Como Administrar o Microsoft 365 em 2026: Centro de Administração, Funções e Licenças para PME?

Duarte Spínola  |  2026-07-14

Este é o primeiro artigo de uma série de seis dedicados a dotar um recurso técnico — administrador de sistemas ou responsável de IT numa PME — com as capacidades necessárias para administrar um ambiente Microsoft 365 de forma autónoma, segura e eficiente. Ao longo da série, cobriremos administração geral (este artigo), identidade e acesso, Exchange Online, Microsoft Teams, SharePoint Online e OneDrive, e finalmente segurança e compliance.

Hoje, no Dia 1, focamos-nos nos alicerces: o Centro de Administração do Microsoft 365, o modelo de funções e permissões, o sistema de licenciamento, a gestão de subscrições e facturação, o monitoramento do estado do serviço, os relatórios de uso, conceitos de tenant e organizações, administração delegada via GDAP, automação com PowerShell e boas práticas de segurança para contas administrativas.

1. Centro de Administração do Microsoft 365 — Visão Geral

O Centro de Administração do Microsoft 365 (Microsoft 365 Admin Center, ou M365 AC) é o portal web principal para gerir configurações orgânicas do tenant, utilizadores, licenças, subscrições, relatórios e saúde do serviço. Está acessível em https://admin.microsoft.com e requer uma conta com pelo menos uma função administrativa atribuída.

A interface organiza-se numa barra de navegação lateral com secções distintas:

  • Home — dashboard inicial com atalhos rápidos, estado do serviço e alertas.
  • Users > Active users — gestão de contas, atribuição de licenças e funções.
  • Teams & groups > Active teams — gestão de equipas Microsoft Teams.
  • Billing > Licenses / Subscriptions / Bills — gestão de licenças, subscrições e facturas.
  • Settings > Org settings — configurações ao nível da organização.
  • Reports > Usage — relatórios de adopção e uso.
  • Health > Service health / Message center — estado do serviço e comunicados.

O M365 AC não substitui os centros de administração específicos (Exchange Admin Center, Teams Admin Center, SharePoint Admin Center, Entra ID Admin Center), mas serve como ponto de entrada unificado. Para administradores que precisam de gerir cargas específicas, o M365 AC fornece ligações directas para cada portal especializado na secção Admin centers na barra lateral inferior.

Referência: Microsoft Learn — Admin center overview.

2. Funções e Permissões no Microsoft 365

O modelo de funções do Microsoft 365 assenta no Microsoft Entra ID (anteriormente Azure Active Directory), que fornece o motor de identidade e controlo de acesso baseado em funções (RBAC). Cada função agrupa um conjunto de permissões específicas que determinam o que um administrador pode ver e fazer nos vários portais administrativos.

Princípio do Menor Privilégio

A Microsoft recomenda encarecidamente a atribuição da função com o menor nível de privilégio necessário para executar uma tarefa. Atribuir Global Administrator a todos os administradores é uma prática desaconselhada que aumenta a superfície de ataque e viola princípios fundamentais de zero trust.

Funções Administrativas Principais

A tabela seguinte resume as funções mais relevantes para uma PME:

Função Âmbito Permissões Chave
Global Administrator Tenant completo Acesso total a todas as configurações administrativas. Único role que pode atribuir outros Global Admins.
User Administrator Utilizadores e grupos Criar, editar, eliminar utilizadores e grupos; atribuir licenças; repor palavras-passe.
Exchange Administrator Exchange Online Gerir caixas de correio, regras de transporte, conectores, grupos de distribuição.
Teams Administrator Microsoft Teams Gerir equipas, canais, políticas de reunião, voz, dispositivos Teams.
SharePoint Administrator SharePoint Online Gerir colecções de sites, permissões de site, políticas de partilha, armazenamento.
Security Administrator Segurança (tenant) Configurar políticas de segurança, alertas, acesso condicional, Defender for Office 365.
Compliance Administrator Compliance (tenant) Gerir políticas de retenção, DLP, eDiscovery, auditoria, etiquetas de sensibilidade.

