Pular para o conteúdo principal

Laboratório Técnico: Manage User and Group Properties

Questões

Questão 1 — Múltipla Escolha

Um administrador precisa garantir que novos membros adicionados a um grupo do Microsoft Entra ID recebam automaticamente licenças do Microsoft 365, sem intervenção manual a cada novo colaborador. O grupo já existe e possui membros atribuídos manualmente.

Qual é a abordagem correta para atender a esse requisito?

A) Converter o grupo para o tipo Assigned e ativar a opção de herança de licença nas propriedades do grupo.

B) Criar um novo grupo com Membership type definido como Dynamic User e configurar uma regra de associação baseada em atributos do usuário.

C) Manter o grupo existente como Assigned e configurar uma política de acesso condicional vinculada ao grupo para provisionar licenças automaticamente.

D) Alterar o Membership type do grupo existente de Assigned para Dynamic User diretamente nas propriedades, sem necessidade de recriar o grupo.

Questão 2 — Cenário Técnico

Um administrador executa o seguinte comando para criar um usuário no Microsoft Entra ID:

az ad user create \
  --display-name "Ana Lima" \
  --user-principal-name ana.lima@contoso.com \
  --password "Temp@1234" \
  --force-change-password-next-sign-in true

Após a criação, o administrador tenta atribuir o usuário a um grupo de segurança dinâmico cuja regra é:

user.department -eq "Financeiro"

O usuário não aparece no grupo após 30 minutos. Qual é a causa mais provável?

A) O comando az ad user create não suporta o parâmetro --force-change-password-next-sign-in, o que gerou um usuário em estado inválido.

B) Grupos dinâmicos no Microsoft Entra ID não suportam usuários criados via CLI; apenas usuários criados pelo portal são elegíveis.

C) O atributo department do usuário não foi definido durante a criação, portanto a regra de associação dinâmica não encontra correspondência.

D) O processamento de grupos dinâmicos exige que o usuário realize pelo menos um login antes de ser avaliado pelas regras de associação.

Questão 3 — Verdadeiro ou Falso

Um grupo do tipo Microsoft 365 no Microsoft Entra ID pode ser configurado com Membership type definido como Dynamic User, permitindo que a associação de membros seja gerenciada automaticamente por regras de atributos.

Questão 4 — Cenário Técnico

Uma empresa utiliza o Microsoft Entra ID e possui usuários convidados (guests) provenientes de parceiros externos. O administrador precisa impedir que esses usuários convidados consigam enumerar membros de grupos e outros usuários do diretório, sem remover o acesso que eles já têm aos recursos compartilhados.

Qual configuração deve ser ajustada para atender a esse requisito?

A) Remover os usuários convidados de todos os grupos e adicioná-los individualmente aos recursos, eliminando a necessidade de visibilidade do diretório.

B) Alterar as External collaboration settings no Microsoft Entra ID para restringir as permissões de usuários convidados no diretório.

C) Aplicar uma política de Microsoft Entra Conditional Access que bloqueie requisições de leitura ao diretório para usuários com função de convidado.

D) Converter as contas de convidado para membros com tipo de usuário Member, restringindo depois o acesso por grupo.

Questão 5 — Múltipla Escolha

Um administrador precisa delegar a capacidade de redefinir senhas de usuários não administradores para a equipe de suporte técnico, sem conceder permissões mais amplas do que o necessário sobre o diretório.

Qual função interna do Microsoft Entra ID atende a esse requisito com o menor nível de privilégio?

A) User Administrator, pois permite gerenciar todos os aspectos de usuários não administradores, incluindo redefinição de senha.

B) Helpdesk Administrator, pois é a função com escopo mais restrito que inclui exclusivamente a capacidade de redefinir senhas.

C) Password Administrator, pois permite redefinir senhas de usuários não administradores e de usuários com a função Password Administrator.

D) Authentication Administrator, pois permite redefinir métodos de autenticação e senhas para usuários não administradores sem herdar permissões de gerenciamento de usuários.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Grupos com Membership type definido como Dynamic User gerenciam a associação automaticamente com base em regras de atributos, eliminando a necessidade de adição manual. Essa é a única abordagem que atende ao requisito de automação.

A alternativa D é o principal distrator: no Microsoft Entra ID, não é possível alterar o Membership type de um grupo existente. A conversão de Assigned para Dynamic (ou vice-versa) exige a criação de um novo grupo. Tentar fazer essa alteração no portal resultará em erro. Manter o grupo existente como Assigned e tentar usar acesso condicional (C) para provisionar licenças representa um equívoco conceitual, pois o Conditional Access controla acesso, não provisionamento de licenças. A opção A descreve um recurso inexistente de "herança de licença" via tipo de grupo.

Gabarito — Questão 2

Resposta: C

A regra de associação dinâmica avalia o valor atual do atributo department no perfil do usuário. Como o comando az ad user create não incluiu o parâmetro --department, esse atributo permanece nulo no perfil do usuário, e a condição user.department -eq "Financeiro" não é satisfeita.

A alternativa D é um distrator comum porque o processamento de grupos dinâmicos de fato tem latência, mas não depende de login prévio do usuário. A avaliação ocorre com base nos atributos do objeto de diretório, não no histórico de autenticação. A alternativa B é incorreta: a CLI e o portal criam objetos equivalentes no diretório, sem distinção de elegibilidade. A alternativa A descreve um parâmetro válido e suportado.

Gabarito — Questão 3

Resposta: Verdadeiro

Grupos do tipo Microsoft 365 suportam sim o Membership type Dynamic User. Essa combinação é válida e amplamente utilizada para provisionar automaticamente acesso a recursos colaborativos (SharePoint, Teams, Exchange) com base em atributos de usuário. O equívoco comum é associar grupos dinâmicos exclusivamente a grupos de segurança. Na prática, tanto grupos de segurança quanto grupos Microsoft 365 podem ser configurados como dinâmicos. A distinção relevante é que grupos atribuídos a funções de diretório (role-assignable groups) não podem ser dinâmicos.

Gabarito — Questão 4

Resposta: B

As External collaboration settings no Microsoft Entra ID controlam diretamente o nível de acesso que usuários convidados têm ao diretório, incluindo a capacidade de enumerar usuários e grupos. É possível restringir esse acesso sem remover os convidados dos recursos compartilhados.

A alternativa C representa um equívoco frequente: o Microsoft Entra Conditional Access controla condições de acesso a aplicativos e serviços, mas não possui granularidade para bloquear operações de leitura ao diretório de forma isolada. A alternativa D introduziria riscos desnecessários ao elevar o tipo de usuário, ampliando privilégios em vez de restringi-los. A alternativa A atende parcialmente ao sintoma, mas não ao requisito real, que é manter o acesso aos recursos enquanto restringe a visibilidade do diretório.

Gabarito — Questão 5

Resposta: C

Password Administrator é a função com menor privilégio que atende especificamente ao requisito de redefinição de senhas. Ela permite redefinir senhas de usuários sem funções administrativas e de outros usuários com a mesma função, sem conceder acesso a criação, exclusão ou gerenciamento de atributos de usuários.

Helpdesk Administrator (B) é um distrator plausível, mas possui escopo maior que Password Administrator: inclui gerenciamento de tickets de suporte e capacidade de forçar a renovação de sessão, além da redefinição de senha. Authentication Administrator (D) permite redefinir métodos de autenticação, mas também inclui capacidades além da simples redefinição de senha. User Administrator (A) tem escopo amplo demais, violando o princípio do menor privilégio ao permitir criar, excluir e modificar usuários não administradores.