, no portal do Microsoft 365, expanda “Equipes & grupos” e selecione “Equipes & grupos ativos”.

2. Em seguida, para abrir o fluxo de trabalho “Adicionar um grupo”, clique em Adicionar um grupo.

Ao criar um novo grupo, você pode adicionar usuários ao grupo na seção “Membros” do fluxo de trabalho. Além disso, você pode marcar a caixa “permitir que o papel de admin seja atribuído a este grupo” na seção “Configurações”.

Consulte a segunda captura de tela abaixo para a configuração.

3. Para atribuir papéis a um grupo, navegue pelo menu, expanda Papéis e clique em Atribuições de Papel.

4. Após clicar em Atribuições de Papel, selecione o papel Azure AD que deseja atribuir ao grupo, como “Administrador de Helpdesk”.

5. Então, no painel do papel, clique na aba Atribuído. Em seguida, clique em “Adicionar grupos”.

6. Por fim, selecione os grupos aos quais deseja atribuir a função e clique em Adicionar.

Depois de adicionar os grupos à função, verifique a aba “Atribuído” para confirmar que foram adicionados com sucesso.

Leia também Top 10 Melhores Ferramentas IAM – Gerenciamento de Acesso de Identidade (Prós e Contras)

Redefinir Senha do Usuário do Office 365 no Portal Microsoft 365

1. Para redefinir uma senha de usuário no portal Microsoft 365, expanda o menu “Usuários” no painel de navegação. Em seguida, selecione “Usuários ativos” e passe o cursor sobre a conta de usuário que requer a redefinição de senha.

2. Clique no símbolo de chave que aparece ao passar o cursor sobre a conta. Isso inicia o processo de redefinição de senha.

3. Por fim, selecione as opções desejadas no “Flyout Redefinir senha” e clique em “Redefinir senha”. O portal Microsoft 365 exibe uma mensagem de confirmação com a nova senha.

Também leia Verifique os Logs de Auditoria do Azure AD para Entradas de Usuários (Sucessos e Falhas)

Método 2:

Use o Portal do Azure AD para Gerenciar Contas de Usuários e Permissões com o Office 365 IAM

Este portal oferece uma variedade de recursos e ferramentas que permitem aos administradores gerenciar contas de usuários, incluindo configurar permissões e muito mais. Esta seção explora os passos críticos para gerenciar contas de usuários no portal do Azure AD.

Passo 1 Opção 1: Criar Usuários Internos do Office 365 no Portal do Azure AD

1. Primeiro, faça login em portal.azure.com e vá para a opção Usuários no menu.


2. Em seguida, clique em “+Adicionar” e selecione Usuário. Por fim, escolha o Criar modelo de usuário, forneça os detalhes necessários e clique em Criar.

Também leia New-MgGroupMemberByRef – Adicionar Usuários a um Grupo do Azure AD usando Powershell

Passo 1 Opção 2: Criar Usuários Externos do Office 365 no Portal do Azure AD

Anteriormente, recomendei adicionar um Contato de Email para o usuário antes de criar um usuário externo. Isso é recomendado se seus usuários internos precisarem adicionar o calendário do usuário externo ao deles próprios.

Para criar um contato de email, faça login na página de Contatos do Exchange Online em admin.exchange.microsoft.com. Após fazer o login, navegue até a página Recipients -> Contatos. Em seguida, clique em “Adicionar um contato de email” e siga as etapas necessárias.

Para enviar um convite a um usuário externo no Azure AD após concluir a etapa opcional acima, siga estas etapas:

1. Primeiro, siga o guia “Passo 1 de 2” até chegar ao Passo 2.

2. Em seguida, selecione o modelo Convidar usuário. Por fim, forneça as informações necessárias e clique em Convidar.

Após concluir as etapas acima, o usuário recebe um email da Microsoft.

Ele contém um link para finalizar seu registro no Azure AD. O usuário deve clicar no link para concluir o processo.

Leia também Get-MgUser – Localizar Usuários do Azure AD e Filtrar usando Script do PowerShell

Passo 2 Opção 1: Concedendo Permissões de Contas de Usuário por Meio de Funções no Portal do Azure AD

1. Após criar um usuário, use o portal do Azure AD para atribuir funções ao usuário. Clique em “Funções e Administradores” no menu do Active Directory do Azure para executar esta tarefa.

2. Em seguida, escolha a função que você deseja atribuir ao usuário. Use a função de busca, se necessário.

3. A próxima etapa é clicar em “+ Adicionar atribuições” para finalizar o processo.

Leia também Como habilitar o retorno de senha no Azure AD Connect

Passo 2 Opção 2: Concedendo Permissões de Contas de Usuário por Meio de Grupos no Portal do Azure AD

No passo 3 de 1 acima, demonstramos como atribuir permissões a usuários através de papéis do Azure AD. No entanto, um método potencialmente melhor é atribuir papéis de usuário com base na associação a grupos.

Siga estes passos para concluir as tarefas no Azure AD:

Primeiramente, crie um grupo e habilite-o para que papéis do AD possam ser atribuídos. Em segundo lugar, adicione os usuários como membros ao novo grupo.

Finalmente, atribua os papéis que você deseja aos usuários, atribuindo os papéis ao grupo do Azure AD.