Atribuição de Funções via Portal

Para atribuir uma função a um utilizador através do M365 AC:

  1. Navegar para Users > Active users.
  2. Seleccionar o utilizador pretendido.
  3. No separador Account, sob Roles, clicar em Manage roles.
  4. Escolher entre User (sem privilégios administrativos) ou Administrator e seleccionar a(s) função(ões) pretendida(s).
  5. Clicar em Save changes.

Atribuição de Funções via PowerShell

# Conectar ao Microsoft Graph com permissões de administração
Connect-MgGraph -Scopes “RoleManagement.ReadWrite.Directory”, “User.ReadWrite.All”

# Obter o ID da função “User Administrator”
$role = Get-MgDirectoryRoleTemplate -Filter “displayName eq ‘User Administrator'”

# Obter o utilizador alvo
$user = Get-MgUser -Filter “userPrincipalName eq ‘[email protected]'”

# Atribuir a função ao utilizador
New-MgUserMemberOf -UserId $user.Id -DirectoryObjectId $role.Id

Atribuir funções via PowerShell é especialmente útil em ambientes com muitos utilizadores ou quando se automatiza o onboarding de novos administradores.

Referência: Microsoft Learn — Entra ID fundamentals.

3. Licenças do Microsoft 365 — Comparação para PME

O licenciamento do Microsoft 365 é organizado em famílias dirigidas a diferentes perfis organizacionais. Para PME (menos de 300 utilizadores), as opções Business são as mais adequadas; para organizações maiores ou com requisitos avançados de segurança e compliance, as opções Enterprise (E3, E5) são mais apropriadas.

Família Business (até 300 utilizadores)

Plano Preço aprox. (EUR/mês) Aplicações Desktop Email Exchange Teams SharePoint/OneDrive Defender for Business Intune
Business Basic 5,10 Não Sim (web) Sim Sim Não Não
Business Standard 10,90 Sim Sim Sim Sim Não Não
Business Premium 18,10 Sim Sim Sim Sim Sim Sim

Família Enterprise (sem limite de utilizadores)

Plano Preço aprox. (EUR/mês) Aplicações Desktop Email Exchange Teams SharePoint/OneDrive Defender for Office P2 Intune Compliance Avançado Power BI Pro
E3 32,20 Sim Sim (100 GB) Sim Sim Não Não Não Não
E5 55,30 Sim Sim (100 GB) Sim Sim Sim Sim Sim Sim

Quando Escolher Cada Plano

  • Business Basic: recursos que trabalham exclusivamente no browser e não precisam de aplicações Office instaladas localmente.
  • Business Standard: recursos que precisam de Outlook, Word, Excel e PowerPoint instalados no computador, sem requisitos avançados de segurança.
  • Business Premium: PME que pretende endpoint management (Intune), protecção avançada contra ameaças (Defender for Business) e gestão de dispositivos móveis. É a opção recomendada para a maioria das PME em 2026.
  • E3: organizações com mais de 300 utilizadores que precisam de capacidades de Enterprise mas sem requisitos de compliance avançado.
  • E5: organizações que necessitam de segurança avançada, compliance, voice capabilities e analytics. O E5 é overkill para a maioria das PME.

💡 Os preços indicados são aproximados e baseados em pricing público Europeu em julho de 2026. Verificar os valores actuais em microsoft.com/microsoft-365/business.

4. Atribuição e Remoção de Licenças

A gestão de licenças é uma das tarefas mais frequentes na administração do M365. Cada subscrição comprada gera um conjunto de licenças disponíveis que podem ser atribuídas individualmente a utilizadores.

Atribuição via Portal

  1. Navegar para Users > Active users.
  2. Seleccionar o utilizador (ou vários através de filtros e selecção múltipla).
  3. No separador Licenses and apps, seleccionar as licenças a atribuir.
  4. Expandir Apps para verificar quais aplicações ficam disponíveis com a licença seleccionada. Por defeito, todas as aplicações incluídas no plano são activadas.
  5. Clicar em Save changes.

Atribuição em Lote (Bulk)

Para atribuir licenças a múltiplos utilizadores em simultâneo:

  1. Navegar para Billing > Licenses.
  2. Seleccionar a subscrição pretendida.
  3. Clicar em Assign licenses.
  4. Procurar e seleccionar os utilizadores (até 20 por operação no portal).
  5. Configurar opções de aplicações se necessário.
  6. Clicar em Assign.

