Pular para o conteúdo principal

Laboratório Técnico: Create users and groups

Questões

Questão 1 — Múltipla Escolha

Um administrador precisa criar 300 contas de usuário no Microsoft Entra ID a partir de um arquivo exportado do sistema de RH. O arquivo está disponível em formato CSV. Qual é a abordagem mais adequada para realizar essa operação em escala?

A. Criar cada usuário manualmente pelo portal do Azure, preenchendo os campos obrigatórios um a um.

B. Usar o recurso de importação em massa no portal do Microsoft Entra ID, com um arquivo CSV formatado conforme o template exigido pela Microsoft.

C. Criar um script PowerShell que utilize o módulo Az.Accounts para iterar sobre o CSV e criar os usuários.

D. Usar o Microsoft Entra Connect para sincronizar os usuários a partir de um Active Directory local, mesmo que a organização não possua AD local.

Questão 2 — Cenário Técnico

Uma equipe de desenvolvimento utiliza o seguinte comando para criar um grupo no Microsoft Entra ID:

az ad group create \
  --display-name "DevTeam" \
  --mail-nickname "devteam"

Após a criação, o administrador tenta adicionar uma regra de associação dinâmica ao grupo, mas a opção está indisponível no portal. Qual é a causa mais provável?

A. O comando az ad group create não é suportado para grupos com associação dinâmica.

B. O grupo foi criado com o tipo de associação Atribuída por padrão, e não é possível alterar esse tipo após a criação.

C. Grupos criados via CLI do Azure não podem ser gerenciados pelo portal do Azure.

D. A regra dinâmica exige que o grupo seja do tipo Microsoft 365, mas o comando criou um grupo de Segurança.

Questão 3 — Verdadeiro ou Falso

Um usuário convidado (Guest) criado no Microsoft Entra ID por meio do recurso de colaboração do Microsoft Entra External ID possui, por padrão, as mesmas permissões de leitura de diretório que um usuário membro (Member) da organização.

Questão 4 — Cenário Técnico

Uma organização deseja que todos os usuários do departamento de Finanças sejam automaticamente adicionados ao grupo GRP-Financas com base no atributo department preenchido no perfil de cada usuário. O administrador configura o grupo como dinâmico e define a seguinte regra:

user.department -eq "Financas"

Após uma semana, vários usuários do departamento relatam que não estão no grupo. O administrador verifica que os perfis desses usuários têm o campo department preenchido como Financas no portal. Qual é a causa mais provável do problema?

A. Grupos dinâmicos só processam novos usuários; usuários existentes no diretório no momento da criação da regra não são avaliados.

B. O atributo department não é suportado em regras de associação dinâmica no Microsoft Entra ID.

C. O valor do atributo department nos perfis afetados contém diferença de capitalização, espaços extras ou foi preenchido por sincronização com um valor divergente do esperado na regra.

D. A licença Microsoft Entra ID Free é suficiente para grupos dinâmicos, mas há um limite de 50 membros por grupo nessa camada.

Questão 5 — Múltipla Escolha

Ao criar um novo usuário no Microsoft Entra ID pelo portal do Azure, o administrador deve definir obrigatoriamente o nome UPN (User Principal Name). Qual das afirmações abaixo descreve corretamente uma restrição real associada ao UPN?

A. O UPN deve ser idêntico ao endereço de e-mail principal do usuário e não pode ser alterado após a criação.

B. O sufixo do UPN deve corresponder a um domínio verificado no tenant do Microsoft Entra ID ou ao domínio padrão onmicrosoft.com.

C. O UPN não pode conter o caractere @ e deve ser composto apenas pelo prefixo do usuário.

D. Usuários com UPN baseado no domínio onmicrosoft.com não conseguem autenticar em aplicações integradas ao Microsoft Entra ID.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Microsoft Entra ID oferece nativamente o recurso de importação em massa diretamente no portal, com suporte a arquivos CSV formatados segundo o template oficial da Microsoft. Essa é a abordagem recomendada para criação em escala sem depender de infraestrutura adicional.

A alternativa C é plausível, mas o módulo correto para gerenciar usuários no Entra ID via PowerShell é o Microsoft.Graph ou o AzureAD, não o Az.Accounts, que trata de autenticação na CLI. Escolher essa alternativa indicaria uma confusão entre os módulos do Azure.

A alternativa D é tecnicamente incorreta porque o Microsoft Entra Connect pressupõe a existência de um Active Directory local para sincronização híbrida. Utilizá-lo em um ambiente puramente em nuvem não faz sentido arquitetural.

Gabarito — Questão 2

Resposta: B

Quando um grupo é criado sem especificar o tipo de associação, ele é criado como Atribuído por padrão. O Microsoft Entra ID não permite alterar o tipo de associação de um grupo após sua criação: um grupo atribuído não pode ser convertido em dinâmico, e vice-versa. A solução correta é excluir o grupo e recriá-lo com o tipo de associação dinâmica desde o início.

A alternativa A está errada porque o tipo de associação dinâmica não depende do método de criação (CLI, portal ou API), mas sim do parâmetro correto informado durante a criação.

A alternativa D é um distrator plausível, mas o tipo de grupo (Segurança ou Microsoft 365) e o tipo de associação (Atribuída ou Dinâmica) são propriedades independentes. Ambos os tipos de grupo suportam associação dinâmica.

Gabarito — Questão 3

Resposta: Falso

Usuários convidados (Guest) têm permissões de diretório restritas por padrão em comparação com usuários membros. Especificamente, convidados não podem enumerar a lista completa de usuários, grupos ou outros objetos do diretório da mesma forma que membros. Esse comportamento é uma medida de segurança deliberada para limitar a exposição de informações internas a identidades externas.

Esse é um ponto crítico em cenários de colaboração: um convidado pode acessar os recursos para os quais foi explicitamente autorizado, mas não possui visibilidade ampla sobre o tenant, diferentemente de um membro comum.

Gabarito — Questão 4

Resposta: C

Regras de associação dinâmica fazem comparação exata de strings, incluindo capitalização e espaços. Se o valor do atributo no perfil foi sincronizado a partir de um Active Directory local com uma grafia diferente (por exemplo, financas em minúsculas, Finanças com cedilha, ou Financas com espaço à direita), a regra user.department -eq "Financas" não terá correspondência e o usuário não será incluído no grupo.

A alternativa A está errada: grupos dinâmicos avaliam todos os usuários do diretório continuamente, não apenas os criados após a regra.

A alternativa D contém uma premissa falsa: grupos dinâmicos exigem licença Microsoft Entra ID P1 ou superior, e não há limite de 50 membros para grupos dinâmicos nessa camada.

Gabarito — Questão 5

Resposta: B

O sufixo do UPN (a parte após o @) deve ser um domínio verificado registrado no tenant ou o domínio padrão onmicrosoft.com. Isso garante que o Microsoft Entra ID possa associar corretamente o usuário ao tenant durante a autenticação. Tentar criar um usuário com um sufixo de domínio não verificado resulta em erro.

A alternativa A está errada em duas partes: o UPN não precisa ser idêntico ao e-mail principal, e ele pode ser alterado após a criação, embora isso possa impactar sessões ativas e integrações.

A alternativa D está errada porque o domínio onmicrosoft.com é totalmente funcional para autenticação em aplicações integradas ao Microsoft Entra ID. Ele é, inclusive, o domínio padrão em tenants novos antes da verificação de um domínio customizado.