Aqui estão os passos práticos:

1. Clique em “Grupos” no menu e, em seguida, clique em “Novo grupo”.

2. Ative “Os papéis do Azure AD são atribuídos ao grupo”, selecione as opções na imagem abaixo e clique em “Criar” para finalizar a criação do grupo.

Em seguida, siga os passos abaixo para adicionar usuários ao grupo e atribuí-lo a um papel:

3. Clique no grupo no nó Grupos, depois clique em “Membros” na página do grupo. Depois, clique em “+ Adicionar membros” para adicionar usuários ao grupo Azure AD.

4. Para atribuir o grupo às funções do Azure Active Directory, clique em “Funções e administradores” no menu do Azure Active Directory. Em seguida, selecione a função que deseja atribuir ao grupo. Por fim, clique em “+ Adicionar atribuições”.


Também Leia Como Conectar ao Office 365 usando Powershell

Redefinir Senha do Usuário do Office 365 no Portal do Azure AD

Os administradores devem ser capazes de redefinir as senhas para gerenciar contas de usuário e permissões usando as soluções de Identidade e Acesso do Office 365. Portanto, é bom saber que as senhas dos usuários podem ser redefinidas no portal do Azure AD.

1. Clique no nó Usuários para redefinir a conta de um usuário no portal do Azure Active Directory.

2. Utilize a funcionalidade de busca para selecionar o usuário. Em seguida, conclua o processo clicando em “Redefinir senha” localizado acima dos detalhes do usuário.



Também leia Como verificar se o MFA está habilitado no Office 365 para usuários

Método 3:

Use o PowerShell para Gerenciar Contas de Usuário e Permissões com o Office 365 Identity and Access Management

Agora, vamos para o terceiro e último método, que envolve o uso de PowerShell para realizar a mesma tarefa.

Primeiro, precisamos instalar os módulos do PowerShell necessários para as tarefas em questão.

Passo 1: Instale os Módulos Necessários: AzureAD, ExchangePowerShell, Az.Accounts e Az.Resources

1. Abra o PowerShell como administrador. Pesquise PowerShell e clique em “Executar como administrador”.

2. Para abrir uma nova instância que execute comandos dos módulos baixados, execute o seguinte comando após abrir o PowerShell como administrador.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Em seguida, para instalar os módulos do PowerShell necessários, execute os seguintes comandos. O primeiro comando instala os módulos, enquanto o segundo os importa para a sua sessão atual do PowerShell.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Também Leia Obter Membros de um Grupo do Active Directory e Exportar para CSV usando o PowerShell

Passo 2 Opção 1: Criar Usuários Internos do Office 365 no PowerShell

1. Conecte-se ao seu Azure AD locatário executando este comando. Isso solicitará ao PowerShell que solicite seus detalhes de login

Connect-AzureAD

2. Uma vez conectado, execute os seguintes comandos para criar um novo usuário do Office 365.  

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Também Leia Get-AzureADAuditSignInLogs – Encontrar Logs de Entrada dos Últimos 30 Dias no PowerShell

Passo 2 Opção 2: Criar Usuários Externos do Office 365 no PowerShell

Como mencionado nas duas primeiras formas, um usuário externo pode ser adicionado criando-o primeiro como um contato de e-mail, que é um passo opcional.

Se seus usuários internos precisarem adicionar o calendário do usuário externo ao seu próprio, siga com as etapas 1 à 2 para adicionar um contato de e-mail usando PowerShell. Alternativamente, pule para a etapa 3.

1. Para se conectar à Exchange Online na consola PowerShell aberta na opção 1 do passo 2, execute o comando abaixo e insira suas informações de login quando solicitado pelo PowerShell.

Connect-ExchangeOnline

2. Adicione um Contato de E-mail para o usuário externo que você pretende convidar usando este comando. Modifique partes do comando para atender às suas necessidades.

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. A seguir, envie o convite executando o comando fornecido: modifique os parâmetros antes de executar o comando.

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Leia também O que é 0xc000006a – Usuário de Login Digitado incorretamente ou Senha ruins

Etapa 3 Opção 1: Concessão de Permissões de Contas de Usuário por Meio de Papéis em PowerShell.

Execute os comandos a seguir para atribuir um usuário a um papel. Modifique os comandos conforme suas necessidades.

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#etapa 1: obtenha o ID do usuário que você deseja adicionar a um papel:

#etapa 2: Obtenha o ID do papel que você deseja atribuir ao usuário

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#etapa 3: atribua o papel ao usuário

Etapa 3 Opção 2: Concedendo Permissões de Contas de Usuário Via Grupos no PowerShell

Para atribuir um papel a um usuário por meio de sua associação a um grupo, execute os comandos no script abaixo.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#passo 1: Crie um grupo atribuível a uma função no Azure Active Directory pule este passo se você já tem um grupo atribuível a uma função existente

#passo 2: obtenha o ID do usuário que você deseja adicionar a uma função:

#passo 3: adicione o usuário ao grupo AAD

#passo 4: adicione o grupo azure AD a uma função azure AD

Leia também SSPR: Ativar a redefinição de senha de autoatendimento do Azure Active Directory

Resetar a senha do usuário do Office 365 no PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/