Remoção de Licenças

A remoção de uma licença liberta-a para reutilização, mas não elimina a conta do utilizador. Os dados do utilizador (caixa de correio, OneDrive, sites SharePoint) entram num período de graça de 30 dias antes de serem purgados.

  1. Em Users > Active users, seleccionar o utilizador.
  2. No separador Licenses and apps, desmarcar a licença.
  3. Clicar em Save changes.

Atribuição e Remoção via PowerShell

# Conectar ao Microsoft Graph
Connect-MgGraph -Scopes “User.ReadWrite.All”, “Organization.Read.All”

# Obter o SKU da subscrição (Identificador da licença)
Get-MgSubscribedSku | Select-Object SkuPartNumber, SkuId, ConsumedUnits, PrepaidUnits

# Atribuir licença a um utilizador
$sku = Get-MgSubscribedSku | Where-Object { $_.SkuPartNumber -eq “O365_BUSINESS_PREMIUM” }
$user = Get-MgUser -Filter “userPrincipalName eq ‘[email protected]'”

Set-MgUserLicense -UserId $user.Id -AddLicenses @(@{SkuId = $sku.SkuId}) -RemoveLicenses @()

# Remover licença de um utilizador
Set-MgUserLicense -UserId $user.Id -AddLicenses @() -RemoveLicenses @($sku.SkuId)

Atribuição Baseada em Grupos (Group-based Licensing)

A funcionalidade de group-based licensing permite atribuir licenças automaticamente a todos os membros de um grupo de segurança. Quando um utilizador entra no grupo, recebe a licença; quando sai, a licença é removida. Esta abordagem é ideal para gerir licenças por departamento ou função.

Para configurar via portal:

  1. Navegar para Billing > Licenses.
  2. Seleccionar a subscrição.
  3. Clicar em Assign licenses > Add users to a group.
  4. Seleccionar um grupo de segurança existente ou criar um novo.
  5. Confirmar a atribuição.

5. Gestão de Subscrições e Facturação

A secção Billing do M365 AC centraliza toda a gestão financeira das subscrições Microsoft. Para uma PME, compreender esta área é essencial para evitar interrupções de serviço e optimizar custos.

Subscrições

Em Billing > Subscriptions, encontra-se a lista de todas as subscrições activas do tenant. Para cada subscrição, são visíveis:

  • Nome do produto e ID da subscrição.
  • Número de licenças compradas vs licenças atribuídas.
  • Estado da subscrição (Active, Expired, Suspended).
  • Data de renovação automática (se activa) ou data de expiração.
  • Método de pagamento associado.

Operações Comuns

  • Comprar licenças adicionais: clicar na subscrição > Buy licenses > indicar a quantidade.
  • Remover licenças não usadas: clicar na subscrição > Remove licenses > indicar a quantidade. As licenças só podem ser removidas se não estiverem atribuídas.
  • Cancelar subscrição: clicar na subscrição > Cancel subscription. O cancelamento entra em vigor no fim do período de facturação actual.
  • Mudar de plano: clicar na subscrição > Switch plan para fazer upgrade ou downgrade entre planos compatíveis.

Métodos de Pagamento

Em Billing > Bills & payments > Payment methods, é possível gerir cartões de crédito/débito, contas bancárias (em mercados suportados) e configurar facturação por invoice (para volumes acima de um determinado threshold, tipicamente acima de 300 licenças ou valor mensal superior a 1000 EUR).

Facturas

As facturas são geradas mensalmente e ficam disponíveis em Billing > Bills & payments > Invoices. Cada factura pode ser descarregada em PDF e inclui o detalhamento de licenças, período e impostos aplicáveis.

Alertas de Billing

Recomenda-se configurar pelo menos um contacto de notificação de billing em Billing > Bills & payments > Billing notifications para receber alertas sobre:

  • Renovações de subscrição iminentes.
  • Falhas de pagamento (cartão expirado, fundos insuficientes).
  • Novas facturas disponíveis.

6. Service Health, Message Center e Relatórios de Uso

Service Health

A secção Health > Service health apresenta o estado em tempo real de todos os serviços Microsoft 365 (Exchange Online, Teams, SharePoint Online, etc.). Para cada serviço, é possível verificar:

  • Estado actual: Service is healthy, Service degradation, ou Service interruption.
  • Incidentes activos: descrição, impacto, timeframe estimado de resolução e actualizações regulares.
  • Avisos planeados: manutenções programadas que podem afectar a disponibilidade.

Em caso de incidente, o administrador pode subscrever notificações por email ou via aplicação Microsoft 365 Admin mobile para ser alertado em tempo real.

⚠ Importante

antes de abrir um ticket de suporte, verificar sempre o Service Health para confirmar que o problema não é um incidente conhecido da Microsoft.

Message Center

O Message Center (em Health > Message center) é o canal pelo qual a Microsoft comunica alterações planeadas aos serviços M365. Cada mensagem inclui:

  • Título e categoria: New feature, Plan for change, Fix an issue, Stay informed, ou Retirement.
  • Impacto: Low, Medium ou High.
  • Timeline: datas de rollout, disponibilidade para o tenant e prazo de acção.
  • Acção requerida: indica se o administrador precisa de tomar medidas (e.g. actualizar clientes, revisar políticas) ou se a alteração é automática.

Recomenda-se revisitar o Message Center diariamente e configurar email digests em Settings > Message center preferences para enviar um resumo semanal aos administradores.

Relatórios de Uso

Em Reports > Usage, encontram-se relatórios detalhados sobre a adopção e uso dos serviços M365. Os relatórios principais incluem:

  • Active users: utilizadores activos por serviço (Exchange, Teams, SharePoint, OneDrive, Office).
  • Email activity: emails enviados/recebidos por utilizador.
  • Teams usage: actividade de chat, reuniões, chamadas.
  • SharePoint site usage: armazenamento usado, ficheiros, actividade por site.
  • OneDrive usage: armazenamento usado, ficheiros sincronizados.

Estes relatórios ajudam a identificar licenças não utilizadas (utilizadores sem actividade), serviços com baixa adopção e necessidades de formação. Os dados podem ser exportados para CSV para análise externa.

7. Organizações, Tenants e Multi-Geo

O que é um Tenant

Um tenant Microsoft 365 é a instância dedicada de uma organização no Microsoft Entra ID, identificada por um domínio inicial .onmicrosoft.com (e.g. contoso.onmicrosoft.com). Todos os utilizadores, grupos, subscrições e dados residem dentro do tenant. O tenant é criado automaticamente quando se subscreve o primeiro serviço Microsoft 365 ou pode ser criado manualmente em https://entra.microsoft.com.

Adicionar e Verificar Domínios Personalizados

Por defeito, o tenant usa o domínio .onmicrosoft.com. Para usar domínios próprios (e.g. contoso.pt):

  1. Navegar para Settings > Domains > Add domain.
  2. Introduzir o nome do domínio.
  3. Verificar propriedade adicionando um registo TXT (ou MX) no DNS do domínio.
  4. Configurar registos DNS adicionais (MX para Exchange Online, CNAME para Autodiscover, SPF, DKIM, DMARC).
  5. Definir o domínio como principal em Set as default.

Multi-Tenant: Quando Uma PME Precisa de Vários Tenants

Algumas organizações podem necessitar de múltiplos tenants — por exemplo, devido a subsidiárias em países diferentes com requisitos regulamentares distintos, ou após aquisições/ fusões. Considerações importantes:

  • Cada tenant tem o seu próprio conjunto de subscrições, utilizadores e configurações.
  • Não há sincronização automática entre tenants.
  • A migração de dados entre tenants requer ferramentas de terceiros ou migração manual.
  • Para a maioria das PME, um único tenant é a abordagem recomendada.

Multi-Geo

O Multi-Geo é uma funcionalidade disponível para tenants com subscrições E5 (ou add-on compatível) que permite aprovisionar dados de utilizadores em múltiplas regiões geográficas. Isto é relevante quando:

  • Uma organização tem operações em múltiplos países com requisitos de residência de dados (data residency).
  • É necessário cumprir regulamentações locais que exigem que dados específicos permaneçam numa jurisdição.

O Multi-Geo não é uma funcionalidade de backup nem de disaster recovery — é exclusivamente sobre residência de dados. Para a maioria das PME portuguesas com operação apenas em Portugal (ou UE), o Multi-Geo não é necessário, pois os dados europeus residem em regiões da UE por defeito.

8. Administração Delegada com GDAP

O que é GDAP

O Granular Delegated Admin Privileges (GDAP) é o modelo de delegação de administração da Microsoft que substituiu o antigo modelo DAP (Delegated Access Privileges). O GDAP permite que um parceiro Microsoft (MSP, CSP ou consultor) receba permissões administrativas limitadas e específicas sobre o tenant de um cliente, seguindo o princípio do menor privilégio.

Diferenças entre DAP e GDAP

Aspecto DAP (legado) GDAP (actual)
Permissões Global Admin (total) Granular por função (e.g. apenas Exchange Admin)
Duração Indefinida Tempo limitado configurável (máx. 2 anos)
Relação Um-para-muitos Um-para-um por grupo de segurança
Controlo do cliente Limitado Cliente pode revogar a qualquer momento
Auditoria Limitada Total via Entra ID audit logs

Como Funciona o GDAP

  1. O parceiro cria um grupo de segurança no seu próprio tenant Entra ID.
  2. Atribui funções administrativas a esse grupo (e.g. Exchange Administrator, User Administrator).
  3. Cria uma relação GDAP com o cliente, especificando o grupo e a duração.
  4. O cliente aprova a relação — o consentimento é feito via interativa sign-in no portal.
  5. Os membros do grupo do parceiro passam a ter acesso administrativo limitado ao tenant do cliente.

Aceitar ou Revogar uma Relação GDAP

Como administrador do tenant cliente:

  • Para aceitar: seguir o link enviado pelo parceiro, autenticar-se e consentir.
  • Para revogar: navegar para Settings > Partner relationships no M365 AC, seleccionar a relação e clicar em Remove admin relationship.

Boa prática: auditar regularmente as relações GDAP activas e remover as que já não são necessárias. O GDAP expira automaticamente no fim do período configurado, mas não há motivo para manter relações que já não são usadas.

9. PowerShell para Administração do Microsoft 365

A administração via portal web é adequada para operações pontuais, mas para automação, scripting e gestão repetitiva, o PowerShell com o módulo Microsoft Graph é a ferramenta essencial.

Instalação do Módulo Microsoft Graph

# Instalar o módulo Microsoft Graph PowerShell (executar como administrador)
Install-Module -Name Microsoft.Graph -Scope AllUsers -Force

# Verificar a instalação
Get-Module -ListAvailable Microsoft.Graph | Select-Object Name, Version

Conexão ao Microsoft Graph

# Conexão interativa com scopes de administração
Connect-MgGraph -Scopes “User.ReadWrite.All”, “Organization.Read.All”, “RoleManagement.ReadWrite.Directory”, “Directory.Read.All”

# Verificar o contexto actual
Get-MgContext

# Desconectar
Disconnect-MgGraph

Operações Comuns com Utilizadores

# Listar todos os utilizadores (propriedades básicas)
Get-MgUser -All -Property Id, DisplayName, UserPrincipalName, Mail, AccountEnabled | `
Select-Object DisplayName, UserPrincipalName, Mail, AccountEnabled

# Procurar um utilizador específico
Get-MgUser -Filter “userPrincipalName eq ‘[email protected]'”

# Criar um novo utilizador
New-MgUser -DisplayName “Ana Costa” `
-UserPrincipalName “[email protected]” `
-MailNickname “ana.costa” `
-PasswordProfile @{Password = “SenhaForte2026!”; ForceChangePasswordNextSignIn = $true} `
-AccountEnabled

# Desactivar (não eliminar) um utilizador
Update-MgUser -UserId “[email protected]” -AccountEnabled:$false

# Eliminar um utilizador (entra em recicle bin por 30 dias)
Remove-MgUser -UserId “[email protected]

Operações com Licenças

# Listar todas as SKUs disponíveis no tenant
Get-MgSubscribedSku | Select-Object SkuPartNumber, SkuId, `
@{N = “LicençasCompradas”; E = {$_.PrepaidUnits.Enabled}}, `
@{N = “LicençasAtribuídas”; E = {$_.ConsumedUnits}}, `
@{N = “LicençasDisponíveis”; E = {$_.PrepaidUnits.Enabled – $_.ConsumedUnits}}

# Listar utilizadores sem licença atribuída
Get-MgUser -All -Property Id, DisplayName, UserPrincipalName, AssignedLicenses | `
Where-Object { $_.AssignedLicenses.Count -eq 0 } | `
Select-Object DisplayName, UserPrincipalName

Operações com Funções

# Listar todos os templates de funções disponíveis
Get-MgDirectoryRoleTemplate | Select-Object DisplayName, Description

# Listar membros de uma função específica (ex: Global Administrator)
$role = Get-MgDirectoryRole -Filter “displayName eq ‘Global Administrator'”
Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id | `
ForEach-Object { Get-MgUser -UserId $_.Id | Select-Object DisplayName, UserPrincipalName }

Script: Relatório de Utilizadores com Licenças

O script seguinte produz um relatório combinado de utilizadores e respectivas licenças, útil para auditorias periódicas:

# Relatório de utilizadores e licenças atribuídas
Connect-MgGraph -Scopes “User.Read.All”, “Organization.Read.All”

$skus = Get-MgSubscribedSku
$skuMap = @{}
foreach ($sku in $skus) {
$skuMap[$sku.SkuId] = $sku.SkuPartNumber
}

$users = Get-MgUser -All -Property Id, DisplayName, UserPrincipalName, AssignedLicenses, AccountEnabled

$report = foreach ($user in $users) {
$licencas = if ($user.AssignedLicenses.Count -gt 0) {
($user.AssignedLicenses | ForEach-Object { $skuMap[$_.SkuId] }) -join “, ”
} else {
“Sem licença”
}

[PSCustomObject]@{
Nome = $user.DisplayName
UPN = $user.UserPrincipalName
Activo = $user.AccountEnabled
Licencas = $licencas
}
}

$report | Export-Csv -Path “relatorio_licencas.csv” -NoTypeInformation -Encoding UTF8
Write-Host “Relatório exportado para relatorio_licencas.csv”

10. Boas Práticas de Segurança para Contas Administrativas

A segurança das contas administrativas é a linha de frente na protecção do tenant. Comprometter uma conta Global Administrator dá ao atacante acesso total a toda a organização. As seguintes práticas são obrigatórias em 2026.

MFA Obrigatório para Todos os Administradores

A autenticação multifactor (MFA) deve ser imposta a todas as contas com funções administrativas, sem excepção. A forma mais eficaz é através de Conditional Access policies no Entra ID:

  1. Navegar para Entra ID Admin Center > Protection > Conditional Access.
  2. Criar uma nova policy targeting all users with directory roles.
  3. Em Grant, seleccionar Require multifactor authentication.
  4. Activar a policy em On.

Alternativamente, as Security Defaults (gratuitas, incluídas em todos os planos) activam MFA obrigatório para todos os administradores. No entanto, Security Defaults não permitem a granularidade de Conditional Access e não são adequadas para ambientes que já usam políticas customizadas.

Break-Glass Account (Conta de Emergência)

Uma break-glass account é uma conta administrativa de emergência, usada apenas quando todas as outras vias de acesso estão bloqueadas (e.g. perda de dispositivo MFA, indisponibilidade de Conditional Access). Recomendações:

  • Criar pelo menos duas contas break-glass com função Global Administrator.
  • Atribuir palavras-passe longas e complexas (mínimo 25 caracteres).
  • NÃO registar MFA nestas contas (ou usar TOTP armazenado em cofre físico separado).
  • Guardar as credenciais em local seguro e físico (cofre, sealed envelope) — não em gestores de passwords partilhados.
  • Monitorizar sign-ins destas contas via alerts no Entra ID. Qualquer sign-in numa break-glass account deve gerar alerta imediato.
  • Auditar mensalmente que as contas não foram usadas e continuam válidas.

Privileged Identity Management (PIM)

O PIM é uma funcionalidade do Entra ID (requer Microsoft Entra ID P2, incluído em E5 ou disponível como add-on) que permite gerir, controlar e monitorizar o acesso privilegiado dentro da organização.

Funcionalidades chave do PIM:

  • Elevação just-in-time: um administrador só recebe a função quando precisa, por um período limitado (e.g. 4 horas), após justificação e/ou aprovação.
  • Approval workflow: elevações podem requerer aprovação de outro administrador.
  • Auditoria completa: histórico de todas as elevações, justificações e durações.
  • Alertas de atribuições permanentes: o PIM alerta quando funções estão atribuídas permanentemente (sem expiração).

#### Configurar PIM para uma Função

  1. Navegar para Entra ID Admin Center > Identity governance > Privileged Identity Management > Entra roles.
  2. Seleccionar Roles e escolher a função (e.g. Exchange Administrator).
  3. Clicar em Settings > Activate e configurar:
  • Duração máxima da elevação (e.g. 4 horas).
  • Requerer aprovação (sim/não e quem aprova).
  • Requerer MFA na elevação.
  • Requerer justificação.
  1. Atribuir utilizadores elegíveis (não permanentes) à função.

#### Activar uma Função via PIM

# Conectar ao Graph com scopes de PIM
Connect-MgGraph -Scopes “PrivilegedAccess.Read.AzureAD”, “PrivilegedAccess.ReadWrite.AzureAD”

# Listar atribuições elegíveis
Get-MgRoleManagementDirectoryRoleEligibilitySchedule -All

# Para activar, usar o portal PIM ou a API Role Management
# A activação just-in-time via PowerShell requer o módulo Microsoft.Graph.Identity.Governance

Resumo de Boas Práticas

Prática Obrigatória? Plano Necessário
MFA para todos os administradores Sim Todos (Security Defaults ou Conditional Access)
Break-glass accounts (mín. 2) Sim Todos
Princípio do menor privilégio Sim Todos
Auditoria periódica de funções Sim Todos
PIM (elevação just-in-time) Recomendada Entra ID P2 (E5 ou add-on)
Conditional Access Recomendada Entra ID P1 (Business Premium, E3, E5)
Access reviews periódicas Recomendada Entra ID P2

Referência: Microsoft Learn — Microsoft 365 Security.

Checklist Pré-Produção

Antes de aplicar qualquer configuração deste artigo num ambiente produtivo, confirma:

  1. Tenant Microsoft 365 activo e subscrição válida (Business Basic/Standard/Premium ou E3/E5): verificar em https://admin.microsoft.com > Billing > Subscriptions.
  2. Função administrativa atribuída à conta que vai executar as operações (mínimo User Administrator para gestão de utilizadores; Global Administrator para configurações de tenant): verificar em Users > Active users > [conta] > Roles.
  3. MFA activo em todas as contas administrativas: verificar em Entra ID > Users > [conta] > Authentication methods ou via Conditional Access policy.
  4. Break-glass accounts criadas (mínimo 2) e credenciais armazenadas em local seguro: verificar em Entra ID > Users e confirmar que têm Global Admin mas MFA não registada.
  5. Módulo Microsoft Graph PowerShell instalado (versão 2.x ou superior): Get-Module -ListAvailable Microsoft.Graph | Select-Object Name, Version.
  6. Staging environment disponível (tenant de teste Microsoft 365 ou utilizador de teste) para validar scripts PowerShell antes de aplicar em produção. Executar comandos que alteram configuração (e.g. Set-MgUserLicense, Remove-MgUser, New-MgUser) primeiro contra contas de teste.
  7. Backup do estado actual antes de mudanças em massa: exportar lista de utilizadores e licenças (Get-MgUser -All | Export-Csv) e guardar snapshot das atribuições de funções antes de alterações.

⚠ ⚠️ Comandos que afectam o tenant inteiro (e.g. atribuição em lote de licenças, remoção em massa de utilizadores, alterações a políticas de Conditional Access) devem ser testados num ambiente de desenvolvimento ou pilotado num grupo reduzido antes de aplicados em produção. Documentar cada mudança num changelog e reverter imediatamente se houver impacto inesperado.

Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário