Funções internas do Microsoft Entra
No Microsoft Entra ID, se outra pessoa, administrador ou não, precisar gerenciar recursos do Microsoft Entra, atribua a ela uma função do Microsoft Entra que forneça as permissões necessárias. Por exemplo, atribua funções para permitir a adição ou alteração de usuários, a redefinição de senhas de usuário, o gerenciamento de licenças de usuário ou o gerenciamento de nomes de domínio.
Este artigo lista as funções internas do Microsoft Entra que você pode atribuir para possibilitar o gerenciamento de recursos do Microsoft Entra. Para obter informações sobre como atribuir funções, confira Atribuir funções do Microsoft Entra a usuários. Para verificar as funções para gerenciar recursos do Azure, confira Funções internas do Azure.
Todas as funções
| Função | Descrição | ID do modelo |
|---|---|---|
| Administrador de aplicativos | Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Desenvolvedor de aplicativos | Pode criar registros de aplicativos em qualquer configuração de “Usuários podem registrar aplicativos”. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Criador de payload de ataque | Pode criar payloads de ataque que administradores podem iniciar posteriormente. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administrador de simulação de ataques | Pode criar e gerenciar todos os aspectos de campanhas de simulação de ataque. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Administrador de designação de atributos | Atribuir chaves e valores de atributo de segurança personalizados para objetos do Microsoft Entra com suporte. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Leitor de designação de atributos | Ler chaves e valores de atributo de segurança personalizados de objetos do Microsoft Entra com suporte. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Administrador de definição de atributos | Especificar e gerenciar a definição dos atributos de segurança personalizados. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Leitor de definição de atributos | Ler a definição de atributos de segurança personalizados. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Administrador de Log de Atributos | Ler os logs de auditoria e definir as configurações de diagnóstico para eventos relacionados a atributos de segurança personalizados. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Leitor de Log de Atributos | Ler os logs de auditoria relacionados a atributos de segurança personalizados. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Administrador de autenticação | Pode acessar para exibir, definir e redefinir as informações de método de autenticação para qualquer usuário não administrador. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Administrador de extensibilidade de autenticação | Personalizar as experiências de entrada e inscrição dos usuários criando e gerenciando extensões de autenticação personalizadas. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| Administrador de política de autenticação | Pode criar e gerenciar a política de métodos de autenticação, as configurações de MFA em todo o locatário, a política de proteção de senha e as credenciais verificáveis. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Administrador do Azure DevOps | Pode gerenciar políticas e configurações do Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Administrador da Proteção de Informações do Azure | Pode gerenciar todos os aspectos do produto de Proteção de Informações do Azure. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Administrador de conjunto de chaves do IEF B2C | Pode gerenciar segredos para federação e criptografia no IEF (Identity Experience Framework). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Administrador de política do IEF B2C | Pode criar e gerenciar políticas de estrutura confiável no Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Administrador de cobrança | Pode executar tarefas comuns de relacionadas à cobrança, como atualizar informações de pagamento. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Administrador do Cloud App Security | Pode gerenciar todos os aspectos do produto Defender para Aplicativos de Nuvem. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Administrador de aplicativos de nuvem | Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais, exceto o proxy de aplicativo. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Administrador de dispositivo de nuvem | Acesso limitado ao gerenciamento de dispositivos no Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Administrador de conformidade | Pode ler e gerenciar a configuração e os relatórios de conformidade no Microsoft Entra ID e no Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Administrador de dados de conformidade | Criar e gerenciar conteúdo de conformidade. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administrador de acesso condicional | Pode gerenciar as capacidades de acesso condicional. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Aprovador de acesso do sistema de proteção de dados do cliente | Pode aprovar solicitações de suporte da Microsoft para acessar dados organizacionais do cliente. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Administrador de Análise de Área de Trabalho | Pode acessar e gerenciar ferramentas e serviços de gerenciamento da Área de Trabalho. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Leitores de diretório | Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Contas de sincronização de diretório | Usado apenas pelo serviço Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Gravadores de diretório | Pode fazer a leitura e gravação de informações básicas do diretório. Para permitir acesso a aplicativos, não destinado a usuários. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Administrador de nome de domínio | Pode gerenciar nomes de domínio na nuvem e no local. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Administrador do Dynamics 365 | Pode gerenciar todos os aspectos do produto Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Administrador do Dynamics 365 Business Central | Acessar e executar todas as tarefas administrativas nos ambientes do Dynamics 365 Business Central. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Administrador do Edge | Gerenciar todos os aspectos do Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Administrador do Exchange | Pode gerenciar todos os aspectos do produto Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Administrador de destinatários do Exchange | Pode criar ou atualizar destinatários do Exchange Online na organização do Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Administrador de fluxos de usuários de ID externo | Pode criar e gerenciar todos os aspectos dos fluxos dos usuários. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administrador de atributos de fluxos de usuários de ID externo | Pode criar e gerenciar o esquema de atributo disponível para todos os fluxos dos usuários. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Administrador do provedor de identidade externa | Pode configurar provedores de identidade para uso na federação direta. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Administrador do Fabric | Pode gerenciar todos os aspectos dos produtos do Fabric e Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Administrador global | Pode gerenciar todos os aspectos do Microsoft Entra ID e dos serviços da Microsoft que usam identidades do Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
| Leitor global | Pode ler tudo o que um Administrador global pode, mas não pode atualizar nada. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Administrador de Acesso Global Seguro | Criar e gerenciar todos os aspectos de Acesso à Internet do Microsoft Entra e do Acesso Privado do Microsoft Entra, incluindo o gerenciamento do acesso a pontos de extremidade públicos e privados. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Administrador de grupos | Os membros desta função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, além de exibir a atividade dos grupos e os relatórios de auditoria. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Emissor de convites independente | Pode convidar usuários em qualquer configuração de “membros podem convidar pessoas”. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Administrador da assistência técnica | Pode redefinir senhas para não administradores e Administradores da assistência técnica. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Administrador de identidade híbrida | Gerenciar o provisionamento de nuvem do Active Directory para o Microsoft Entra, o Microsoft Entra Connect, a autenticação de passagem (PTA), a sincronização de hash de senha (PHS), o logon único contínuo (SSO contínuo) e as configurações de federação. Não tem acesso para gerenciar o Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Administrador de governança de identidade | Gerenciar o acesso usando o Microsoft Entra ID em cenários de governança de identidade. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Administrador do Insights | Tem acesso administrativo ao aplicativo Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Analista do Insights | Acessar as funcionalidades analíticas no Microsoft Viva Insights e executar consultas personalizadas. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Líder de negócios do Insights | Pode ver e compartilhar painéis e insights por meio do aplicativo Insights do Microsoft 365. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Administrador do Intune | Pode gerenciar todos os aspectos do produto Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Administrador do Kaizala | Pode gerenciar as configurações do Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Administrador de conhecimento | Pode configurar recursos de conhecimento, aprendizado e outros recursos inteligentes. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Gerente de conhecimento | Pode organizar, criar, gerenciar e promover tópicos e conhecimento. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Administrador de licenças | Pode gerenciar licenças de produto em usuários e grupos. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Administrador de fluxos de trabalho do ciclo de vida | Criar e gerenciar todos os aspectos de fluxos de trabalho e tarefas associados aos fluxos de trabalho do ciclo de vida no Microsoft Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
| Leitor de privacidade do Centro de Mensagens | Pode ler as mensagens de segurança e as atualizações somente no Centro de Mensagens do Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Leitor do Centro de Mensagens | Pode ler as mensagens e as atualizações da organização em que estão somente no Centro de Mensagens do Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Administrador de migração do Microsoft 365 | Executar todas as funcionalidades de migração para migrar o conteúdo para o Microsoft 365 usando o Gerenciador de Migração. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Administrador local do dispositivo ingressado no Microsoft Entra | Os usuários com essa função atribuída são adicionados ao grupo local de administradores em dispositivos que ingressaram no Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Administrador de garantia de hardware da Microsoft | Criar e gerenciar todos os direitos e reclamações de garantia de aspectos para hardware fabricado pela Microsoft, como o Surface e HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Especialista em garantia de hardware da Microsoft | Criar e ler as reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Administrador de comércio moderno | Pode gerenciar compras comerciais de uma empresa, um departamento ou uma equipe. | d24aef57-1500-4070-84db-2666f29cf966 |
| Administrador de rede | Pode gerenciar os locais de rede e examinar insights sobre o design da rede empresarial de aplicativos de Software como Serviço do Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Administrador de Aplicativos do Office | Pode gerenciar os serviços de nuvem dos aplicativos do Office, incluindo o gerenciamento de políticas e configurações e o gerenciamento da capacidade de selecionar, cancelar a seleção e publicar o conteúdo do recurso “novidades” nos dispositivos do usuário final. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Administrador de identidade visual organizacional | Gerenciar todos os aspectos da identidade visual organizacional em um locatário. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| Aprovador de mensagens organizacionais | Examinar, aprovar ou rejeitar novas mensagens organizacionais para entrega no Centro de administração do Microsoft 365 antes de serem enviadas aos usuários. | e48398e2-f4bb-4074-8f31-4586725e205b |
| Escritor de mensagens organizacionais | Gravar, publicar, gerenciar e revisar as mensagens organizacionais destinadas aos usuários finais por meio de superfícies de produtos da Microsoft. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Suporte de nível 1 ao parceiro | Não usar. Não se destina a uso geral. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Suporte de nível 2 ao parceiro | Não usar. Não se destina a uso geral. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Administrador de senhas | Pode redefinir senhas para não administradores e administradores de senhas. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Administrador de gerenciamento de permissões | Gerenciar todos os aspectos do Gerenciamento de Permissões do Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Administrador do Power Platform | Pode criar e gerenciar todos os aspectos do Microsoft Dynamics 365, do Power Apps e do Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Administrador de impressoras | Pode gerenciar todos os aspectos das impressoras e dos conectores de impressoras. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Técnico de impressora | Pode registrar e cancelar o registro e atualizar o status das impressoras. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Administrador de autenticação privilegiada | Pode acessar para exibir, definir e redefinir as informações de método de autenticação de qualquer usuário (administrador ou não administrador). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administrador de funções com privilégios | Pode gerenciar atribuições de função do Microsoft Entra ID e todos os aspectos do Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Leitor de relatórios | Pode ler relatórios de entrada e de auditoria. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Administrador de pesquisas | Pode criar e gerenciar todos os aspectos das configurações da Pesquisa da Microsoft. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Editor de pesquisa | Pode criar e gerenciar o conteúdo editorial, como indicadores, perguntas e respostas, localizações, planta baixa. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Administrador da segurança | Pode ler relatórios e informações de segurança e gerenciar a configuração no Microsoft Entra ID e no Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operador de Segurança | Criar e gerenciar eventos de segurança. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Leitor de segurança | Pode ler relatórios e informações de segurança no Microsoft Entra ID e no Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Administrador do suporte de serviços | Pode ler informações de integridade do serviço e gerenciar os tíquetes de suporte. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Administrador do SharePoint | Pode gerenciar todos os aspectos do serviço do SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Administrador do SharePoint Embedded | Gerenciar todos os aspectos dos contêineres do SharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
| Administrador do Skype for Business | Pode gerenciar todos os aspectos do produto Skype for Business. | 75941009-915a-4869-abe7-691bff18279e |
| Administrador do Teams | Pode gerenciar o serviço do Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Administrador de comunicações do Teams | Pode gerenciar recursos de reuniões e chamadas no serviço do Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Engenheiro de suporte técnico de comunicações do Teams | Pode solucionar problemas de comunicação no Teams usando ferramentas avançadas. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Especialista de suporte técnico de comunicações do Teams | Pode solucionar problemas de comunicação no Teams usando ferramentas básicas. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Administrador de dispositivos do Teams | Pode executar tarefas relacionadas ao gerenciamento de desempenho em dispositivos certificados pelo Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Administrador de telefonia do Teams | Gerenciar recursos de voz e telefonia e solucionar problemas de comunicação no serviço do Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
| Criador de locatários | Criar locatários do Microsoft Entra ou do Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Leitor de relatórios de resumo de uso | Ler os relatórios de Uso e a Pontuação de adoção; sem acesso aos detalhes do usuário. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Administrador de usuários | Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Gerenciador de sucesso da experiência do usuário | Ver comentários sobre produtos, resultados de pesquisa e relatórios para encontrar oportunidades de treinamento e comunicação. | 27460883-1df1-4691-b032-3b79643e5e63 |
| Administrador de visitas virtuais | Gerenciar e compartilhar informações e métricas de visitas virtuais de centros de administração ou do aplicativo de visitas virtuais. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Administrador do Viva Goals | Gerenciar e configurar todos os aspectos do Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Administrador do Viva Pulse | Pode gerenciar todas as configurações para o aplicativo Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Administrador do Windows 365 | Pode provisionar e gerenciar todos os aspectos de PCs na nuvem. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Administrador de implantações do Windows Update | Pode criar e gerenciar todos os aspectos das implantações do Windows Update por meio do serviço de implantação do Windows Update para Empresas. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Administrador do Yammer | Gerenciar todos os aspectos do serviço do Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrador de aplicativos
Essa é uma função com privilégios. Os usuários nessa função podem criar e gerenciar todos os aspectos de aplicativos empresariais, registros de aplicativos e configurações de proxy de aplicativos. Observe que os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativo ou aplicativos empresariais.
Essa função também fornece a capacidade de consentir permissões delegadas e permissões de aplicação, com exceção das permissões de aplicação para o Azure AD Graph e Microsoft Graph.
Importante
Essa exceção significa que você ainda pode consentir com permissões de aplicativos para outros aplicativos (por exemplo, outros aplicativos da Microsoft, aplicativos de terceiros ou aplicativos que você registrou). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas a concessão (ou seja, o consentimento) dessas permissões requer um administrador mais privilegiado, como o Administrador Global.
Essa função concede a capacidade de gerenciar credenciais de aplicativos. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usar essas credenciais para representar a identidade do aplicativo. Se a identidade do aplicativo tiver acesso a um recurso, como a capacidade de criar ou atualizar o usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto estiver representando o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio com relação ao que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de administrador do aplicativo permite que ele represente a identidade de um aplicativo.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gerenciar políticas de solicitação de consentimento do administrador no Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Ler todas as propriedades de solicitações de consentimento de aplicativos registrados com o Microsoft Entra ID |
| microsoft.directory/applicationPolicies/basic/update | Atualizar as propriedades padrão das políticas do aplicativo |
| microsoft.directory/applicationPolicies/create | Criar políticas de aplicativo |
| microsoft.directory/applicationPolicies/delete | Excluir políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/read | Ler os proprietários nas políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/update | Atualizar a propriedade de proprietário das políticas de aplicativo |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Ler as políticas de aplicativo aplicadas à lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Ler as propriedades padrão das políticas de aplicativo |
| microsoft.directory/applications/applicationProxyAuthentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/applicationProxy/read | Ler todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/applicationProxySslCertificate/update | Atualizar configurações de certificado SSL para o proxy de aplicativo |
| microsoft.directory/applications/applicationProxy/update | Atualizar todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Atualizar as configurações de URL para o proxy de aplicativo |
| microsoft.directory/applications/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicativos |
| microsoft.directory/applications/audience/update | Atualizar a propriedade de público-alvo para aplicativos |
| microsoft.directory/applications/authentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/basic/update | Atualizar as propriedades básicas para aplicativos |
| microsoft.directory/applications/create | Criar todos os tipos de aplicativos |
| microsoft.directory/applications/credentials/update | Atualizar as credenciais do aplicativo |
| microsoft.directory/applications/delete | Excluir todos os tipos de aplicativos |
| microsoft.directory/applications/extensionProperties/update | Atualizar propriedades de extensão em aplicativos |
| microsoft.directory/applications/notes/update | Atualizar notas de aplicativos |
| microsoft.directory/applications/owners/update | Atualizar proprietários de aplicativos |
| microsoft.directory/applications/permissions/update | Atualizar as permissões expostas e as permissões necessárias em todos os tipos de aplicativos |
| microsoft.directory/applications/policies/update | Atualizar políticas de aplicativos |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/applications/tag/update | Atualizar as tags de aplicativos |
| microsoft.directory/applications/verification/update | Atualizar a propriedade applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/connectorGroups/allProperties/read | Ler todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/update | Atualizar todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/create | Criar grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/delete | Excluir grupos de conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Ler todas as propriedades de conectores de rede privada |
| microsoft.directory/connectors/create | Criar conectores de rede privada |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Criar e gerenciar extensões de autenticação personalizadas |
| microsoft.directory/deletedItems.applications/delete | Excluir permanentemente aplicativos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.applications/restore | Restaurar aplicativos com exclusão temporária para o estado original |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/audience/update | Atualizar as propriedades de público-alvo nas entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar as propriedades de autenticação nas entidades de serviço |
| microsoft.directory/servicePrincipals/basic/update | Atualizar as propriedades básicas nas entidades de serviço |
| microsoft.directory/servicePrincipals/create | Criar entidades de serviço |
| microsoft.directory/servicePrincipals/credentials/update | Atualizar as credenciais das entidades de serviço |
| microsoft.directory/servicePrincipals/delete | Excluir as entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desabilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gerenciar as credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Ler as credenciais de logon único de senha nas entidades de serviço |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Fornecer consentimento para permissões de aplicativo e permissões delegadas em nome de qualquer usuário ou todos os usuários, exceto para permissões de aplicativo para o Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Atualizar notas das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar as permissões das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Atualizar as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Crie e gerencie trabalhos de sincronização e esquema de provisionamento de aplicativos. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade da tag para entidades de serviço |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Desenvolvedor de aplicativos
Essa é uma função com privilégios. Os usuários nessa função podem criar registros de aplicativos quando a configuração "Usuários podem registrar aplicativos" estiver definida como Não. Essa função também fornece a permissão de consentir em nome de alguém quando a configuração “Usuários podem consentir em aplicativos acessando os dados da empresa em seu nome” estiver definida como Não. Os usuários atribuídos a essa função são adicionados como proprietários ao criar novos registros de aplicativo.
| Ações | Descrição |
|---|---|
| microsoft.directory/applications/createAsOwner | Criar todos os tipos de aplicativos, e o criador é adicionado como o primeiro proprietário |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Criar as concessões de permissão do OAuth 2.0, com o criador como o primeiro proprietário |
| microsoft.directory/servicePrincipals/createAsOwner | Criar as entidades de serviço, com o criador como o primeiro proprietário |
Criador de payload de ataque
Os usuários nesta função podem criar os payloads de ataque, mas não podem iniciá-los nem agendá-los. Os payloads de ataque ficam disponíveis para todos os administradores no locatário, que podem usá-los para criar uma simulação.
Para obter mais informações, confira Permissões do Microsoft Defender para Office 365 no portal do Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.
| Ações | Descrição |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Criar e gerenciar os payloads de ataque no Simulador de Ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Ler os relatórios sobre simulação de ataques, respostas e treinamento associado |
Administrador de simulação de ataques
Os usuários nesta função podem criar e gerenciar todos os aspectos da criação de simulação de ataques, inicialização/agendamento de uma simulação e a revisão dos resultados da simulação. Os membros dessa função têm esse acesso para todas as simulações no locatário.
Para obter mais informações, confira Permissões do Microsoft Defender para Office 365 no portal do Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.
| Ações | Descrição |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Criar e gerenciar os payloads de ataque no Simulador de Ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Ler os relatórios sobre simulação de ataques, respostas e treinamento associado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Criar e gerenciar os modelos de simulação de ataques no Simulador de Ataques |
Administrador de designação de atributos
Os usuários com essa função podem atribuir e remover chaves e valores de atributos de segurança personalizados para os objetos compatíveis do Microsoft Entra, como usuários, entidades de serviços e dispositivos.
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, você deve ser atribuído a uma das funções de atributo de segurança personalizadas.
Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Ler todas as propriedades dos conjuntos de atributos |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Ler valores de atributo de segurança personalizados para identidades gerenciadas do Microsoft Entra |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Atualizar valores de atributo de segurança personalizados para identidades gerenciadas do Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Ler todas as propriedades das definições de atributo de segurança personalizadas |
| microsoft.directory/devices/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para dispositivos |
| microsoft.directory/devices/customSecurityAttributes/update | Atualizar os valores de atributo de segurança personalizados para dispositivos |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Ler valores de atributo de segurança personalizados para entidades de serviço |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Atualizar valores de atributo de segurança personalizados para entidades de serviço |
| microsoft.directory/users/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para usuários |
| microsoft.directory/users/customSecurityAttributes/update | Atualizar valores de atributo de segurança personalizados para usuários |
Leitor de designação de atributos
Os usuários com essa função podem ler valores e chaves de atributo de segurança personalizados para objetos compatíveis do Microsoft Entra.
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, você deve ser atribuído a uma das funções de atributo de segurança personalizadas.
Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Ler todas as propriedades dos conjuntos de atributos |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Ler valores de atributo de segurança personalizados para identidades gerenciadas do Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Ler todas as propriedades das definições de atributo de segurança personalizadas |
| microsoft.directory/devices/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para dispositivos |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Ler valores de atributo de segurança personalizados para entidades de serviço |
| microsoft.directory/users/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para usuários |
Administrador de definição de atributos
Os usuários com essa função podem definir um conjunto válido de atributos de segurança personalizados que podem ser atribuídos a objetos compatíveis do Microsoft Entra. Essa função também pode ativar e desativar atributos de segurança personalizados.
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, você deve ser atribuído a uma das funções de atributo de segurança personalizadas.
Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Gerenciar todos os aspectos dos conjuntos de atributos |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Gerenciar todos os aspectos das definições de atributo de segurança personalizadas |
Leitor de definição de atributos
Os usuários com essa função podem ler a definição de atributos de segurança personalizados.
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, você deve ser atribuído a uma das funções de atributo de segurança personalizadas.
Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Ler todas as propriedades dos conjuntos de atributos |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Ler todas as propriedades das definições de atributo de segurança personalizadas |
Administrador de Log de Atributos
Atribuir a função Leitor de log de atributos aos usuários que precisam realizar as seguintes tarefas:
- Ler logs de auditoria para alterações do valor de atributos de segurança personalizados
- Ler logs de auditoria para alterações e atribuições de definição de atributos de segurança personalizados
- Definir configurações de diagnóstico para atributos de segurança personalizados
Os usuários com essa função não podem ler logs de auditoria de outros eventos.
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler os logs de auditoria de atributos de segurança personalizados. Para ler logs de auditoria para atributos de segurança personalizados, você deve receber essa função ou a função Leitor de log de atributos.
Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Definir todos os aspectos das configurações de diagnóstico de atributos de segurança personalizados |
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Ler logs de auditoria relacionados a atributos de segurança personalizados |
Leitor de Log de Atributos
Atribuir a função Leitor de log de atributos aos usuários que precisam realizar as seguintes tarefas:
- Ler logs de auditoria para alterações do valor de atributos de segurança personalizados
- Ler logs de auditoria para alterações e atribuições de definição de atributos de segurança personalizados
Os usuários com essa função não podem executar as seguintes tarefas:
- Definir configurações de diagnóstico para atributos de segurança personalizados
- Ler logs de auditoria de outros eventos
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler os logs de auditoria de atributos de segurança personalizados. Para ler logs de auditoria para atributos de segurança personalizados, você deve receber essa função ou a função Administrador de log de atributos.
Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Ler logs de auditoria relacionados a atributos de segurança personalizados |
Administrador de autenticação
Essa é uma função com privilégios. Atribua a função Administrador de Autenticação aos usuários que precisam fazer o seguinte:
- Definir ou redefinir o método de autenticação (incluindo senhas) para não administradores e algumas funções. Para obter uma lista das funções em que um Administrador de Autenticação pode ler ou atualizar os métodos de autenticação, confira Quem pode redefinir senhas.
- Exigir que os usuários que não sejam administradores ou que estejam atribuídos a algumas funções se registrem novamente com as credenciais existentes sem senha (por exemplo, MFA ou FIDO), e também podem revogar a configuração lembrar MFA no dispositivo, que solicitará a MFA na próxima entrada.
- Gerenciar as configurações de MFA no portal de gerenciamento de MFA herdado.
- Executar ações confidenciais para alguns usuários. Para obter mais informações, confira Quem pode executar ações confidenciais.
- Criar e gerenciar tíquetes de suporte no Azure e no Centro de administração do Microsoft 365.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não podem alterar as credenciais nem redefinir a MFA para membros e proprietários de um grupo que permite a atribuição de função.
- Não é possível gerenciar tokens OATH de hardware.
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
| Função | Gerenciar métodos de autenticação do usuário | Gerenciar MFA por usuário | Gerenciar configurações de MFA | Gerenciar a política de método de autenticação | Gerenciar a política de proteção de senha | Atualizar propriedades confidenciais | Excluir e restaurar usuários |
|---|---|---|---|---|---|---|---|
| Administrador de autenticação | Sim, para alguns usuários | Sim, para alguns usuários | Sim | Não | Não | Sim, para alguns usuários | Sim, para alguns usuários |
| Administrador de autenticação privilegiada | Sim para todos os usuários | Sim para todos os usuários | Não | Não | Não | Sim para todos os usuários | Sim para todos os usuários |
| Administrador de política de autenticação | Não | Sim | Sim | Sim | Sim | Não | Não |
| Administrador de usuários | Não | Não | Não | Não | Não | Sim, para alguns usuários | Sim, para alguns usuários |
Importante
Os usuários com essa função podem alterar credenciais de pessoas que podem ter acesso a informações confidenciais ou privadas ou a configurações críticas dentro e fora do Microsoft Entra ID. A alteração das credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:
- Proprietários de registro de aplicativo e aplicativos empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares que não foram autorizados para Administradores de autenticação. Por esse caminho, um Administrador de autenticação pode assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configurações críticas no Azure.
- Proprietários de grupos de segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupos. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou à configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, por exemplo, o Exchange Online, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview e os sistemas de recursos humanos.
- Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/deletedItems.users/restore | Restaurar usuários com exclusão temporária para o estado original |
| microsoft.directory/users/authenticationMethods/basic/update | Atualizar propriedades básicas de métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/create | Atualizar métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/delete | Excluir métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Ler propriedades padrão de métodos de autenticação que não incluem informações de identificação do usuário para usuários |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/delete | Excluir usuários |
| microsoft.directory/users/disable | Desabilitar os usuários |
| microsoft.directory/users/enable | Habilitar os usuários |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.directory/users/restore | Restaurar usuários excluídos |
| microsoft.directory/users/userPrincipalName/update | Atualizar o nome principal de segurança dos usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de extensibilidade de autenticação
Essa é uma função com privilégios. Atribua a função Administrador de extensibilidade de autenticação aos usuários que precisam realizar as seguintes tarefas:
- Criar e gerenciar todos os aspectos das extensões de autenticação personalizadas.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não é possível atribuir extensões de autenticação personalizadas a aplicativos para modificar as experiências de autenticação, e não é possível consentir com permissões de aplicativo ou criar registros de aplicativo associados à extensão de autenticação personalizada. Em vez disso, você precisará usar as funções Administrador de aplicativos, Desenvolvedor de aplicativos ou Administrador de aplicativos de nuvem.
Uma extensão de autenticação personalizada é um ponto de extremidade de API criado por um desenvolvedor para eventos de autenticação e é registrada no Microsoft Entra ID. Os administradores e os proprietários de aplicativos podem usar extensões de autenticação personalizadas para personalizar as experiências de autenticação do aplicativo, como logon e inscrição ou redefinição de senha.
| Ações | Descrição |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Criar e gerenciar extensões de autenticação personalizadas |
Administrador de política de autenticação
Atribua a função Administrador de política de autenticação aos usuários que precisam fazer o seguinte:
- Definir a política de métodos de autenticação, as configurações de MFA em todo o locatário e a política de proteção de senha que determinam os métodos que cada usuário pode registrar e usar.
- Gerenciar as configurações de proteção de senha: configurações de bloqueio inteligente e atualização da lista de senhas proibidas personalizadas.
- Gerenciar as configurações de MFA no portal de gerenciamento de MFA herdado.
- Criar e gerenciar credenciais verificáveis.
- Criar e gerenciar tíquetes de suporte de Azure.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não podem atualizar propriedades confidenciais. Para obter mais informações, confira Quem pode executar ações confidenciais.
- Não podem excluir nem restaurar usuários. Para obter mais informações, confira Quem pode executar ações confidenciais.
- Não é possível gerenciar tokens OATH de hardware.
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
| Função | Gerenciar métodos de autenticação do usuário | Gerenciar MFA por usuário | Gerenciar configurações de MFA | Gerenciar a política de método de autenticação | Gerenciar a política de proteção de senha | Atualizar propriedades confidenciais | Excluir e restaurar usuários |
|---|---|---|---|---|---|---|---|
| Administrador de autenticação | Sim, para alguns usuários | Sim, para alguns usuários | Sim | Não | Não | Sim, para alguns usuários | Sim, para alguns usuários |
| Administrador de autenticação privilegiada | Sim para todos os usuários | Sim para todos os usuários | Não | Não | Não | Sim para todos os usuários | Sim para todos os usuários |
| Administrador de política de autenticação | Não | Sim | Sim | Sim | Sim | Não | Não |
| Administrador de usuários | Não | Não | Não | Não | Não | Sim, para alguns usuários | Sim, para alguns usuários |
| Ações | Descrição |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/organization/strongAuthentication/allTasks | Gerenciar todos os aspectos das propriedades de autenticação forte de uma organização |
| microsoft.directory/userCredentialPolicies/basic/update | Atualizar as políticas básicas para usuários |
| microsoft.directory/userCredentialPolicies/create | Criar as políticas de credencial para usuários |
| microsoft.directory/userCredentialPolicies/delete | Excluir as políticas de credencial para usuários |
| microsoft.directory/userCredentialPolicies/owners/read | Ler os proprietários das políticas de credencial para usuários |
| microsoft.directory/userCredentialPolicies/owners/update | Atualizar os proprietários das políticas de credencial para usuários |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Ler o link de navegação policy.appliesTo |
| microsoft.directory/userCredentialPolicies/standard/read | Ler as propriedades padrão das políticas de credencial para usuários |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Atualizar a propriedade policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Ler a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Ler um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Atualizar um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Ler um cartão de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Revogar um cartão de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Criar um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/create | Criar a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/delete | Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis |
Administrador do Azure DevOps
Os usuários com essa função podem gerenciar todas as políticas corporativas do Azure DevOps aplicáveis a todas as organizações do Azure DevOps apoiadas pelo Microsoft Entra ID. Os usuários nessa função podem gerenciar essas políticas navegando até qualquer organização do Azure DevOps que tenha o suporte do Microsoft Entra ID da empresa. Além disso, os usuários nessa função podem reivindicar a propriedade de organizações órfãs do Azure DevOps. Essa função não concede nenhuma outra permissão específica do Azure DevOps (por exemplo, Administradores da coleção de projetos) dentro de qualquer uma das organizações do Azure DevOps com suporte do Microsoft Entra da empresa.
| Ações | Descrição |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Ler e configurar o Azure DevOps |
Administrador da Proteção de Informações do Azure
Usuários com essa função têm todas as permissões no serviço Proteção de Informações do Azure. Essa função pode configurar rótulos para a política da Proteção de Informações do Azure, gerenciar modelos de proteção e ativar a proteção. Essa função não concede permissões no Microsoft Entra ID Protection, no Privileged Identity Management, no monitoramento da Integridade do Serviço do Microsoft 365, no portal do Microsoft 365 Defender ou no portal de conformidade do Microsoft Purview.
| Ações | Descrição |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Gerenciar todos os aspectos da Proteção de Informações do Azure |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de conjunto de chaves do IEF B2C
Essa é uma função com privilégios. O usuário pode criar e gerenciar chaves de política e segredos de criptografia de token, assinaturas de token e criptografia/descriptografia de declaração. Ao adicionar novas chaves a contêineres de chave existentes, esse administrador limitado pode substituir segredos conforme necessário e sem afetar os aplicativos existentes. Esse usuário pode ver o conteúdo completo desses segredos e suas datas de expiração mesmo após sua criação.
Importante
Essa é uma função confidencial. A função de administrador de conjunto de chaves deve ser cuidadosamente auditada e atribuída com cuidado durante a pré-produção e produção.
| Ações | Descrição |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Ler e configurar conjuntos de chaves no Azure Active Directory B2C |
Administrador de política do IEF B2C
Os usuários com essa função têm a capacidade de criar, ler, atualizar e excluir todas as políticas personalizadas no Azure AD B2C e, assim, têm controle total sobre a Identity Experience Framework na organização do Azure AD B2C relevante. Ao editar políticas, esse usuário pode estabelecer federação direta com provedores de identidade externos, alterar o esquema do diretório, alterar todo o conteúdo voltado para o usuário (HTML, CSS, JavaScript), alterar os requisitos para concluir uma autenticação, criar novos usuários, enviar dados do usuário para sistemas externos, incluindo migrações completas, e editar todas as informações do usuário, inclusive campos confidenciais, como senhas e números de telefone. Por outro lado, essa função não pode alterar as chaves de criptografia nem editar os segredos usados para federação na organização.
Importante
O Administrador de política do IEF B2 é uma função altamente confidencial, que deve ser atribuída de modo muito limitado para organizações em produção. As atividades realizadas por esses usuários devem ser rigorosamente auditadas, especialmente para organizações em produção.
| Ações | Descrição |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Ler e configurar políticas personalizadas no Azure Active Directory B2C |
Administrador de cobrança
Faz compras, gerencia assinaturas, gerencia tíquetes de suporte e monitora a integridade do serviço.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Gerenciar todos os aspectos de cobrança do Office 365 |
| microsoft.directory/organization/basic/update | Atualizar as propriedades básicas na organização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Cloud App Security
Os usuários com essa função têm permissões completas no Defender para Aplicativos de Nuvem. Eles podem adicionar administradores, adicionar políticas e configurações do Microsoft Defender para Aplicativos de Nuvem, carregar logs e executar ações de governança.
| Ações | Descrição |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Microsoft Defender para Aplicativos de Nuvem |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de aplicativos de nuvem
Essa é uma função com privilégios. Os usuários nessa função têm as mesmas permissões que a função Administrador de aplicativos, excluindo a capacidade de gerenciar o proxy de aplicativo. Essa função concede a capacidade de criar e gerenciar todos os aspectos de aplicativos empresariais e os registros de aplicativo. Os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativo ou aplicativos empresariais.
Essa função também fornece a capacidade de consentir permissões delegadas e permissões de aplicação, com exceção das permissões de aplicação para o Azure AD Graph e Microsoft Graph.
Importante
Essa exceção significa que você ainda pode consentir com permissões de aplicativos para outros aplicativos (por exemplo, outros aplicativos da Microsoft, aplicativos de terceiros ou aplicativos que você registrou). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas a concessão (ou seja, o consentimento) dessas permissões requer um administrador mais privilegiado, como o Administrador Global.
Essa função concede a capacidade de gerenciar credenciais de aplicativos. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usar essas credenciais para representar a identidade do aplicativo. Se a identidade do aplicativo tiver acesso a um recurso, como a capacidade de criar ou atualizar o usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto estiver representando o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio com relação ao que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de administrador do aplicativo permite que ele represente a identidade de um aplicativo.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gerenciar políticas de solicitação de consentimento do administrador no Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Ler todas as propriedades de solicitações de consentimento de aplicativos registrados com o Microsoft Entra ID |
| microsoft.directory/applicationPolicies/basic/update | Atualizar as propriedades padrão das políticas do aplicativo |
| microsoft.directory/applicationPolicies/create | Criar políticas de aplicativo |
| microsoft.directory/applicationPolicies/delete | Excluir políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/read | Ler os proprietários nas políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/update | Atualizar a propriedade de proprietário das políticas de aplicativo |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Ler as políticas de aplicativo aplicadas à lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Ler as propriedades padrão das políticas de aplicativo |
| microsoft.directory/applications/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicativos |
| microsoft.directory/applications/audience/update | Atualizar a propriedade de público-alvo para aplicativos |
| microsoft.directory/applications/authentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/basic/update | Atualizar as propriedades básicas para aplicativos |
| microsoft.directory/applications/create | Criar todos os tipos de aplicativos |
| microsoft.directory/applications/credentials/update | Atualizar as credenciais do aplicativo |
| microsoft.directory/applications/delete | Excluir todos os tipos de aplicativos |
| microsoft.directory/applications/extensionProperties/update | Atualizar propriedades de extensão em aplicativos |
| microsoft.directory/applications/notes/update | Atualizar notas de aplicativos |
| microsoft.directory/applications/owners/update | Atualizar proprietários de aplicativos |
| microsoft.directory/applications/permissions/update | Atualizar as permissões expostas e as permissões necessárias em todos os tipos de aplicativos |
| microsoft.directory/applications/policies/update | Atualizar políticas de aplicativos |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/applications/tag/update | Atualizar as tags de aplicativos |
| microsoft.directory/applications/verification/update | Atualizar a propriedade applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/deletedItems.applications/delete | Excluir permanentemente aplicativos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.applications/restore | Restaurar aplicativos com exclusão temporária para o estado original |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/audience/update | Atualizar as propriedades de público-alvo nas entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar as propriedades de autenticação nas entidades de serviço |
| microsoft.directory/servicePrincipals/basic/update | Atualizar as propriedades básicas nas entidades de serviço |
| microsoft.directory/servicePrincipals/create | Criar entidades de serviço |
| microsoft.directory/servicePrincipals/credentials/update | Atualizar as credenciais das entidades de serviço |
| microsoft.directory/servicePrincipals/delete | Excluir as entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desabilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gerenciar as credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Ler as credenciais de logon único de senha nas entidades de serviço |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Fornecer consentimento para permissões de aplicativo e permissões delegadas em nome de qualquer usuário ou todos os usuários, exceto para permissões de aplicativo para o Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Atualizar notas das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar as permissões das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Atualizar as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Crie e gerencie trabalhos de sincronização e esquema de provisionamento de aplicativos. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade da tag para entidades de serviço |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de dispositivo de nuvem
Essa é uma função com privilégios. Os usuários nessa função podem habilitar, desabilitar e excluir dispositivos no Microsoft Entra ID e ler chaves do BitLocker no Windows 10 (se presentes) no portal do Azure. A função não concede permissões para gerenciar nenhuma outra propriedade no dispositivo.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/deletedItems.devices/delete | Excluir permanentemente dispositivos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.devices/restore | Restaurar dispositivos com exclusão temporária para o estado original |
| microsoft.directory/deviceLocalCredentials/password/read | Ler todas as propriedades das credenciais da conta de administrador local com backup feito para dispositivos ingressados no Microsoft Entra, incluindo a senha |
| microsoft.directory/deviceManagementPolicies/basic/update | Atualizar propriedades básicas no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceManagementPolicies/standard/read | Ler as propriedades padrão no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Atualizar as propriedades básicas nas políticas de registro de dispositivos |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Ler as propriedades padrão nas políticas de registro de dispositivos |
| microsoft.directory/devices/delete | Excluir dispositivos do Microsoft Entra ID |
| microsoft.directory/devices/disable | Desabilitar dispositivos no Microsoft Entra ID |
| microsoft.directory/devices/enable | Habilitar dispositivos no Microsoft Entra ID |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
Administrador de conformidade
Os usuários com essa função têm permissões para gerenciar recursos relacionados à conformidade no portal de conformidade do Microsoft Purview, no Centro de administração do Microsoft 365, no Azure e no portal do Microsoft 365 Defender. Os destinatários também podem gerenciar todos os recursos no Centro de administração do Exchange e criar tíquetes de suporte para o Azure e o Microsoft 365. Para obter mais informações, confira Funções e grupos de função no Microsoft Defender para Office 365 e conformidade do Microsoft Purview.
| Em | Pode ser feito |
|---|---|
| Portal de conformidade do Microsoft Purview | Proteger e gerenciar dados da sua organização em todos os serviços do Microsoft 365 Gerenciar alertas de conformidade |
| Gerenciador de Conformidade do Microsoft Purview | Acompanhar, atribuir e verificar as atividades de conformidade regulatória da organização |
| Portal do Microsoft 365 Defender | Gerenciar a governança de dados Executar investigação jurídica e de dados Gerenciar solicitações do titular dos dados Essa função tem as mesmas permissões que o grupo de função do Administrador de Conformidade no controle de acesso baseado em função no portal do Microsoft 365 Defender. |
| Intune | Exibir todos os dados de auditoria do Intune |
| Microsoft Defender para Aplicativos de Nuvem | Tem permissões somente leitura e pode gerenciar alertas Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivo Pode exibir todos os relatórios internos em Gerenciamento de Dados |
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/entitlementManagement/allProperties/read | Ler todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.office365.complianceManager/allEntities/allTasks | Gerenciar todos os aspectos do gerenciador de conformidade do Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de dados de conformidade
Os usuários com essa função têm permissões para acompanhar os dados no portal de conformidade do Microsoft Purview, no Centro de administração do Microsoft 365 e no Azure. Os usuários também podem acompanhar os dados de conformidade no Centro de administração do Exchange, no Gerenciador de conformidade e no Centro de administração do Teams e do Skype for Business, além de criar tíquetes de suporte para o Azure e o Microsoft 365. Para obter mais informações sobre as diferenças entre o Administrador de conformidade e o Administrador de dados de conformidade, confira Funções e grupos de função no Microsoft Defender para Office 365 e conformidade do Microsoft Purview.
| Em | Pode ser feito |
|---|---|
| Portal de conformidade do Microsoft Purview | Monitorar políticas relacionadas à conformidade em todos os serviços do Microsoft 365 Gerenciar alertas de conformidade |
| Gerenciador de Conformidade do Microsoft Purview | Acompanhar, atribuir e verificar as atividades de conformidade regulatória da organização |
| Portal do Microsoft 365 Defender | Gerenciar a governança de dados Executar investigação jurídica e de dados Gerenciar solicitações do titular dos dados Essa função tem as mesmas permissões que o grupo de funções do Administrador de dados de conformidade no controle de acesso baseado em função no portal do Microsoft 365 Defender. |
| Intune | Exibir todos os dados de auditoria do Intune |
| Microsoft Defender para Aplicativos de Nuvem | Tem permissões somente leitura e pode gerenciar alertas Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivo Pode exibir todos os relatórios internos em Gerenciamento de Dados |
| Ações | Descrição |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Gerenciar todos os aspectos da Proteção de Informações do Azure |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Microsoft Defender para Aplicativos de Nuvem |
| microsoft.office365.complianceManager/allEntities/allTasks | Gerenciar todos os aspectos do gerenciador de conformidade do Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de acesso condicional
Essa é uma função com privilégios. Usuários com essa função têm a capacidade de gerenciar configurações de acesso condicional do Microsoft Entra.
| Ações | Descrição |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar as propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Excluir as políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/read | Ler os proprietários das políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/update | Atualizar proprietários para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Ler a propriedade "aplicado a" para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Atualizar o locatário padrão das políticas de acesso condicional |
| microsoft.directory/namedLocations/basic/update | Atualizar as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/create | Criar regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/delete | Excluir regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/standard/read | Ler as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de acesso condicional das ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365 |
Aprovador de acesso do sistema de proteção de dados do cliente
Gerencia as solicitações do Sistema de Proteção de Dados do Cliente do Microsoft Purview na sua organização. O aprovador recebe notificações por email do Sistema de Proteção de Dados do Cliente e pode aprovar e negar solicitações do Centro de administração do Microsoft 365. Também pode ligar ou desligar o recurso Sistema de Proteção de Dados do Cliente. Somente os Administradores Globais podem redefinir as senhas das pessoas atribuídas à função acima.
| Ações | Descrição |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Gerenciar todos os aspectos do Sistema de Proteção de Dados do Cliente |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de Análise de Área de Trabalho
Os usuários com essa função podem gerenciar o serviço de Análise de Área de Trabalho. Isso inclui a capacidade de exibir o inventário de ativos, criar planos de implantação, exibir o status de integridade e de implantação.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gerenciar todos os aspectos da Análise de Área de Trabalho |
Leitores de diretório
Os usuários com essa função podem ler informações básicas do diretório. Essa função deve ser usada para:
- Conceder o acesso de leitura a um conjunto específico de usuários convidados em vez de a todos os usuários convidados.
- Conceder acesso a um conjunto específico de usuários não administradores ao Centro de administração do Microsoft Entra quando a opção "Restringir acesso ao Centro de administração do Microsoft Entra" estiver definida como "Sim".
- Conceder acesso às entidades de serviço ao diretório em que Directory.Read.All não seja uma opção.
| Ações | Descrição |
|---|---|
| microsoft.directory/administrativeUnits/members/read | Ler os membros das unidades administrativas |
| microsoft.directory/administrativeUnits/standard/read | Ler as propriedades básicas nas unidades administrativas |
| microsoft.directory/applicationPolicies/standard/read | Ler as propriedades padrão das políticas de aplicativo |
| microsoft.directory/applications/owners/read | Ler os proprietários de aplicativos |
| microsoft.directory/applications/policies/read | Ler as políticas de aplicativos |
| microsoft.directory/applications/standard/read | Ler as propriedades padrão dos aplicativos |
| microsoft.directory/contacts/memberOf/read | Ler a associação de grupo de todos os contatos no Microsoft Entra ID |
| microsoft.directory/contacts/standard/read | Ler propriedades básicas em contatos no Microsoft Entra ID |
| microsoft.directory/contracts/standard/read | Ler as propriedades básicas nos contratos de parceiros |
| microsoft.directory/devices/memberOf/read | Ler as associações de dispositivo |
| microsoft.directory/devices/registeredOwners/read | Ler os proprietários registrados dos dispositivos |
| microsoft.directory/devices/registeredUsers/read | Ler os usuários registrados dos dispositivos |
| microsoft.directory/devices/standard/read | Ler as propriedades básicas nos dispositivos |
| microsoft.directory/directoryRoles/eligibleMembers/read | Ler os membros qualificados das funções do Microsoft Entra |
| microsoft.directory/directoryRoles/members/read | Ler todos os membros das funções do Microsoft Entra |
| microsoft.directory/directoryRoles/standard/read | Ler as propriedades básicas das funções do Microsoft Entra |
| microsoft.directory/domains/standard/read | Ler as propriedades básicas nos domínios |
| microsoft.directory/groups/appRoleAssignments/read | Ler as atribuições de função de aplicativo dos grupos |
| microsoft.directory/groupSettings/standard/read | Ler as propriedades básicas nas configurações de grupo |
| microsoft.directory/groupSettingTemplates/standard/read | Ler as propriedades básicas nos modelos de configuração de grupo |
| microsoft.directory/groups/memberOf/read | Ler a propriedade memberOf nos grupos de Segurança e grupos do Microsoft 365, inclusive os grupos atribuídos a funções |
| microsoft.directory/groups/members/read | Ler os membros dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos atribuídos a funções |
| microsoft.directory/groups/owners/read | Ler os proprietários dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos atribuídos a funções |
| microsoft.directory/groups/settings/read | Ler as configurações de grupos |
| microsoft.directory/groups/standard/read | Ler as propriedades padrão dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos atribuídos a funções |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Ler as propriedades básicas nas concessões de permissão do OAuth 2.0 |
| microsoft.directory/organization/standard/read | Ler as propriedades básicas em uma organização |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Ler as autoridades de certificação confiáveis para autenticação sem senha |
| microsoft.directory/roleAssignments/standard/read | Ler as propriedades básicas nas atribuições de função |
| microsoft.directory/roleDefinitions/standard/read | Ler as propriedades básicas nas definições de função |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Ler as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Ler as atribuições de função atribuídas a entidades de serviço |
| microsoft.directory/servicePrincipals/memberOf/read | Ler as associações de grupo nas entidades de serviço |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Ler as concessões de permissão delegada nas entidades de serviço |
| microsoft.directory/servicePrincipals/ownedObjects/read | Ler os objetos próprios das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/read | Ler os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/read | Ler as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/standard/read | Ler as propriedades das entidades de serviço |
| microsoft.directory/subscribedSkus/standard/read | Ler as propriedades básicas nas assinaturas |
| microsoft.directory/users/appRoleAssignments/read | Ler as atribuições de função de aplicativo dos usuários |
| microsoft.directory/users/deviceForResourceAccount/read | Ler deviceForResourceAccount dos usuários |
| microsoft.directory/users/directReports/read | Ler os funcionários subordinados para usuários |
| microsoft.directory/users/invitedBy/read | Fazer a leitura do usuário que convidou um usuário externo para um locatário |
| microsoft.directory/users/licenseDetails/read | Ler detalhes da licença dos usuários |
| microsoft.directory/users/manager/read | Ler o gerenciador de usuários |
| microsoft.directory/users/memberOf/read | Ler as associações de grupo dos usuários |
| microsoft.directory/users/oAuth2PermissionGrants/read | Ler as concessões de permissão delegadas dos usuários |
| microsoft.directory/users/ownedDevices/read | Ler os dispositivos próprios dos usuários |
| microsoft.directory/users/ownedObjects/read | Ler os objetos próprios dos usuários |
| microsoft.directory/users/photo/read | Ler a foto dos usuários |
| microsoft.directory/users/registeredDevices/read | Ler os dispositivos registrados de usuários |
| microsoft.directory/users/scopedRoleMemberOf/read | Ler a associação do usuário de uma função do Microsoft Entra, com escopo de uma unidade administrativa |
| microsoft.directory/users/sponsors/read | Ler patrocinadores de usuários |
| microsoft.directory/users/standard/read | Ler as propriedades básicas nos usuários |
Contas de sincronização de diretório
Não use. Essa função é automaticamente atribuída ao serviço Microsoft Entra Connect e não se destina nem é compatível para outros usos.
| Ações | Descrição |
|---|---|
| microsoft.directory/onPremisesSynchronization/standard/read | Ler e gerenciar objetos para habilitar a sincronização de diretório local |
Gravadores de diretório
Essa é uma função com privilégios. Os usuários nesta função podem ler e atualizar as informações básicas de usuários, grupos e entidades de serviço.
| Ações | Descrição |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Atualizar propriedades de extensão em aplicativos |
| microsoft.directory/contacts/create | Criar contatos |
| microsoft.directory/groups/assignLicense | Atribuir as licenças de produto a grupos para licenciamento baseado em grupo |
| microsoft.directory/groups/basic/update | Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/classification/update | Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/create | Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groupSettings/basic/update | Atualizar as propriedades básicas nas configurações de grupo |
| microsoft.directory/groupSettings/create | Criar configurações de grupo |
| microsoft.directory/groupSettings/delete | Excluir configurações de grupo |
| microsoft.directory/groups/groupType/update | Atualizar propriedades que poderiam afetar o tipo de grupo dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/onPremWriteBack/update | Atualizar grupos do Microsoft Entra que terão write-back localmente com o Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/reprocessLicenseAssignment | Reprocessar as atribuições de licença para licenciamento baseado em grupo |
| microsoft.directory/groups/settings/update | Atualizar as configurações de grupos |
| microsoft.directory/groups/visibility/update | Atualizar a propriedade de visibilidade dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Atualizar as concessões de permissão do OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/create | Criar as concessões de permissão do OAuth 2.0 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Gerenciar credenciais e segredos de provisionamento dos aplicativos de locatário de nuvem para locatário de nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos de locatário de nuvem para locatário nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Criar e gerenciar esquemas e trabalhos de sincronização de provisionamento de aplicativos de locatário de nuvem para locatário de nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Crie e gerencie trabalhos de sincronização e esquema de provisionamento de aplicativos. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo |
| microsoft.directory/users/assignLicense | Gerenciar licenças do usuário |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/create | Adicionar usuários |
| microsoft.directory/users/disable | Desabilitar os usuários |
| microsoft.directory/users/enable | Habilitar os usuários |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/inviteGuest | Convidar usuários |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/photo/update | Atualizar foto dos usuários |
| microsoft.directory/users/reprocessLicenseAssignment | Reprocessar as atribuições de licença para usuários |
| microsoft.directory/users/sponsors/update | Atualizar patrocinadores de usuários |
| microsoft.directory/users/userPrincipalName/update | Atualizar o nome principal de segurança dos usuários |
Administrador de nome de domínio
Essa é uma função com privilégios. Os usuários com essa função podem gerenciar (ler, adicionar, verificar, atualizar e excluir) os nomes de domínio. Eles também podem ler as informações de diretório sobre usuários, grupos e aplicativos, pois esses objetos possuem dependências de domínio. Para ambientes locais, os usuários com essa função podem configurar nomes de domínio para federação para que os usuários associados sempre sejam autenticados no local. Esses usuários podem entrar em serviços baseados no Microsoft Entra com as senhas locais por meio do logon único. As configurações de federação precisam ser sincronizadas por meio do Microsoft Entra Connect para que os usuários também tenham permissões para gerenciar o Microsoft Entra Connect.
| Ações | Descrição |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Criar e excluir os domínios, além de ler e atualizar todas as propriedades |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Dynamics 365
Os usuários com essa função têm permissões globais no Microsoft Dynamics 365 Online, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, confira Usar funções de administrador de serviço para gerenciar seu locatário.
Observação
Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é denominada Administrador de serviços do Dynamics 365. No portal do Azure, ela é denominada Administrador do Dynamics 365.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.dynamics365/allEntities/allTasks | Gerenciar todos os aspectos do Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Dynamics 365 Business Central
Atribua a função Administrador do Dynamics 365 Business Central aos usuários que precisam realizar as seguintes tarefas:
- Acessar os ambientes do Dynamics 365 Business Central
- Executar todas as tarefas administrativas nos ambientes
- Gerenciar o ciclo de vida dos ambientes do cliente
- Supervisionar as extensões instaladas em ambientes
- Controlar atualizações de ambientes
- Executar exportações de dados de ambientes
- Ler e configurar painéis de integridade do serviço do Azure e do Microsoft 365
Essa função não fornece permissões para outros produtos do Dynamics 365.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/domains/standard/read | Ler as propriedades básicas nos domínios |
| microsoft.directory/organization/standard/read | Ler as propriedades básicas em uma organização |
| microsoft.directory/subscribedSkus/standard/read | Ler as propriedades básicas nas assinaturas |
| microsoft.directory/users/standard/read | Ler as propriedades básicas nos usuários |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Dynamics 365 Business Central |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Edge
Os usuários nessa função podem criar e gerenciar a lista de sites corporativos necessária para o modo do Internet Explorer no Microsoft Edge. Essa função concede permissões para criar, editar e publicar a lista de sites, além de permitir o acesso ao gerenciamento de tíquetes de suporte. Saiba mais
| Ações | Descrição |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Exchange
Os usuários com essa função têm permissões globais no Microsoft Exchange Online, quando o serviço está presente. Eles também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, confira Sobre funções de administrador no Centro de administração do Microsoft 365.
Observação
Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é denominada Administrador de serviços do Exchange. No portal do Azure, ela é denominada Administrador do Exchange. No Centro de administração do Exchange, ela é denominada Administrador Exchange Online.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Criar e gerenciar a política de proteção do Exchange Online no Backup do Microsoft 365 |
| microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Ler e configurar a sessão de restauração para o Exchange Online no Backup do Microsoft 365 |
| microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Gerenciar todos os pontos de restauração associados a caixas de correio selecionadas do Exchange Online no Backup do M365 |
| microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Gerenciar caixas de correio adicionadas à política de proteção do Exchange Online no Backup do Microsoft 365 |
| microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Gerenciar caixas de correio adicionadas para restaurar a sessão do Exchange Online no Backup do Microsoft 365 |
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups.unified/basic/update | Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/create | Criar os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/delete | Excluir os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/owners/update | Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/restore | Restaurar os grupos do Microsoft 365 do contêiner com exclusão temporária, excluindo grupos atribuíveis a funções |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gerenciar todos os aspectos do Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de destinatários do Exchange
Os usuários com essa função têm acesso de leitura aos destinatários e acesso para gravação aos atributos desses destinatários no Exchange Online. Para obter mais informações, confira Destinatários no Exchange Server.
| Ações | Descrição |
|---|---|
| microsoft.office365.exchange/migration/allProperties/allTasks | Gerenciar todas as tarefas relacionadas à migração de destinatários no Exchange Online |
| microsoft.office365.exchange/recipients/allProperties/allTasks | Criar e excluir todos os destinatários e ler e atualizar todas as propriedades dos destinatários no Exchange Online |
Administrador de fluxos de usuários de ID externo
Os usuários com essa função podem criar e gerenciar fluxos de usuários (também denominados políticas "internas") no portal do Azure. Esses usuários podem personalizar conteúdo HTML/CSS/JavaScript, alterar requisitos de MFA, selecionar declarações no token, gerenciar conectores de API e suas credenciais e definir as configurações de sessão para todos os fluxos de usuários na organização do Microsoft Entra. Por outro lado, essa função não inclui a capacidade de examinar os dados do usuário nem fazer alterações nos atributos incluídos no esquema da organização. As alterações feitas nas políticas da Identity Experience Framework (também conhecidas como políticas personalizadas) também estão fora do escopo dessa função.
| Ações | Descrição |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Ler e configurar o fluxo dos usuários no Azure Active Directory B2C |
Administrador de atributos de fluxos de usuários de ID externo
Os usuários com essa função adicionam ou excluem atributos personalizados disponíveis a todos os fluxos de usuários na organização do Microsoft Entra. Assim, eles podem alterar ou adicionar novos elementos ao esquema do usuário final e afetar o comportamento de todos os fluxos de usuários, podendo resultar indiretamente em alterações nos dados que podem ser solicitados aos usuários finais e, por fim, enviados como declarações aos aplicativos. Essa função não pode editar os fluxos dos usuários.
| Ações | Descrição |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Ler e configurar o atributo de usuário no Azure Active Directory B2C |
Administrador do provedor de identidade externa
Essa é uma função com privilégios. Esse administrador gerencia a federação entre as organizações do Microsoft Entra e os provedores de identidade externos. Com essa função, os usuários podem adicionar novos provedores de identidade e definir todas as configurações disponíveis (por exemplo, caminho de autenticação, ID de serviço e contêineres de chave atribuídos). Esse usuário pode permitir que a organização do Microsoft Entra confie em autenticações de provedores de identidade externos. O impacto sobre experiências do usuário final depende do tipo de organização:
- Organizações do Microsoft Entra para funcionários e parceiros: a adição de uma federação (por exemplo, com o Gmail) afetará imediatamente todos os convites enviados que ainda não foram resgatados. Consulte Adicionar o Google como provedor de identidade para usuários convidados B2B.
- Organizações do Azure Active Directory B2C: a adição de uma federação (por exemplo, com o Facebook ou outra organização do Microsoft Entra) não afetará imediatamente os fluxos dos usuários finais enquanto o provedor de identidade não for adicionado como uma opção em um fluxo de usuário (também denominado política interna). Consulte Configurar uma conta Microsoft como provedor de identidade para ver um exemplo. Para alterar os fluxos dos usuários, é preciso ter a função limitada de “Administrador dos fluxos dos usuários do B2C”.
| Ações | Descrição |
|---|---|
| microsoft.directory/domains/federation/update | Atualizar a propriedade de federação de domínios |
| microsoft.directory/identityProviders/allProperties/allTasks | Ler e configurar provedores de identidade no Azure Active Directory B2C |
Administrador do Fabric
Os usuários com essa função têm permissões globais no Microsoft Fabric e no Power BI, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, confira Noções básicas sobre as funções de administrador do Fabric.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gerenciar todos os aspectos do Fabric e do Power BI |
Administrador global
Essa é uma função com privilégios. Usuários com essa função têm acesso a todos os recursos administrativos do Microsoft Entra ID, bem como aos serviços que usam identidades do Microsoft Entra, por exemplo, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview, o Exchange Online, o SharePoint Online e o Skype for Business Online. Os administradores globais podem exibir logs de atividades de diretório. Além disso, Administradores globais podem elevar seu acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Isso permite que os Administradores globais tenham acesso total a todos os recursos do Azure usando o respectivo locatário do Microsoft Entra. A pessoa que se inscreve na organização do Microsoft Entra torna-se um Administrador global. Pode haver mais de um Administrador global na sua empresa. Administradores globais podem redefinir a senha para qualquer usuário e todos os outros administradores. Um Administrador global não pode remover sua própria atribuição de Administrador global. Essa restrição serve para evitar uma situação em que uma organização não tenha Administradores globais.
Observação
Como uma melhor prática, a Microsoft recomenda que você atribua a função de Administrador global a, no máximo, cinco pessoas em sua organização. Para obter mais informações, consulte Melhores práticas das funções do Microsoft Entra.
| Ações | Descrição |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Gerenciar todos os aspectos da Proteção Avançada contra Ameaças do Azure |
| microsoft.azure.informationProtection/allEntities/allTasks | Gerenciar todos os aspectos da Proteção de Informações do Azure |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.backup/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Backup do Microsoft 365 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Gerenciar todos os aspectos de cobrança do Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Ler os serviços de compra no Centro de administração do M365. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Preterido) Criar e excluir revisões de acesso, ler e atualizar todas as propriedades de revisões de acesso e gerenciar revisões de acesso dos grupos no Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Gerenciar revisões de acesso de todos os recursos revisáveis no Microsoft Entra ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gerenciar políticas de solicitação de consentimento do administrador no Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Criar e gerenciar unidades administrativas (incluindo membros) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Ler todas as propriedades de solicitações de consentimento de aplicativos registrados com o Microsoft Entra ID |
| microsoft.directory/applications/allProperties/allTasks | Criar e excluir os aplicativos, além de ler e atualizar todas as propriedades |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/applicationTemplates/instantiate | Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Gerenciar todos os aspectos da política de autorização |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Microsoft Defender para Aplicativos de Nuvem |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Gerenciar todas as propriedades das políticas de acesso condicional |
| microsoft.directory/connectorGroups/allProperties/read | Ler todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/update | Atualizar todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/create | Criar grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/delete | Excluir grupos de conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Ler todas as propriedades de conectores de rede privada |
| microsoft.directory/connectors/create | Criar conectores de rede privada |
| microsoft.directory/contacts/allProperties/allTasks | Criar e excluir os contatos, além de ler e atualizar todas as propriedades |
| microsoft.directory/contracts/allProperties/allTasks | Criar e excluir os contratos de parceiros, além de ler e atualizar todas as propriedades |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade na nuvem permitidos da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Atualizar as configurações básicas da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Ler as propriedades básicas da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Atualizar as restrições de locatário da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Criar política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Excluir a política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Atualizar as configurações básicas da política de sincronização entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Criar uma política de sincronização entre os locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Ler as propriedades básicas da política de sincronização entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Ler as propriedades básicas da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Atualizar modelos de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Restaurar as configurações padrão do modelo de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Ler as propriedades básicas dos modelos de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Atualizar modelos de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Restaurar as configurações padrão do modelo de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Ler as propriedades básicas dos modelos de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de locatários da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Ler as propriedades básicas da política de acesso entre locatários |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Criar e gerenciar extensões de autenticação personalizadas |
| microsoft.directory/deletedItems/delete | Excluir permanentemente objetos que não podem mais ser restaurados |
| microsoft.directory/deletedItems/restore | Restaurar objetos com exclusão temporária para o estado original |
| microsoft.directory/deviceLocalCredentials/password/read | Ler todas as propriedades das credenciais da conta de administrador local com backup feito para dispositivos ingressados no Microsoft Entra, incluindo a senha |
| microsoft.directory/deviceManagementPolicies/basic/update | Atualizar propriedades básicas no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceManagementPolicies/standard/read | Ler as propriedades padrão no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Atualizar as propriedades básicas nas políticas de registro de dispositivos |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Ler as propriedades padrão nas políticas de registro de dispositivos |
| microsoft.directory/devices/allProperties/allTasks | Criar e excluir os dispositivos, além de ler e atualizar todas as propriedades |
| microsoft.directory/directoryRoles/allProperties/allTasks | Criar e excluir as funções do diretório, além de ler e atualizar todas as propriedades |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Criar e excluir modelos de função do Microsoft Entra e ler e atualizar todas as propriedades |
| microsoft.directory/domains/allProperties/allTasks | Criar e excluir os domínios, além de ler e atualizar todas as propriedades |
| microsoft.directory/domains/federationConfiguration/basic/update | Atualizar a configuração básica de federação para domínios |
| microsoft.directory/domains/federationConfiguration/create | Criar a configuração de federação para domínios |
| microsoft.directory/domains/federationConfiguration/delete | Excluir a configuração de federação para domínios |
| microsoft.directory/domains/federationConfiguration/standard/read | Ler as propriedades padrão da configuração de federação para domínios |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.directory/externalUserProfiles/basic/update | Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/externalUserProfiles/delete | Excluir perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/externalUserProfiles/standard/read | Ler propriedades padrão de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/groups/allProperties/allTasks | Criar e excluir os grupos, além de ler e atualizar todas as propriedades |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Atualizar os grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Atribuir uma licença a grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/create | Criar grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/delete | Excluir grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Reprocessar atribuições de licença para grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/restore | Restaurar grupos atribuíveis a funções |
| microsoft.directory/groupSettings/allProperties/allTasks | Criar e excluir as configurações de grupo, além de ler e atualizar todas as propriedades |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Criar e excluir os modelos de configuração de grupo, além de ler e atualizar todas as propriedades |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gerenciar a política de autenticação híbrida no Microsoft Entra ID |
| microsoft.directory/identityProtection/allProperties/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Gerenciar todos os aspectos de tarefas e fluxos de trabalho do ciclo de vida no Microsoft Entra ID |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Criar e excluir loginTenantBranding, além de ler e atualizar todas as propriedades |
| microsoft.directory/multiTenantOrganization/basic/update | Atualizar propriedades básicas de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/create | Criar uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Ingressar em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Ler as propriedades de uma solicitação de ingresso na organização multilocatário |
| microsoft.directory/multiTenantOrganization/standard/read | Ler as propriedades básicas de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/create | Criar um locatário em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/delete | Excluir um locatário participante de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Ler os detalhes da organização de um locatário participante em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Atualizar propriedades básicas de um locatário participante de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Ler as propriedades básicas de um locatário participante em uma organização multilocatário |
| microsoft.directory/namedLocations/basic/update | Atualizar as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/create | Criar regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/delete | Excluir regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/standard/read | Ler as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/onPremisesSynchronization/basic/update | Atualizar as informações básicas de sincronização de diretório local |
| microsoft.directory/onPremisesSynchronization/standard/read | Ler as informações padrão de sincronização de diretório local |
| microsoft.directory/organization/allProperties/allTasks | Ler e atualizar todas as propriedades de uma organização |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gerenciar todos os aspectos de sincronização de hash de senha (PHS) no Microsoft Entra ID |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Criar perfis de usuário externos no diretório estendido para o Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Excluir perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Ler propriedades padrão de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/permissionGrantPolicies/basic/update | Atualizar as propriedades básicas das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/create | Criar as políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/delete | Excluir as políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/standard/read | Ler as propriedades padrão das políticas de concessão de permissão |
| microsoft.directory/policies/allProperties/allTasks | Criar e excluir as políticas, além de ler e atualizar todas as propriedades |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Ler todos os recursos no Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de acesso condicional das ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365 |
| microsoft.directory/roleAssignments/allProperties/allTasks | Criar e excluir as atribuições de função, além de ler e atualizar todas as propriedades de atribuição de função |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Criar e excluir as definições de função, além de ler e atualizar todas as propriedades |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Criar e excluir scopedRoleMemberships, além de ler e atualizar todas as propriedades |
| microsoft.directory/serviceAction/activateService | Pode realizar a ação "ativar serviço" para um serviço |
| microsoft.directory/serviceAction/disableDirectoryFeature | Pode realizar a ação de serviço "desabilitar recurso de diretório" |
| microsoft.directory/serviceAction/enableDirectoryFeature | Pode realizar a ação de serviço "habilitar recurso de diretório" |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Pode realizar a ação de serviço getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Atualizar as propriedades básicas das políticas de criação da entidade de serviço |
| microsoft.directory/servicePrincipalCreationPolicies/create | Criar as políticas de criação da entidade de serviço |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Excluir as políticas de criação da entidade de serviço |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Ler as propriedades padrão das políticas de criação da entidade de serviço |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Criar e excluir as entidades de serviço, além de ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Conceder consentimento para qualquer permissão para qualquer aplicativo |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Gerenciar credenciais e segredos de provisionamento dos aplicativos de locatário de nuvem para locatário de nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos de locatário de nuvem para locatário nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Criar e gerenciar esquemas e trabalhos de sincronização de provisionamento de aplicativos de locatário de nuvem para locatário de nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Crie e gerencie trabalhos de sincronização e esquema de provisionamento de aplicativos. |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Comprar e gerenciar as assinaturas e excluí-las |
| microsoft.directory/tenantManagement/tenants/create | Criar locatários no Microsoft Entra ID |
| microsoft.directory/users/allProperties/allTasks | Criar e excluir os usuários, além de ler e atualizar todas as propriedades |
| microsoft.directory/users/authenticationMethods/basic/update | Atualizar propriedades básicas de métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/create | Atualizar métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/delete | Excluir métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/standard/read | Ler propriedades padrão de métodos de autenticação para usuários |
| microsoft.directory/users/convertExternalToInternalMemberUser | Converter usuário externo em usuário interno |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Ler a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Ler um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Atualizar um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Ler um cartão de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Revogar um cartão de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Criar um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/create | Criar a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/delete | Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis |
| microsoft.dynamics365/allEntities/allTasks | Gerenciar todos os aspectos do Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Gerenciar todos os aspectos do Microsoft Power Automate |
| microsoft.graph.dataConnect/allEntities/allProperties/allTasks | Gerenciar aspectos da Conexão de dados do Microsoft Graph |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Criar, ler, atualizar e excluir os endereços para entrega das declarações de garantia de hardware da Microsoft, incluindo os endereços para entrega criados por terceiros |
| microsoft.hardware.support/shippingStatus/allProperties/read | Ler o status de remessa das reclamações de garantia de hardware da Microsoft em aberto |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Criar e gerenciar todos os aspectos das reclamações de garantia de hardware da Microsoft |
| microsoft.insights/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do aplicativo Insights |
| microsoft.intune/allEntities/allTasks | Gerenciar todos os aspectos do Microsoft Intune |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do acesso à rede do Microsoft Entra |
| microsoft.office365.complianceManager/allEntities/allTasks | Gerenciar todos os aspectos do gerenciador de conformidade do Office 365 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gerenciar todos os aspectos da Análise de Área de Trabalho |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gerenciar todos os aspectos do Exchange Online |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Gerenciar todos os aspectos dos contêineres do SharePoint Embedded |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Ler e atualizar todas as propriedades de compreensão de conteúdo no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Ler os relatórios de análise de compreensão de conteúdo no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Ler e atualizar todas as propriedades de rede de conhecimento no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gerenciar a visibilidade de tópicos da rede de conhecimento no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gerenciar fontes de aprendizado e todas as suas propriedades no aplicativo de aprendizagem. |
| microsoft.office365.lockbox/allEntities/allTasks | Gerenciar todos os aspectos do Sistema de Proteção de Dados do Cliente |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.messageCenter/securityMessages/read | Ler as mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Gerenciar todos os aspectos das migrações do Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Gerenciar todos os aspectos de criação das mensagens organizacionais do Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Gerenciar todos os aspectos dos centros de Conformidade e Segurança |
| microsoft.office365.search/content/manage | Criar e excluir o conteúdo, além de ler e atualizar todas as propriedades na Pesquisa da Microsoft |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Centro de Segurança e Conformidade do Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Ler e atualizar a visibilidade das mensagens sobre novidades |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Gerenciamento de Permissões do Microsoft Entra |
| microsoft.powerApps/allEntities/allTasks | Gerenciar todos os aspectos do Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gerenciar todos os aspectos do Fabric e do Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Gerenciar todos os recursos no Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gerenciar e compartilhar informações e métricas de visitas virtuais de Centros de administração ou do aplicativo Visitas Virtuais |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Microsoft Viva Goals |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Microsoft Viva Pulse |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gerenciar todos os aspectos do Microsoft Defender para Ponto de Extremidade |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Ler e configurar todos os aspectos do serviço do Windows Update |
Leitor global
Essa é uma função com privilégios. Os usuários com essa função podem ler configurações e informações administrativas nos serviços do Microsoft 365, mas não podem realizar ações de gerenciamento. O Leitor global é o equivalente à função de somente leitura do Administrador global. Atribua um Leitor global em vez de um Administrador global para planejamentos, auditorias ou investigações. Use o Leitor global junto com outras funções de administrador limitadas, como Administrador do Exchange, para facilitar o trabalho sem a atribuição da função de Administrador global. O Leitor global funciona com o Centro de administração do Microsoft 365, o Centro de administração do Exchange, o Centro de administração do SharePoint, o Centro de administração do Teams, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview, o portal do Azure e o Centro de administração do Gerenciamento de Dispositivos.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não é possível acessar a área de Serviços de Compra no Centro de administração do Microsoft 365.
Observação
A função Leitor global tem as seguintes limitações:
- Centro de administração do OneDrive - o Centro de administração do OneDrive não é compatível com a função de Leitor global
- Portal do Microsoft 365 Defender - o Leitor global não pode ler logs de auditoria SCC, fazer pesquisa de conteúdo ou ver classificação de segurança.
- Centro de administração do Teams - o Leitor global não pode ler o Ciclo de vida do Teams, Análises e relatórios, Gerenciamento de dispositivo de telefone IP e Catálogo de aplicativos. Para obter mais informações, confira Usar as funções de administrador do Microsoft Teams para gerenciar o Teams.
- O Privileged Access Management não é compatível com a função de Leitor global.
- Proteção de Informações do Azure - o Leitor global só é compatível com os relatórios centrais e quando a organização do Microsoft Entra não está na plataforma de rotulagem unificada.
- SharePoint - o Leitor global tem acesso de leitura aos cmdlets do PowerShell do SharePoint Online e às APIs de Leitura.
- Centro de administração do Power Platform – o Leitor global ainda não é compatível com o Centro de administração do Power Platform.
- O Microsoft Purview não é compatível com a função de Leitor global.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.backup/allEntities/allProperties/read | Ler todos os aspectos do Backup do Microsoft 365 |
| microsoft.cloudPC/allEntities/allProperties/read | Ler todos os aspectos do Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Ler todos os recursos de cobrança do Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Ler os serviços de compra no Centro de administração do M365. |
| microsoft.directory/accessReviews/allProperties/read | (Preterido) Ler todas as propriedades de revisões de acesso |
| microsoft.directory/accessReviews/definitions/allProperties/read | Ler todas as propriedades de revisões de acesso de todos os recursos revisáveis no Microsoft Entra ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Ler todas as propriedades das políticas de solicitação de consentimento do administrador no Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/read | Ler todas as propriedades de unidades administrativas, incluindo membros |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Ler todas as propriedades de solicitações de consentimento de aplicativos registrados com o Microsoft Entra ID |
| microsoft.directory/applications/allProperties/read | Ler todas as propriedades (incluindo propriedades privilegiadas) em todos os tipos de aplicativos |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/cloudAppSecurity/allProperties/read | Ler todas as propriedades do Defender para Aplicativos de Nuvem |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Ler todas as propriedades das políticas de acesso condicional |
| microsoft.directory/connectorGroups/allProperties/read | Ler todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Ler todas as propriedades de conectores de rede privada |
| microsoft.directory/contacts/allProperties/read | Ler todas as propriedades para contatos |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Ler as propriedades básicas da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Ler as propriedades básicas da política de sincronização entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Ler as propriedades básicas da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Ler as propriedades básicas dos modelos de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Ler as propriedades básicas dos modelos de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Ler as propriedades básicas da política de acesso entre locatários |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Ler extensões de autenticação personalizadas |
| microsoft.directory/deviceLocalCredentials/standard/read | Ler todas as propriedades das credenciais da conta de administrador local com backup nos dispositivos ingressados no Microsoft Entra, exceto a senha |
| microsoft.directory/deviceManagementPolicies/standard/read | Ler as propriedades padrão no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Ler as propriedades padrão nas políticas de registro de dispositivos |
| microsoft.directory/devices/allProperties/read | Ler todas as propriedades de dispositivos |
| microsoft.directory/directoryRoles/allProperties/read | Ler todas as propriedades de funções do diretório |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Ler todas as propriedades dos modelos de função do diretório |
| microsoft.directory/domains/allProperties/read | Ler todas as propriedades de domínios |
| microsoft.directory/domains/federationConfiguration/standard/read | Ler as propriedades padrão da configuração de federação para domínios |
| microsoft.directory/entitlementManagement/allProperties/read | Ler todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.directory/externalUserProfiles/standard/read | Ler propriedades padrão de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/groups/allProperties/read | Ler todas as propriedades (incluindo propriedades privilegiadas) em grupos de Segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
| microsoft.directory/groupSettings/allProperties/read | Ler todas as propriedades de configurações de grupos |
| microsoft.directory/groupSettingTemplates/allProperties/read | Ler todas as propriedades de modelos de configuração de grupos |
| microsoft.directory/identityProtection/allProperties/read | Ler todos os recursos no Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Ler todas as propriedades de tarefas e fluxos de trabalho do ciclo de vida no Microsoft Entra ID |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Ler todas as propriedades da página de entrada com a marca da sua organização |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Ler as propriedades de uma solicitação de ingresso na organização multilocatário |
| microsoft.directory/multiTenantOrganization/standard/read | Ler as propriedades básicas de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Ler os detalhes da organização de um locatário participante em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Ler as propriedades básicas de um locatário participante em uma organização multilocatário |
| microsoft.directory/namedLocations/standard/read | Ler as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Ler as propriedades nas concessões de permissão do OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Ler todas as propriedades de uma organização |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Ler propriedades padrão de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Ler as propriedades padrão das políticas de concessão de permissão |
| microsoft.directory/policies/allProperties/read | Ler todas as propriedades de políticas |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Ler todos os recursos no Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/roleAssignments/allProperties/read | Ler todas as propriedades de atribuições de função |
| microsoft.directory/roleDefinitions/allProperties/read | Ler todas as propriedades de definições de função |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Ver membros em unidades administrativas |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Pode realizar a ação de serviço getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Ler as propriedades padrão das políticas de criação da entidade de serviço |
| microsoft.directory/servicePrincipals/allProperties/read | Ler todas as propriedades (inclusive as propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.directory/subscribedSkus/allProperties/read | Ler todas as propriedades de assinaturas de produto |
| microsoft.directory/users/allProperties/read | Ler todas as propriedades de usuários |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Ler propriedades padrão de métodos de autenticação que não incluem informações de identificação do usuário para usuários |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Ler a configuração necessária para criar e gerenciar credenciais verificáveis |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Ler um contrato de credencial verificável |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Ler um cartão de credencial verificável |
| microsoft.edge/allEntities/allProperties/read | Ler todos os aspectos do Microsoft Edge |
| microsoft.graph.dataConnect/allEntities/allProperties/read | Ler aspectos da Conexão de dados do Microsoft Graph |
| microsoft.hardware.support/shippingAddress/allProperties/read | Ler os endereços para entrega das declarações de garantia de hardware da Microsoft, incluindo os endereços para entrega existentes criados por outras pessoas |
| microsoft.hardware.support/shippingStatus/allProperties/read | Ler o status de remessa das reclamações de garantia de hardware da Microsoft em aberto |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Ler as reclamações de garantia de hardware da Microsoft |
| microsoft.insights/allEntities/allProperties/read | Ler todos os aspectos do Viva Insights |
| microsoft.networkAccess/allEntities/allProperties/read | Ler todos os aspectos do acesso à rede do Microsoft Entra |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/read | Ler entidades e permissões de contêineres do SharePoint Embedded |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.messageCenter/securityMessages/read | Ler as mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Ler todos os aspectos das mensagens organizacionais do Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Ler todas as propriedades nos centros de Conformidade e Segurança |
| microsoft.office365.securityComplianceCenter/allEntities/read | Ler as propriedades padrão no Centro de Conformidade e Segurança do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Ler todos os aspectos do Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Ler todos os aspectos do Gerenciamento de Permissões do Microsoft Entra |
| microsoft.teams/allEntities/allProperties/read | Ler todas as propriedades do Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Ler todos os aspectos de Visitas Virtuais |
| microsoft.viva.goals/allEntities/allProperties/read | Ler todos os aspectos do Microsoft Viva Goals |
| microsoft.viva.pulse/allEntities/allProperties/read | Ler todos os aspectos do Microsoft Viva Pulse |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Ler todos os aspectos do serviço Windows Update |
Administrador de Acesso Global Seguro
Atribua a função Administrador de Acesso Global Seguro a usuários que precisem realizar as seguintes tarefas:
- Criar e gerenciar todos os aspectos de Acesso à Internet do Microsoft Entra e de Acesso Privado do Microsoft Entra
- Gerenciar o acesso a pontos de extremidade públicos e privados
Os usuários com essa função não podem executar as seguintes tarefas:
- Não é possível gerenciar aplicativos empresariais, registros de aplicativos, acesso condicional ou configurações de proxy de aplicativo
| Ações | Descrição |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/applicationPolicies/standard/read | Ler as propriedades padrão das políticas de aplicativo |
| microsoft.directory/applications/applicationProxy/read | Ler todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/owners/read | Ler os proprietários de aplicativos |
| microsoft.directory/applications/policies/read | Ler as políticas de aplicativos |
| microsoft.directory/applications/standard/read | Ler as propriedades padrão dos aplicativos |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/conditionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.directory/connectorGroups/allProperties/read | Ler todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Ler todas as propriedades de conectores de rede privada |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Ler as propriedades básicas da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Ler as propriedades básicas da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Ler as propriedades básicas da política de acesso entre locatários |
| microsoft.directory/namedLocations/standard/read | Ler as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do acesso à rede do Microsoft Entra |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de grupos
Os usuários com essa função podem criar/gerenciar grupos e suas configurações, como políticas de nomenclatura e de expiração. É importante entender que, ao atribuir um usuário a essa função, ele terá a capacidade de gerenciar todos os grupos da organização em várias cargas de trabalho, como Teams, SharePoint e Yammer, além do Outlook. Além disso, o usuário poderá gerenciar as configurações de vários grupos em vários portais de administração, como o Centro de administração da Microsoft, o portal do Azure, bem como os específicos de cargas de trabalho, como o Teams e Centros de administração do SharePoint.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/deletedItems.groups/delete | Excluir permanentemente grupos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.groups/restore | Restaurar grupos com exclusão temporária para o estado original |
| microsoft.directory/groups/assignLicense | Atribuir as licenças de produto a grupos para licenciamento baseado em grupo |
| microsoft.directory/groups/basic/update | Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/classification/update | Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/create | Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/delete | Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/groupType/update | Atualizar propriedades que poderiam afetar o tipo de grupo dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/onPremWriteBack/update | Atualizar grupos do Microsoft Entra que terão write-back localmente com o Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/reprocessLicenseAssignment | Reprocessar as atribuições de licença para licenciamento baseado em grupo |
| microsoft.directory/groups/restore | Restaurar grupos do contêiner com exclusão temporária |
| microsoft.directory/groups/settings/update | Atualizar as configurações de grupos |
| microsoft.directory/groups/visibility/update | Atualizar a propriedade de visibilidade dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Emissor de convites independente
Os usuários com essa função podem gerenciar convites de usuários do Microsoft Entra B2B quando a configuração de usuário Os membros podem convidar está definida como Não. Mais informações sobre a Colaboração B2B em Sobre a Colaboração B2B do Microsoft Entra. Não inclui nenhuma outra permissão.
| Ações | Descrição |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | Ler as atribuições de função de aplicativo dos usuários |
| microsoft.directory/users/deviceForResourceAccount/read | Ler deviceForResourceAccount dos usuários |
| microsoft.directory/users/directReports/read | Ler os funcionários subordinados para usuários |
| microsoft.directory/users/invitedBy/read | Fazer a leitura do usuário que convidou um usuário externo para um locatário |
| microsoft.directory/users/inviteGuest | Convidar usuários |
| microsoft.directory/users/licenseDetails/read | Ler detalhes da licença dos usuários |
| microsoft.directory/users/manager/read | Ler o gerenciador de usuários |
| microsoft.directory/users/memberOf/read | Ler as associações de grupo dos usuários |
| microsoft.directory/users/oAuth2PermissionGrants/read | Ler as concessões de permissão delegadas dos usuários |
| microsoft.directory/users/ownedDevices/read | Ler os dispositivos próprios dos usuários |
| microsoft.directory/users/ownedObjects/read | Ler os objetos próprios dos usuários |
| microsoft.directory/users/photo/read | Ler a foto dos usuários |
| microsoft.directory/users/registeredDevices/read | Ler os dispositivos registrados de usuários |
| microsoft.directory/users/scopedRoleMemberOf/read | Ler a associação do usuário de uma função do Microsoft Entra, com escopo de uma unidade administrativa |
| microsoft.directory/users/sponsors/read | Ler patrocinadores de usuários |
| microsoft.directory/users/standard/read | Ler as propriedades básicas nos usuários |
Administrador da assistência técnica
Essa é uma função com privilégios. Os usuários com essa função podem alterar senhas, invalidar tokens de atualização, criar e gerenciar solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365 e monitorar a integridade do serviço. Invalidar um token de atualização força o usuário a entrar novamente. A possibilidade de um Administrador da assistência técnica poder redefinir a senha de um usuário e invalidar tokens de atualização depende da função atribuída ao usuário. Para obter uma lista das funções para as quais um Administrador da assistência técnica pode redefinir senhas e invalidar tokens de atualização, confira Quem pode redefinir senhas.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não podem alterar as credenciais nem redefinir a MFA para membros e proprietários de um grupo que permite a atribuição de função.
Importante
Os usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou privadas ou configurações críticas dentro e fora do Microsoft Entra ID. A alteração da senha de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:
- Proprietários de registro de aplicativo e aplicativos empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões com privilégios no Microsoft Entra ID e em outros lugares não autorizados para Administradores da assistência técnica. Por esse caminho, um Administrador da assistência técnica pode ser capaz de assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou a configurações críticas no Azure.
- Proprietários de grupos de segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupos. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou à configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, por exemplo, o Exchange Online, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview e os sistemas de recursos humanos.
- Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.
É possível delegar permissões administrativas para subconjuntos de usuários e aplicar políticas a um subconjunto de usuários usando Unidades Administrativas.
Anteriormente, essa função era denominada Administrador de senhas no portal do Azure. Ela foi renomeada para Administrador da assistência técnica para alinhar-se ao nome existente na API do Microsoft Graph e no PowerShell do Azure AD.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/deviceLocalCredentials/standard/read | Ler todas as propriedades das credenciais da conta de administrador local com backup nos dispositivos ingressados no Microsoft Entra, exceto a senha |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de identidade híbrida
Essa é uma função com privilégios. Os usuários nessa função podem criar, gerenciar e implantar a definição de configuração de provisionamento do Active Directory para o Microsoft Entra ID por meio do Provisionamento em Nuvem. Eles também podem gerenciar o Microsoft Entra Connect, a autenticação de passagem (PTA), a sincronização de hash de senha (PHS), o logon único contínuo (SSO contínuo) e as configurações de federação. Não tem acesso para gerenciar o Microsoft Entra Connect Health. Os usuários também podem solucionar problemas e monitorar logs usando essa função.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/applications/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicativos |
| microsoft.directory/applications/audience/update | Atualizar a propriedade de público-alvo para aplicativos |
| microsoft.directory/applications/authentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/basic/update | Atualizar as propriedades básicas para aplicativos |
| microsoft.directory/applications/create | Criar todos os tipos de aplicativos |
| microsoft.directory/applications/delete | Excluir todos os tipos de aplicativos |
| microsoft.directory/applications/notes/update | Atualizar notas de aplicativos |
| microsoft.directory/applications/owners/update | Atualizar proprietários de aplicativos |
| microsoft.directory/applications/permissions/update | Atualizar as permissões expostas e as permissões necessárias em todos os tipos de aplicativos |
| microsoft.directory/applications/policies/update | Atualizar políticas de aplicativos |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/applications/tag/update | Atualizar as tags de aplicativos |
| microsoft.directory/applicationTemplates/instantiate | Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Ler e configurar todas as propriedades do serviço de provisionamento de nuvem do Microsoft Entra. |
| microsoft.directory/deletedItems.applications/delete | Excluir permanentemente aplicativos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.applications/restore | Restaurar aplicativos com exclusão temporária para o estado original |
| microsoft.directory/domains/allProperties/read | Ler todas as propriedades de domínios |
| microsoft.directory/domains/federationConfiguration/basic/update | Atualizar a configuração básica de federação para domínios |
| microsoft.directory/domains/federationConfiguration/create | Criar a configuração de federação para domínios |
| microsoft.directory/domains/federationConfiguration/delete | Excluir a configuração de federação para domínios |
| microsoft.directory/domains/federationConfiguration/standard/read | Ler as propriedades padrão da configuração de federação para domínios |
| microsoft.directory/domains/federation/update | Atualizar a propriedade de federação de domínios |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gerenciar a política de autenticação híbrida no Microsoft Entra ID |
| microsoft.directory/onPremisesSynchronization/basic/update | Atualizar as informações básicas de sincronização de diretório local |
| microsoft.directory/onPremisesSynchronization/standard/read | Ler as informações padrão de sincronização de diretório local |
| microsoft.directory/organization/dirSync/update | Atualizar a propriedade de sincronização do diretório da organização |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gerenciar todos os aspectos de sincronização de hash de senha (PHS) no Microsoft Entra ID |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/audience/update | Atualizar as propriedades de público-alvo nas entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar as propriedades de autenticação nas entidades de serviço |
| microsoft.directory/servicePrincipals/basic/update | Atualizar as propriedades básicas nas entidades de serviço |
| microsoft.directory/servicePrincipals/create | Criar entidades de serviço |
| microsoft.directory/servicePrincipals/delete | Excluir as entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desabilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/notes/update | Atualizar notas das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar as permissões das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Atualizar as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Gerenciar credenciais e segredos de provisionamento dos aplicativos de locatário de nuvem para locatário de nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos de locatário de nuvem para locatário nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Criar e gerenciar esquemas e trabalhos de sincronização de provisionamento de aplicativos de locatário de nuvem para locatário de nuvem. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Crie e gerencie trabalhos de sincronização e esquema de provisionamento de aplicativos. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade da tag para entidades de serviço |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.directory/users/authorizationInfo/update | Atualizar a propriedade de IDs de usuário do Certificado de vários valores dos usuários |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de governança de identidade
Os usuários com essa função podem gerenciar a configuração do Microsoft Entra ID Governance, incluindo pacotes de acesso, revisões de acesso, catálogos e políticas, garantindo que o acesso seja aprovado e examinado e que usuários convidados que não precisem mais de acesso sejam removidos.
| Ações | Descrição |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Preterido) Criar e excluir revisões de acesso, ler e atualizar todas as propriedades de revisões de acesso e gerenciar revisões de acesso dos grupos no Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gerenciar revisões de acesso das atribuições de função de aplicativo no Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gerenciar as revisões de acesso para atribuições de pacote de acesso no gerenciamento de direitos |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Ler todas as propriedades de revisões de acesso para associação em grupos de Segurança e do Microsoft 365, incluindo grupos atribuíveis a funções. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Atualizar todas as propriedades de revisões de acesso para associação em grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções. |
| microsoft.directory/accessReviews/definitions.groups/create | Criar revisões de acesso para associação em grupos de Segurança e do Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Excluir revisões de acesso para associação em grupos de Segurança e do Microsoft 365. |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
Administrador do Insights
Os usuários nessa função podem acessar o conjunto completo de funcionalidades administrativas no aplicativo de Microsoft Viva Insights. Essa função tem a capacidade de ler informações de diretório, monitorar a integridade do serviço, registrar tíquetes de suporte e acessar os aspectos das configurações de Administrador do Insights.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.insights/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do aplicativo Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Analista do Insights
Atribua a função de Analista do Insights aos usuários que precisam fazer o seguinte:
- Analisar dados no aplicativo de Microsoft Viva Insights, mas não pode gerenciar nenhuma configuração
- Criar, gerenciar e executar consultas
- Exibir configurações e relatórios básicos no Centro de administração do Microsoft 365
- Criar e gerenciar solicitações de serviço no Centro de administração do Microsoft 365
| Ações | Descrição |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Executar e gerenciar consultas no Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Líder de negócios do Insights
Os usuários nessa função podem acessar um conjunto de painéis e insights por meio do aplicativo de Microsoft Viva Insights. Isso inclui acesso completo a todos os painéis e insights apresentados, além da funcionalidade de exploração de dados. Os usuários com essa função não têm acesso às definições de configuração do produto, que são de responsabilidade da função Administrador do Insights.
| Ações | Descrição |
|---|---|
| microsoft.insights/programs/allProperties/update | Implantar e gerenciar programas no aplicativo Insights |
| microsoft.insights/reports/allProperties/read | Exibir os relatórios e o painel no aplicativo Insights |
Administrador do Intune
Essa é uma função com privilégios. Usuários com essa função têm permissões globais no Microsoft Intune Online, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar a política, bem como criar e gerenciar grupos. Para obter mais informações, confira Controle de administração baseada em funções (RBAC) com o Microsoft Intune.
Essa função pode criar e gerenciar todos os grupos de segurança. Porém, o Administrador do Intune não tem direitos de administrador nos grupos do Office. Isso significa que ele não pode atualizar os proprietários ou as associações de todos os grupos do Office na organização. Porém, ele pode gerenciar o grupo do Office que ele mesmo criar, o que vem como parte de seus privilégios de usuário final. Dessa forma, qualquer grupo do Office (não grupos de segurança) que ele cria deve ser incluído em sua cota de 250.
Observação
Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é denominada Administrador de serviços do Intune. No portal do Azure, ela é denominada Administrador do Intune.
| Ações | Descrição |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Windows 365 |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/contacts/basic/update | Atualizar as propriedades básicas nos contatos |
| microsoft.directory/contacts/create | Criar contatos |
| microsoft.directory/contacts/delete | Excluir contatos |
| microsoft.directory/deletedItems.devices/delete | Excluir permanentemente dispositivos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.devices/restore | Restaurar dispositivos com exclusão temporária para o estado original |
| microsoft.directory/deviceLocalCredentials/password/read | Ler todas as propriedades das credenciais da conta de administrador local com backup feito para dispositivos ingressados no Microsoft Entra, incluindo a senha |
| microsoft.directory/deviceManagementPolicies/standard/read | Ler as propriedades padrão no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Ler as propriedades padrão nas políticas de registro de dispositivos |
| microsoft.directory/devices/basic/update | Atualizar as propriedades básicas nos dispositivos |
| microsoft.directory/devices/create | Criar dispositivos (inscrever-se no Microsoft Entra ID) |
| microsoft.directory/devices/delete | Excluir dispositivos do Microsoft Entra ID |
| microsoft.directory/devices/disable | Desabilitar dispositivos no Microsoft Entra ID |
| microsoft.directory/devices/enable | Habilitar dispositivos no Microsoft Entra ID |
| microsoft.directory/devices/extensionAttributeSet1/update | Atualizar as propriedades de extensionAttribute1 a extensionAttribute5 nos dispositivos |
| microsoft.directory/devices/extensionAttributeSet2/update | Atualizar as propriedades de extensionAttribute6 a extensionAttribute10 nos dispositivos |
| microsoft.directory/devices/extensionAttributeSet3/update | Atualizar as propriedades de extensionAttribute11 a extensionAttribute15 nos dispositivos |
| microsoft.directory/devices/registeredOwners/update | Atualizar os proprietários registrados dos dispositivos |
| microsoft.directory/devices/registeredUsers/update | Atualizar os usuários registrados dos dispositivos |
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups.security/basic/update | Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/classification/update | Atualizar a propriedade de classificação de grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/create | Criar grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/delete | Excluir os grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica nos grupos de Segurança, exceto grupos atribuíveis a funções |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/owners/update | Atualizar os proprietários dos grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/visibility/update | Atualizar a propriedade de visibilidade de grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/photo/update | Atualizar foto dos usuários |
| microsoft.intune/allEntities/allTasks | Gerenciar todos os aspectos do Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Ler todos os aspectos das mensagens organizacionais do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Kaizala
Usuários com essa função têm permissões globais para gerenciar configurações no Microsoft Kaizala, quando o serviço estiver presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Além disso, o usuário pode acessar relatórios relacionados à adoção e ao uso do Kaizala por membros da organização e relatórios comerciais gerados usando as ações do Kaizala.
| Ações | Descrição |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de conhecimento
Os usuários nesta função têm acesso completo a todas as configurações de recursos inteligentes, de conhecimento e de aprendizado no Centro de administração do Microsoft 365. Eles têm uma compreensão geral do pacote de produtos e dos detalhes de licenciamento, além de ter a responsabilidade de controlar o acesso. O Administrador de conhecimento pode criar e gerenciar conteúdo, como tópicos, acrônimos e recursos de aprendizado. Além disso, esses usuários podem criar centros de conteúdo, monitorar a integridade do serviço e criar solicitações de serviço.
| Ações | Descrição |
|---|---|
| microsoft.directory/groups.security/basic/update | Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/create | Criar grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/createAsOwner | Criar os grupos de Segurança, exceto os grupos atribuíveis a funções. O criador é adicionado como o primeiro proprietário. |
| microsoft.directory/groups.security/delete | Excluir os grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/owners/update | Atualizar os proprietários dos grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Ler e atualizar todas as propriedades de compreensão de conteúdo no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Ler e atualizar todas as propriedades de rede de conhecimento no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gerenciar fontes de aprendizado e todas as suas propriedades no aplicativo de aprendizagem. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Ler todas as propriedades de rótulos de confidencialidade nos centros de Conformidade e Segurança |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Gerente de conhecimento
Os usuários nessa função podem criar e gerenciar conteúdo, como tópicos, acrônimos e conteúdo de aprendizado. Esses usuários são responsáveis principalmente pela qualidade e estrutura do conhecimento. Esse usuário tem direitos completos sobre ações de gerenciamento de tópicos para confirmar um tópico, aprovar edições ou excluir um tópico. Essa função também pode gerenciar taxonomias como parte da ferramenta de gerenciamento de armazenamento de termos e criar centros de conteúdo.
| Ações | Descrição |
|---|---|
| microsoft.directory/groups.security/basic/update | Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/create | Criar grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/createAsOwner | Criar os grupos de Segurança, exceto os grupos atribuíveis a funções. O criador é adicionado como o primeiro proprietário. |
| microsoft.directory/groups.security/delete | Excluir os grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/owners/update | Atualizar os proprietários dos grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Ler os relatórios de análise de compreensão de conteúdo no Centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gerenciar a visibilidade de tópicos da rede de conhecimento no Centro de administração do Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de licenças
Usuários nessa função podem ler, adicionar, remover e atualizar as atribuições de licenças em usuários, grupos (usando o licenciamento baseado em grupo) e gerenciar a localização de uso dos usuários. A função não concede a capacidade de comprar ou gerenciar assinaturas, criar ou gerenciar grupos, ou criar ou gerenciar usuários além do local de uso. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/groups/assignLicense | Atribuir as licenças de produto a grupos para licenciamento baseado em grupo |
| microsoft.directory/groups/reprocessLicenseAssignment | Reprocessar as atribuições de licença para licenciamento baseado em grupo |
| microsoft.directory/users/assignLicense | Gerenciar licenças do usuário |
| microsoft.directory/users/reprocessLicenseAssignment | Reprocessar as atribuições de licença para usuários |
| microsoft.directory/users/usageLocation/update | Atualizar o local de uso dos usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de fluxos de trabalho do ciclo de vida
Essa é uma função com privilégios. Atribua a função de administrador de fluxos de trabalho do ciclo de vida a usuários que precisam realizar as seguintes tarefas:
- Criar e gerenciar todos os aspectos de fluxos de trabalho e tarefas associados aos fluxos de trabalho do ciclo de vida no Microsoft Entra ID
- Verificar a execução de fluxos de trabalho agendados
- Iniciar execuções de fluxo de trabalho sob demanda
- Inspecionar logs de execução de fluxo de trabalho
| Ações | Descrição |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Gerenciar todos os aspectos de tarefas e fluxos de trabalho do ciclo de vida no Microsoft Entra ID |
| microsoft.directory/organization/strongAuthentication/read | Ler as propriedades de autenticação forte de uma organização |
| microsoft.directory/users/lifeCycleInfo/read | Ler as informações do ciclo de vida dos usuários, como employeeLeaveDateTime |
Leitor de privacidade do Centro de Mensagens
Os usuários com essa função podem monitorar todas as notificações no Centro de Mensagens, incluindo mensagens de privacidade de dados. Os Leitores de privacidade do Centro de Mensagens recebem notificações por email, incluindo as relacionadas à privacidade dos dados, e podem cancelar a assinatura usando as preferências do Centro de Mensagens. Somente o Administrador global e o Leitor de privacidade do Centro de Mensagens podem ler mensagens de privacidade de dados. Além disso, essa função tem a capacidade de exibir grupos, domínios e assinaturas. Essa função não tem permissão para exibir, criar ou gerenciar solicitações de serviço.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.messageCenter/securityMessages/read | Ler as mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Leitor do Centro de Mensagens
Usuários nessa função podem monitorar notificações e atualizações de integridade de consultoria no Centro de Mensagens da organização nos serviços configurados, como o Exchange, Intune e Microsoft Teams. Os Leitores do Centro de Mensagens recebem por email resumos semanais de postagens, atualizações e podem compartilhar postagens do Centro de Mensagens no Microsoft 365. No Microsoft Entra ID, os usuários atribuídos a essa função terão acesso somente leitura aos serviços do Microsoft Entra, como usuários e grupos. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de migração do Microsoft 365
Atribua a função Administrador de migração do Microsoft 365 a usuários que precisem realizar as seguintes tarefas:
- Use o Gerenciador de Migração no Centro de administração do Microsoft 365 para gerenciar a migração de conteúdo para o Microsoft 365, incluindo sites do Teams, OneDrive for Business e SharePoint, do Google Drive, Dropbox, Box e Egnyte
- Selecione fontes de migração, crie inventários de migração (como listas de usuários do Google Drive), agende e execute migrações e faça download de relatórios
- Criar novos sites do SharePoint se os sites de destino ainda não existirem, criar listas do SharePoint nos sites de administração do SharePoint e criar e atualizar itens nas listas do SharePoint
- Gerenciar as configurações do projeto de migração e o ciclo de vida de migração para tarefas
- Gerenciar mapeamentos de permissão da origem para o destino
Observação
Essa função não permite que você migre de fontes de compartilhamento de arquivos usando o Centro de administração do SharePoint. Você pode usar a função Administrador do SharePoint para migrar de fontes de compartilhamento de arquivos.
| Ações | Descrição |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Gerenciar todos os aspectos das migrações do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador local do dispositivo ingressado no Microsoft Entra
Essa função está disponível para atribuição apenas como um administrador local adicional em Configurações do dispositivo. Usuários com essa função tornam-se administradores do computador local em todos os dispositivos Windows 10 associados ao Microsoft Entra ID. Eles não podem gerenciar objetos de dispositivo no Microsoft Entra ID.
| Ações | Descrição |
|---|---|
| microsoft.directory/groupSettings/standard/read | Ler as propriedades básicas nas configurações de grupo |
| microsoft.directory/groupSettingTemplates/standard/read | Ler as propriedades básicas nos modelos de configuração de grupo |
Administrador de garantia de hardware da Microsoft
Atribua a função de Administrador de garantia de hardware da Microsoft a usuários que precisem realizar as seguintes tarefas:
- Criar novas reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e HoloLens
- Pesquisar e ler reclamações de garantia abertas ou fechadas
- Pesquisar e ler reclamações de garantia por número de série
- Criar, ler, atualizar e excluir endereços para entrega
- Ler o status da entrega para reclamações de garantia em aberto
- Criar e gerenciar solicitações de serviço no Centro de administração do Microsoft 365
- Ler os anúncios do Centro de Mensagens no Centro de administração do Microsoft 365
Uma reclamação de garantia é uma solicitação para que o hardware seja reparado ou substituído de acordo com os termos da garantia. Para obter mais informações, confira Autoatendimento de suas solicitações de serviço de garantia do Surface.
| Ações | Descrição |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Criar, ler, atualizar e excluir os endereços para entrega das declarações de garantia de hardware da Microsoft, incluindo os endereços para entrega criados por terceiros |
| microsoft.hardware.support/shippingStatus/allProperties/read | Ler o status de remessa das reclamações de garantia de hardware da Microsoft em aberto |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Criar e gerenciar todos os aspectos das reclamações de garantia de hardware da Microsoft |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Especialista em garantia de hardware da Microsoft
Atribua a função de Especialista de garantia de hardware da Microsoft a usuários que precisem realizar as seguintes tarefas:
- Criar novas reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e HoloLens
- Ler reclamações de garantia que eles criaram
- Ler e atualizar endereços para entrega existentes
- Ler o status de entrega para reclamações de garantia abertas que eles criaram
- Criar e gerenciar solicitações de serviço no Centro de administração do Microsoft 365
Uma reclamação de garantia é uma solicitação para que o hardware seja reparado ou substituído de acordo com os termos da garantia. Para obter mais informações, confira Autoatendimento de suas solicitações de serviço de garantia do Surface.
| Ações | Descrição |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Ler os endereços para entrega das declarações de garantia de hardware da Microsoft, incluindo os endereços para entrega existentes criados por outras pessoas |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Criar reclamações de garantia de hardware da Microsoft em que o criador é o proprietário |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Ler o status de remessa das reclamações de garantia de hardware da Microsoft em aberto |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Ler as reclamações de garantia de hardware da Microsoft |
Administrador de comércio moderno
Não use. Essa função é automaticamente atribuída do Comércio e não se destina nem é compatível para outros usos. Veja os detalhes abaixo.
A função Administrador de comércio moderno dá permissão a determinados usuários para acessar o Centro de administração do Microsoft 365 e ver as entradas de navegação à esquerda em Página Inicial, Cobrança e Suporte. O conteúdo disponível nessas áreas é controlado por funções específicas de comércio atribuídas aos usuários para gerenciar os produtos que eles compraram para eles mesmos ou para a organização. Isso pode incluir tarefas como pagar faturas ou acessar contas de cobrança e perfis de cobrança.
Os usuários com a função Administrador de comércio moderno normalmente têm permissões administrativas em outros sistemas de compra da Microsoft, mas não têm funções de Administrador global nem de Administrador de cobrança usadas para acessar o Centro de Administração.
Quando a função Administrador de comércio moderno é atribuída?
- Compra por autoatendimento no Centro de administração do Microsoft 365 - a compra por autoatendimento dá aos usuários a oportunidade de experimentar novos produtos comprando-os ou inscrevendo-se neles por conta própria. Esses produtos são gerenciados no Centro de Administração. Os usuários que fazem uma compra por autoatendimento recebem uma função no sistema de comércio e a função de Administrador de comércio moderno, assim, eles podem gerenciar suas compras no Centro de Administração. Os administradores podem bloquear as compras de autoatendimento (para Fabric, Power BI, Power Apps, Power Automate) por meio do PowerShell. Para obter mais informações, consulte Perguntas frequentes de compra por autoatendimento.
- Compras no marketplace comercial da Microsoft - de modo semelhante à compra por autoatendimento, quando um usuário compra um produto ou serviço do Microsoft AppSource ou do Azure Marketplace, a função Administrador de comércio moderno será atribuída caso não haja a função de Administrador global ou de Administrador de cobrança. Em alguns casos, os usuários podem ser impedidos de fazer essas compras. Para obter mais informações, consulte Marketplace comercial da Microsoft.
- Propostas da Microsoft - uma proposta é uma oferta formal enviada pela Microsoft para a sua organização comprar produtos e serviços da Microsoft. Quando a pessoa que estiver aceitando a proposta não tiver a função de Administrador global ou de Administrador de cobrança no Microsoft Entra ID, ela receberá uma função específica de comércio para concluir a proposta e a função de Administrador de comércio moderno para acessar o Centro de Administração. Ao acessar o Centro de Administração, essa pessoa só poderá usar recursos que sejam autorizados por sua função específica de comércio.
- Funções específicas de comércio - alguns usuários recebem esse tipo de função. Caso um usuário não seja um Administrador global nem um Administrador de cobrança, ele obterá a função de Administrador de comércio moderno para poder acessar o Centro de Administração.
Caso a atribuição da função de Administrador de comércio moderno de um usuário seja cancelada, ele perderá o acesso ao Centro de administração do Microsoft 365. Caso esteja gerenciando produtos, para si próprio ou para a organização, ele não poderá mais fazê-lo. Isso pode incluir a atribuição de licenças, a alteração de formas de pagamento, o pagamento de contas ou mesmo outras tarefas de gerenciamento de assinaturas.
| Ações | Descrição |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Gerenciar todos os aspectos do Centro de serviços de licenciamento por volume |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de rede
Os usuários com essa função podem revisar as recomendações de arquitetura do perímetro de rede da Microsoft que sejam baseadas na telemetria de rede de seus locais de usuário. O desempenho da rede do Microsoft 365 conta com uma cuidadosa arquitetura de perímetro de rede de clientes comerciais, que é geralmente específica ao local do usuário. Essa função permite a edição de locais de usuários descobertos e a configuração de parâmetros de rede desses locais para facilitar medidas de telemetria e recomendações de design melhores
| Ações | Descrição |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Gerenciar todos os aspectos dos locais de rede |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de Aplicativos do Office
Os usuários com esta função podem gerenciar as configurações de nuvem dos aplicativos do Microsoft 365. Isso inclui o gerenciamento de políticas de nuvem, o gerenciamento de download de autoatendimento, além da capacidade de exibir relatórios relacionados aos aplicativos do Office. Além disso, essa função concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço no Centro de Administração principal. Os usuários atribuídos a essa função também podem gerenciar a comunicação de novos recursos nos aplicativos do Office.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Ler e atualizar a visibilidade das mensagens sobre novidades |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de identidade visual organizacional
Atribua a função de Administrador de identidade visual organizacional a usuários que precisam realizar as seguintes tarefas:
- Gerenciar todos os aspectos da identidade visual organizacional em um locatário
- Ler, criar, atualizar e excluir temas de identidade visual
- Gerenciar o tema de identidade visual padrão e todos os temas de localização de identidade visual
| Ações | Descrição |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Criar e excluir loginTenantBranding, além de ler e atualizar todas as propriedades |
Aprovador de mensagens organizacionais
Atribua a função Aprovador de mensagens organizacionais aos usuários que precisem realizar as seguintes tarefas:
- Examinar, aprovar ou rejeitar novas mensagens organizacionais para entrega no Centro de administração do Microsoft 365 antes de serem enviadas aos usuários usando a plataforma de Mensagens organizacionais do Microsoft 365
- Ler todos os aspectos das mensagens organizacionais
- Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365
| Ações | Descrição |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Ler todos os aspectos das mensagens organizacionais do Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | Aprovar ou rejeitar novas mensagens organizacionais para entrega no Centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Escritor de mensagens organizacionais
Atribua a função de Escritor de mensagens organizacionais a usuários que precisam realizar as seguintes tarefas:
- Escrever, publicar e excluir mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
- Gerenciar as opções de entrega de mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
- Ler os resultados de entrega de mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
- Exibir relatórios de uso e a maioria das configurações no Centro de administração do Microsoft 365, mas não pode fazer alterações
| Ações | Descrição |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Gerenciar todos os aspectos de criação das mensagens organizacionais do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Ler os relatórios de uso do Office 365 agregados no nível de locatário |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Suporte de nível 1 ao parceiro
Essa é uma função com privilégios. Não use. Essa função foi preterida e será removida do Microsoft Entra ID no futuro. Essa função destina-se a um pequeno número de parceiros de revenda da Microsoft e não para uso geral.
Importante
Essa função pode redefinir senhas e invalidar tokens de atualização somente para não administradores. Essa função não deve ser usada porque foi preterida.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/applications/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicativos |
| microsoft.directory/applications/audience/update | Atualizar a propriedade de público-alvo para aplicativos |
| microsoft.directory/applications/authentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/basic/update | Atualizar as propriedades básicas para aplicativos |
| microsoft.directory/applications/credentials/update | Atualizar as credenciais do aplicativo |
| microsoft.directory/applications/notes/update | Atualizar notas de aplicativos |
| microsoft.directory/applications/owners/update | Atualizar proprietários de aplicativos |
| microsoft.directory/applications/permissions/update | Atualizar as permissões expostas e as permissões necessárias em todos os tipos de aplicativos |
| microsoft.directory/applications/policies/update | Atualizar políticas de aplicativos |
| microsoft.directory/applications/tag/update | Atualizar as tags de aplicativos |
| microsoft.directory/contacts/basic/update | Atualizar as propriedades básicas nos contatos |
| microsoft.directory/contacts/create | Criar contatos |
| microsoft.directory/contacts/delete | Excluir contatos |
| microsoft.directory/deletedItems.groups/restore | Restaurar grupos com exclusão temporária para o estado original |
| microsoft.directory/deletedItems.users/restore | Restaurar usuários com exclusão temporária para o estado original |
| microsoft.directory/groups/create | Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/delete | Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/owners/update | Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/restore | Restaurar grupos do contêiner com exclusão temporária |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/users/assignLicense | Gerenciar licenças do usuário |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/create | Adicionar usuários |
| microsoft.directory/users/delete | Excluir usuários |
| microsoft.directory/users/disable | Desabilitar os usuários |
| microsoft.directory/users/enable | Habilitar os usuários |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.directory/users/photo/update | Atualizar foto dos usuários |
| microsoft.directory/users/restore | Restaurar usuários excluídos |
| microsoft.directory/users/userPrincipalName/update | Atualizar o nome principal de segurança dos usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Suporte de nível 2 ao parceiro
Essa é uma função com privilégios. Não use. Essa função foi preterida e será removida do Microsoft Entra ID no futuro. Essa função destina-se a um pequeno número de parceiros de revenda da Microsoft e não para uso geral.
Importante
Essa função pode redefinir senhas e invalidar tokens de atualização para todos os não administradores e administradores (incluindo administradores globais). Essa função não deve ser usada porque foi preterida.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/applications/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicativos |
| microsoft.directory/applications/audience/update | Atualizar a propriedade de público-alvo para aplicativos |
| microsoft.directory/applications/authentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/basic/update | Atualizar as propriedades básicas para aplicativos |
| microsoft.directory/applications/credentials/update | Atualizar as credenciais do aplicativo |
| microsoft.directory/applications/notes/update | Atualizar notas de aplicativos |
| microsoft.directory/applications/owners/update | Atualizar proprietários de aplicativos |
| microsoft.directory/applications/permissions/update | Atualizar as permissões expostas e as permissões necessárias em todos os tipos de aplicativos |
| microsoft.directory/applications/policies/update | Atualizar políticas de aplicativos |
| microsoft.directory/applications/tag/update | Atualizar as tags de aplicativos |
| microsoft.directory/contacts/basic/update | Atualizar as propriedades básicas nos contatos |
| microsoft.directory/contacts/create | Criar contatos |
| microsoft.directory/contacts/delete | Excluir contatos |
| microsoft.directory/deletedItems.groups/restore | Restaurar grupos com exclusão temporária para o estado original |
| microsoft.directory/deletedItems.users/restore | Restaurar usuários com exclusão temporária para o estado original |
| microsoft.directory/domains/allProperties/allTasks | Criar e excluir os domínios, além de ler e atualizar todas as propriedades |
| microsoft.directory/groups/create | Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/delete | Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/owners/update | Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/restore | Restaurar grupos do contêiner com exclusão temporária |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/organization/basic/update | Atualizar as propriedades básicas na organização |
| microsoft.directory/roleAssignments/allProperties/allTasks | Criar e excluir as atribuições de função, além de ler e atualizar todas as propriedades de atribuição de função |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Criar e excluir as definições de função, além de ler e atualizar todas as propriedades |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Criar e excluir scopedRoleMemberships, além de ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/subscribedSkus/standard/read | Ler as propriedades básicas nas assinaturas |
| microsoft.directory/users/assignLicense | Gerenciar licenças do usuário |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/create | Adicionar usuários |
| microsoft.directory/users/delete | Excluir usuários |
| microsoft.directory/users/disable | Desabilitar os usuários |
| microsoft.directory/users/enable | Habilitar os usuários |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.directory/users/photo/update | Atualizar foto dos usuários |
| microsoft.directory/users/restore | Restaurar usuários excluídos |
| microsoft.directory/users/userPrincipalName/update | Atualizar o nome principal de segurança dos usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de senhas
Essa é uma função com privilégios. Os usuários com essa função têm uma capacidade limitada de gerenciamento de senhas. Essa função não concede a capacidade de gerenciar solicitações de serviço nem de monitorar a integridade do serviço. Determinar se um administrador de senhas pode redefinir a senha de um usuário depende da função atribuída ao usuário. Para obter uma lista das funções para as quais um administrador de senhas pode redefinir senhas, confira Quem pode redefinir senhas.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não podem alterar as credenciais nem redefinir a MFA para membros e proprietários de um grupo que permite a atribuição de função.
| Ações | Descrição |
|---|---|
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de gerenciamento de permissões
Atribua a função Administrador de gerenciamento de permissões aos usuários que precisam realizar as seguintes tarefas:
- Gerenciar todos os aspectos do Gerenciamento de Permissões do Microsoft Entra, quando o serviço estiver presente
Saiba mais sobre as funções do gerenciamento de permissões e as polícias em Exibir informações sobre funções/políticas.
| Ações | Descrição |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Gerenciamento de Permissões do Microsoft Entra |
Administrador do Power Platform
Os usuários com essa função podem criar e gerenciar todos os aspectos de políticas de ambientes, Power Apps, fluxos, Prevenção contra Perda de Dados. Além disso, os usuários com essa função têm a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.dynamics365/allEntities/allTasks | Gerenciar todos os aspectos do Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Gerenciar todos os aspectos do Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Gerenciar todos os aspectos do Power Apps |
Administrador de impressoras
Os usuários com essa função podem registrar impressoras e gerenciar todos os aspectos de todas as configurações de impressora na Solução de impressão universal da Microsoft, incluindo as configurações do conector de Impressão Universal. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os administradores de impressoras também têm acesso aos relatórios de impressão.
| Ações | Descrição |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Criar e excluir impressoras e conectores, além de ler e atualizar todas as propriedades na Impressão Microsoft |
Técnico de impressora
Os usuários com essa função podem registrar impressoras e gerenciar seus status na solução de Impressão universal da Microsoft. Eles também podem ler todas as informações do conector. Duas importantes tarefas que um Técnico de impressora não pode fazer é definir permissões de usuário em impressoras e compartilhar impressoras.
| Ações | Descrição |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Ler todas as propriedades dos conectores na Impressão Microsoft |
| microsoft.azure.print/printers/allProperties/read | Ler todas as propriedades das impressoras na Impressão Microsoft |
| microsoft.azure.print/printers/basic/update | Atualizar as propriedades básicas das impressoras na Impressão Microsoft |
| microsoft.azure.print/printers/register | Registrar impressoras na Impressão Microsoft |
| microsoft.azure.print/printers/unregister | Cancelar o registro de impressoras na Impressão Microsoft |
Administrador de autenticação privilegiada
Essa é uma função com privilégios. Atribua a função Administrador de autenticação privilegiada aos usuários que precisam fazer o seguinte:
- Definir ou redefinir o método de autenticação (incluindo senhas) para qualquer usuário, incluindo Administradores globais.
- Excluir ou restaurar qualquer usuário, incluindo Administradores globais. Para obter mais informações, confira Quem pode executar ações confidenciais.
- Forçar os usuários a se registrarem novamente com uma credencial existente sem senha (como a MFA ou o FIDO) e revogar a configuração Lembrar MFA no dispositivo, solicitando a MFA no próximo logon de todos os usuários.
- Atualizar propriedades confidenciais para todos os usuários. Para obter mais informações, confira Quem pode executar ações confidenciais.
- Criar e gerenciar tíquetes de suporte no Azure e no Centro de administração do Microsoft 365.
Os usuários com essa função não podem executar as seguintes tarefas:
- Não podem gerenciar a MFA por usuário no portal de gerenciamento herdado da MFA.
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
| Função | Gerenciar métodos de autenticação do usuário | Gerenciar MFA por usuário | Gerenciar configurações de MFA | Gerenciar a política de método de autenticação | Gerenciar a política de proteção de senha | Atualizar propriedades confidenciais | Excluir e restaurar usuários |
|---|---|---|---|---|---|---|---|
| Administrador de autenticação | Sim, para alguns usuários | Sim, para alguns usuários | Sim | Não | Não | Sim, para alguns usuários | Sim, para alguns usuários |
| Administrador de autenticação privilegiada | Sim para todos os usuários | Sim para todos os usuários | Não | Não | Não | Sim para todos os usuários | Sim para todos os usuários |
| Administrador de política de autenticação | Não | Sim | Sim | Sim | Sim | Não | Não |
| Administrador de usuários | Não | Não | Não | Não | Não | Sim, para alguns usuários | Sim, para alguns usuários |
Importante
Os usuários com essa função podem alterar credenciais de pessoas que podem ter acesso a informações confidenciais ou privadas ou a configurações críticas dentro e fora do Microsoft Entra ID. A alteração das credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:
- Proprietários de registro de aplicativo e aplicativos empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares que não foram autorizados para Administradores de autenticação. Por esse caminho, um Administrador de autenticação pode assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configurações críticas no Azure.
- Proprietários de grupos de segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupos. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou à configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, por exemplo, o Exchange Online, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview e os sistemas de recursos humanos.
- Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/deletedItems.users/restore | Restaurar usuários com exclusão temporária para o estado original |
| microsoft.directory/users/authenticationMethods/basic/update | Atualizar propriedades básicas de métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/create | Atualizar métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/delete | Excluir métodos de autenticação para usuários |
| microsoft.directory/users/authenticationMethods/standard/read | Ler propriedades padrão de métodos de autenticação para usuários |
| microsoft.directory/users/authorizationInfo/update | Atualizar a propriedade de IDs de usuário do Certificado de vários valores dos usuários |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/delete | Excluir usuários |
| microsoft.directory/users/disable | Desabilitar os usuários |
| microsoft.directory/users/enable | Habilitar os usuários |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.directory/users/restore | Restaurar usuários excluídos |
| microsoft.directory/users/userPrincipalName/update | Atualizar o nome principal de segurança dos usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de funções com privilégios
Essa é uma função com privilégios. Os usuários com essa função podem gerenciar atribuições de funções no Microsoft Entra ID e no Microsoft Entra Privileged Identity Management. Eles podem criar e gerenciar grupos que podem ser atribuídos às funções do Microsoft Entra. Além disso, essa função permite o gerenciamento de todos os aspectos do Privileged Identity Management e de unidades administrativas.
Importante
Essa função concede a capacidade de gerenciar atribuições para todas as funções do Microsoft Entra, incluindo a função Administrador global. Essa função não inclui outras habilidades com privilégios no Microsoft Entra ID, por exemplo, criar ou atualizar usuários. No entanto, os usuários atribuídos a essa função podem conceder a eles mesmos ou a outras pessoas os privilégios adicionais ao atribuir funções adicionais.
| Ações | Descrição |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Ler todas as propriedades de revisões de acesso das atribuições de função de aplicativo no Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Gerenciar revisões de acesso das atribuições de função do Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Ler todas as propriedades de revisões de acesso para associação em grupos de Segurança e do Microsoft 365, incluindo grupos atribuíveis a funções. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Atualizar todas as propriedades das revisões de acesso da associação em grupos atribuíveis a funções do Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Criar revisões de acesso da associação em grupos atribuíveis a funções do Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Excluir revisões de acesso da associação em grupos atribuíveis a funções do Microsoft Entra |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Criar e gerenciar unidades administrativas (incluindo membros) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Gerenciar todos os aspectos da política de autorização |
| microsoft.directory/directoryRoles/allProperties/allTasks | Criar e excluir as funções do diretório, além de ler e atualizar todas as propriedades |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Atualizar os grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Atribuir uma licença a grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/create | Criar grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/delete | Excluir grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Reprocessar atribuições de licença para grupos atribuíveis a funções |
| microsoft.directory/groupsAssignableToRoles/restore | Restaurar grupos atribuíveis a funções |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Ler todas as propriedades das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Atualizar todas as propriedades das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/create | Criar as políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/delete | Excluir as políticas de concessão de permissão |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Criar e excluir as atribuições de função, além de ler e atualizar todas as propriedades de atribuição de função |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Criar e excluir as definições de função, além de ler e atualizar todas as propriedades |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Criar e excluir scopedRoleMemberships, além de ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Conceder consentimento para qualquer permissão para qualquer aplicativo |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar as permissões das entidades de serviço |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Leitor de relatórios
Os usuários com essa função podem exibir os dados de relatórios de uso e o painel de relatórios no Centro de administração do Microsoft 365 e o pacote de contexto de adoção no Fabric e no Power BI. Além disso, a função fornece acesso a todos os logs de entrada, logs de auditoria e relatórios de atividades no Microsoft Entra ID e dados retornados pela API de relatórios do Microsoft Graph. Um usuário atribuído à função Leitor de relatórios pode acessar somente o uso relevante e as métricas de adoção. Eles não têm permissões de administrador para definir configurações ou acessar os centros da administração de produtos específicos, como o Exchange. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de pesquisas
Os usuários com essa função têm acesso completo a todos os recursos de gerenciamento da Pesquisa da Microsoft no Centro de administração do Microsoft 365. Além disso, esses usuários podem visualizar o centro de mensagens, monitorar a integridade de serviço e criar solicitações de serviço.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.search/content/manage | Criar e excluir o conteúdo, além de ler e atualizar todas as propriedades na Pesquisa da Microsoft |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Editor de pesquisa
Os usuários com essa função podem criar, gerenciar e excluir conteúdo para a Pesquisa da Microsoft no Centro de administração do Microsoft 365, inclusive indicadores, perguntas e respostas e locais.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.search/content/manage | Criar e excluir o conteúdo, além de ler e atualizar todas as propriedades na Pesquisa da Microsoft |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador da segurança
Essa é uma função com privilégios. Os usuários com essa função têm permissões para gerenciar recursos relacionados à segurança no portal do Microsoft 365 Defender, no Microsoft Entra ID Protection, na autenticação do Microsoft Entra, na Proteção de Informações do Azure e no portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, confira Funções e grupos de função no Microsoft Defender para Office 365 e conformidade do Microsoft Purview.
| Em | Pode ser feito |
|---|---|
| Portal do Microsoft 365 Defender | Monitorar políticas relacionadas à segurança em todos os serviços do Microsoft 365 Gerenciar alertas e ameaças de segurança Exibir relatórios |
| Microsoft Entra ID Protection | Todas as permissões da função Leitor de segurança Executar todas as operações do Identity Protection, exceto redefinir senhas |
| Privileged Identity Management | Todas as permissões da função Leitor de segurança Não pode gerenciar atribuições de função nem configurações do Microsoft Entra |
| Portal de conformidade do Microsoft Purview | Gerenciar políticas de segurança Exibir, investigar e responder a ameaças de segurança Exibir relatórios |
| Proteção Avançada contra Ameaças do Azure | Monitorar e responder a atividades suspeitas de segurança |
| Microsoft Defender para ponto de Extremidade | Atribuir funções Gerenciar grupos de computadores Configurar a detecção de ameaças do ponto de extremidade e a correção automatizada Exibir, investigar e responder a alertas Exibir o inventário de máquinas e dispositivos |
| Intune | Mapeia para a função de Gerente de Segurança de Ponto de Extremidade do Intune |
| Microsoft Defender para Aplicativos de Nuvem | Adicionar administradores, adicionar políticas e configurações, carregar logs e executar ações de governança |
| Integridade do serviço do Microsoft 365 | Exibir a integridade dos serviços do Microsoft 365 |
| Bloqueio inteligente | Definir o limite e a duração de bloqueios quando ocorrerem eventos de entrada com falha. |
| Proteção de senha | Configurar a lista personalizada de senhas proibidas ou a proteção de senha local. |
| Sincronização entre locatários | Defina as configurações de acesso entre locatários para usuários em outro locatário. Os administradores da segurança não podem criar e excluir usuários diretamente, mas podem criar e excluir indiretamente usuários sincronizados de outro locatário quando ambos os locatários forem configurados para sincronização entre locatários, que é uma permissão privilegiada. |
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/applications/policies/update | Atualizar políticas de aplicativos |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar as propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Excluir as políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/read | Ler os proprietários das políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/owners/update | Atualizar proprietários para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Ler a propriedade "aplicado a" para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Atualizar o locatário padrão das políticas de acesso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade na nuvem permitidos da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Atualizar as configurações básicas da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Ler as propriedades básicas da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Atualizar as restrições de locatário da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Criar política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Excluir a política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Atualizar as configurações básicas da política de sincronização entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Criar uma política de sincronização entre os locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Ler as propriedades básicas da política de sincronização entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Ler as propriedades básicas da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Atualizar modelos de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Restaurar as configurações padrão do modelo de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Ler as propriedades básicas dos modelos de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Atualizar modelos de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Restaurar as configurações padrão do modelo de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Ler as propriedades básicas dos modelos de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de locatários da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Ler as propriedades básicas da política de acesso entre locatários |
| microsoft.directory/deviceLocalCredentials/standard/read | Ler todas as propriedades das credenciais da conta de administrador local com backup nos dispositivos ingressados no Microsoft Entra, exceto a senha |
| microsoft.directory/domains/federationConfiguration/basic/update | Atualizar a configuração básica de federação para domínios |
| microsoft.directory/domains/federationConfiguration/create | Criar a configuração de federação para domínios |
| microsoft.directory/domains/federationConfiguration/delete | Excluir a configuração de federação para domínios |
| microsoft.directory/domains/federationConfiguration/standard/read | Ler as propriedades padrão da configuração de federação para domínios |
| microsoft.directory/domains/federation/update | Atualizar a propriedade de federação de domínios |
| microsoft.directory/entitlementManagement/allProperties/read | Ler todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Ler todos os recursos no Microsoft Entra ID Protection |
| microsoft.directory/identityProtection/allProperties/update | Atualizar todos os recursos no Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/basic/update | Atualizar propriedades básicas de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/create | Criar uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Ingressar em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Ler as propriedades de uma solicitação de ingresso na organização multilocatário |
| microsoft.directory/multiTenantOrganization/standard/read | Ler as propriedades básicas de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/create | Criar um locatário em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/delete | Excluir um locatário participante de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Ler os detalhes da organização de um locatário participante em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Atualizar propriedades básicas de um locatário participante de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Ler as propriedades básicas de um locatário participante em uma organização multilocatário |
| microsoft.directory/namedLocations/basic/update | Atualizar as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/create | Criar regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/delete | Excluir regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/standard/read | Ler as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/policies/basic/update | Atualizar as propriedades básicas nas políticas |
| microsoft.directory/policies/create | Criar políticas no Microsoft Entra ID |
| microsoft.directory/policies/delete | Excluir políticas no Microsoft Entra ID |
| microsoft.directory/policies/owners/update | Atualizar os proprietários de políticas |
| microsoft.directory/policies/tenantDefault/update | Atualizar as políticas padrão da organização |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Ler todos os recursos no Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de acesso condicional das ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365 |
| microsoft.directory/servicePrincipals/policies/update | Atualizar as políticas das entidades de serviço |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do acesso à rede do Microsoft Entra |
| microsoft.office365.protectionCenter/allEntities/basic/update | Atualizar as propriedades básicas de todos os recursos nos centros de Conformidade e Segurança |
| microsoft.office365.protectionCenter/allEntities/standard/read | Ler as propriedades padrão de todos os recursos nos centros de Conformidade e Segurança |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Criar e gerenciar os payloads de ataque no Simulador de Ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Ler os relatórios sobre simulação de ataques, respostas e treinamento associado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Criar e gerenciar os modelos de simulação de ataques no Simulador de Ataques |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Operador de Segurança
Essa é uma função com privilégios. Os usuários com essa função podem gerenciar alertas e ter acesso global somente leitura aos recursos relacionados à segurança, incluindo todas as informações no portal do Microsoft 365 Defender, no Microsoft Entra ID Protection, no Privileged Identity Management e no portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, confira Funções e grupos de função no Microsoft Defender para Office 365 e conformidade do Microsoft Purview.
| Em | Pode ser feito |
|---|---|
| Portal do Microsoft 365 Defender | Todas as permissões da função Leitor de segurança Exibir, investigar e responder a alertas de ameaças de segurança Gerenciar configurações de segurança no portal do Microsoft 365 Defender |
| Microsoft Entra ID Protection | Todas as permissões da função Leitor de segurança Executar todas as operações do ID Protection, exceto configurar ou alterar políticas baseadas em risco, redefinir senhas e configurar emails de alerta. |
| Privileged Identity Management | Todas as permissões da função Leitor de segurança |
| Portal de conformidade do Microsoft Purview | Todas as permissões da função Leitor de segurança Exibir, investigar e responder a alertas de segurança |
| Microsoft Defender para ponto de Extremidade | Todas as permissões da função Leitor de segurança Exibir, investigar e responder a alertas de segurança Quando você ativa o controle de acesso baseado em função no Microsoft Defender para ponto de extremidade, os usuários com permissões somente leitura, como a função Leitor de segurança, perdem o acesso até receberem uma função do Microsoft Defender para ponto de extremidade. |
| Intune | Todas as permissões da função Leitor de segurança |
| Microsoft Defender para Aplicativos de Nuvem | Todas as permissões da função Leitor de segurança Exibir, investigar e responder a alertas de segurança |
| Integridade do serviço do Microsoft 365 | Exibir a integridade dos serviços do Microsoft 365 |
| Ações | Descrição |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Gerenciar todos os aspectos da Proteção Avançada contra Ameaças do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Microsoft Defender para Aplicativos de Nuvem |
| microsoft.directory/identityProtection/allProperties/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Entra ID Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Ler todos os recursos no Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.intune/allEntities/read | Ler todos os recursos no Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Centro de Segurança e Conformidade do Office 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gerenciar todos os aspectos do Microsoft Defender para Ponto de Extremidade |
Leitor de segurança
Essa é uma função com privilégios. Usuários com essa função têm acesso somente leitura global em recursos relacionados à segurança, incluindo todas as informações no portal do Microsoft 365 Defender, no Microsoft Entra ID Protection, no Privileged Identity Management. Além disso, podem ler logs de auditoria e relatórios de logon do Microsoft Entra e no portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, confira Funções e grupos de função no Microsoft Defender para Office 365 e conformidade do Microsoft Purview.
| Em | Pode ser feito |
|---|---|
| Portal do Microsoft 365 Defender | Exibir políticas relacionadas à segurança em todos os serviços do Microsoft 365 Exibir alertas e ameaças de segurança Exibir relatórios |
| Microsoft Entra ID Protection | Exibir todos os relatórios do ID Protection e a visão geral |
| Privileged Identity Management | Tem acesso somente leitura a todas as informações exibidas no Microsoft Entra Privileged Identity Management: políticas e relatórios para atribuições de função e revisões de segurança do Microsoft Entra. Não pode se inscrever no Microsoft Entra Privileged Identity Management nem alterá-lo. No portal do Privileged Identity Management ou por meio do PowerShell, alguém com essa função poderá ativar funções adicionais (por exemplo, Administrador global ou Administrador de funções com privilégios) se o usuário for elegível para a elas. |
| Portal de conformidade do Microsoft Purview | Exibir políticas de segurança Exibir e investigar ameaças de segurança Exibir relatórios |
| Microsoft Defender para ponto de Extremidade | Exibir e investigar alertas Quando você ativa o controle de acesso baseado em função no Microsoft Defender para ponto de extremidade, os usuários com permissões somente leitura, como a função Leitor de segurança, perdem o acesso até receberem uma função do Microsoft Defender para ponto de extremidade. |
| Intune | Exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não pode fazer alterações no Intune. |
| Microsoft Defender para Aplicativos de Nuvem | Tem permissões de leitura. |
| Integridade do serviço do Microsoft 365 | Exibir a integridade dos serviços do Microsoft 365 |
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/accessReviews/definitions/allProperties/read | Ler todas as propriedades de revisões de acesso de todos os recursos revisáveis no Microsoft Entra ID |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/bitlockerKeys/key/read | Ler os metadados e a chave do BitLocker nos dispositivos |
| microsoft.directory/conditionalAccessPolicies/owners/read | Ler os proprietários das políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Ler a propriedade "aplicado a" para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Ler as propriedades básicas dos modelos de política de sincronização entre locatários da organização multilocatário |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Ler as propriedades básicas dos modelos de política de acesso entre locatários da organização multilocatário |
| microsoft.directory/deviceLocalCredentials/standard/read | Ler todas as propriedades das credenciais da conta de administrador local com backup nos dispositivos ingressados no Microsoft Entra, exceto a senha |
| microsoft.directory/domains/federationConfiguration/standard/read | Ler as propriedades padrão da configuração de federação para domínios |
| microsoft.directory/entitlementManagement/allProperties/read | Ler todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Ler todos os recursos no Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Ler as propriedades de uma solicitação de ingresso na organização multilocatário |
| microsoft.directory/multiTenantOrganization/standard/read | Ler as propriedades básicas de uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Ler os detalhes da organização de um locatário participante em uma organização multilocatário |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Ler as propriedades básicas de um locatário participante em uma organização multilocatário |
| microsoft.directory/namedLocations/standard/read | Ler as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/policies/owners/read | Ler os proprietários de políticas |
| microsoft.directory/policies/policyAppliedTo/read | Ler a propriedade policies.policyAppliedTo |
| microsoft.directory/policies/standard/read | Ler as propriedades básicas nas políticas |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Ler todos os recursos no Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de logon, incluindo as propriedades privilegiadas |
| microsoft.networkAccess/allEntities/allProperties/read | Ler todos os aspectos do acesso à rede do Microsoft Entra |
| microsoft.office365.protectionCenter/allEntities/standard/read | Ler as propriedades padrão de todos os recursos nos centros de Conformidade e Segurança |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Ler todas as propriedades dos payloads de ataque no Simulador de Ataques |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Ler os relatórios sobre simulação de ataques, respostas e treinamento associado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Ler todas as propriedades dos modelos de simulação de ataques no Simulador de Ataques |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do suporte de serviços
Os usuários com essa função podem criar e gerenciar solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365 e ver o painel de serviço e o Centro de Mensagens no portal do Azure e no Centro de administração do Microsoft 365. Para obter mais informações, confira Sobre funções de administrador no Centro de administração do Microsoft 365.
Observação
Anteriormente, essa função era denominada Administrador de serviços no portal do Azure e no Centro de administração do Microsoft 365. Ela foi renomeada como Administrador do suporte de serviços para alinhar-se ao nome existente na API do Microsoft Graph e no PowerShell do Azure AD.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do SharePoint
Usuários com essa função têm permissões globais no Microsoft Office SharePoint Online, quando o serviço está presente, bem como a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, confira Sobre funções de administrador no Centro de administração do Microsoft 365.
Observação
Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é denominada Administrador de serviços do SharePoint. No portal do Azure, ela é denominada Administrador do SharePoint.
Observação
Essa função também concede permissões com escopo para a API do Microsoft Graph para Microsoft Intune, permitindo o gerenciamento e a configuração de políticas relacionadas aos recursos do SharePoint e do OneDrive.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Criar e gerenciar a política de proteção do OneDrive no Backup do Microsoft 365 |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Ler e configurar a sessão de restauração para o OneDrive no Backup do Microsoft 365 |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | Gerenciar todos os pontos de restauração associados a sites selecionados do SharePoint no BackUp do M365 |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Gerenciar todos os pontos de restauração associados a sites selecionados do OneDrive no BackUp do M365 |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Criar e gerenciar a política de proteção do SharePoint no Backup do Microsoft 365 |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Ler e configurar a sessão de restauração para o SharePoint no Backup do Microsoft 365 |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | Gerenciar sites adicionados à política de proteção do SharePoint no Backup do Microsoft 365 |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Gerenciar sites adicionados para restaurar a sessão do SharePoint no Backup do Microsoft 365 |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Gerenciar contas adicionadas à política de proteção do OneDrive no Backup do Microsoft 365 |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Gerenciar contas adicionadas para restaurar a sessão do OneDrive no Backup do Microsoft 365 |
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups.unified/basic/update | Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/create | Criar os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/delete | Excluir os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/owners/update | Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/restore | Restaurar os grupos do Microsoft 365 do contêiner com exclusão temporária, excluindo grupos atribuíveis a funções |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Gerenciar todos os aspectos das migrações do Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do SharePoint Embedded
Atribua a função Administrador do SharePoint Embedded aos usuários que precisam realizar as seguintes tarefas:
- Executar todas as tarefas utilizando o PowerShell, a API do Microsoft Graph ou o Centro de administração do SharePoint
- Gerenciar, configurar e manter contêineres do SharePoint Embedded
- Enumerar e gerenciar contêineres do SharePoint Embedded
- Enumerar e gerenciar permissões para contêineres do SharePoint Embedded
- Gerenciar o armazenamento de contêineres do SharePoint Embedded em um locatário
- Atribuir políticas de segurança e conformidade em contêineres do SharePoint Embedded
- Aplicar políticas de segurança e conformidade em contêineres do SharePoint Embedded em um locatário
| Ações | Descrição |
|---|---|
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Gerenciar todos os aspectos dos contêineres do SharePoint Embedded |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Skype for Business
Os usuários com essa função têm permissões globais no Microsoft Skype for Business, quando esse serviço está presente, e podem gerenciar atributos de usuário específicos do Skype no Microsoft Entra ID. Além disso, essa função concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço, além de acessar o Centro de administração do Skype for Business e do Teams. A conta também deve ser licenciada para o Teams ou não poderá executar os cmdlets do PowerShell do Teams. Para obter mais informações, confira Administração do Skype for Business Online e as informações de licenciamento do Teams em Licenciamento do complemento do Skype for Business.
Observação
Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é denominada Administrador de serviços do Lync. No portal do Azure, ela é denominada Administrador do Skype for Business.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador do Teams
Usuários nessa função podem gerenciar todos os aspectos da carga de trabalho do Microsoft Teams pelo Centro de administração do Microsoft Teams e Skype for Business e respectivos módulos do PowerShell. Isso inclui, entre outras áreas, todas as ferramentas de gerenciamento relacionadas a telefonia, mensagens, reuniões e às próprias equipes. Além disso, essa função concede a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade na nuvem permitidos da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Ler as propriedades básicas da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Criar política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Ler as propriedades básicas da política de acesso entre locatários para parceiros |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Ler as propriedades básicas da política de acesso entre locatários |
| microsoft.directory/externalUserProfiles/basic/update | Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/externalUserProfiles/delete | Excluir perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/externalUserProfiles/standard/read | Ler propriedades padrão de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups.unified/basic/update | Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/create | Criar os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/delete | Excluir os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/owners/update | Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/restore | Restaurar os grupos do Microsoft 365 do contêiner com exclusão temporária, excluindo grupos atribuíveis a funções |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Criar perfis de usuário externos no diretório estendido para o Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Excluir perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Ler propriedades padrão de perfis de usuários externos no diretório estendido do Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Ler as propriedades padrão das políticas de concessão de permissão |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Gerenciar todos os recursos no Teams |
Administrador de comunicações do Teams
Usuários nessa função podem gerenciar aspectos da carga de trabalho do Microsoft Teams relacionados a voz e telefonia. Isso inclui as ferramentas de gerenciamento para atribuição de número de telefone, políticas de reuniões e voz e acesso completo ao conjunto de ferramentas de análise de chamadas.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Ler todos os dados no Painel de Qualidade de Chamadas (PQC) |
| microsoft.teams/meetings/allProperties/allTasks | Gerenciar reuniões, incluindo configurações, pontes de conferência e políticas de reuniões |
| microsoft.teams/voice/allProperties/allTasks | Gerenciar recursos de voz, incluindo as políticas de chamada, a atribuição e o estoque de números de telefone |
Engenheiro de suporte técnico de comunicações do Teams
Usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams e Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no Centro de administração do Microsoft Teams e Skype for Business. Os usuários nesta função podem exibir informações da gravação de chamadas completas para todos os participantes envolvidos. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Ler todos os dados no Painel de Qualidade de Chamadas (PQC) |
Especialista de suporte técnico de comunicações do Teams
Usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams e Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no Centro de administração do Microsoft Teams e Skype for Business. Os usuários nessa função só podem visualizar os detalhes do usuário na chamada para o usuário específico que eles pesquisaram. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Ler os dados básicos no Painel de Qualidade de Chamadas (PQC) |
Administrador de dispositivos do Teams
Os usuários com essa função podem gerenciar os dispositivos certificados do Teams no Centro de administração do Teams. Essa função permite exibir todos os dispositivos em uma única visualização, com capacidade de pesquisar e filtrar dispositivos. O usuário pode verificar os detalhes de cada dispositivo, incluindo a conta conectada, a marca e o modelo do dispositivo. O usuário pode alterar as configurações no dispositivo e atualizar as versões do software. Essa função não concede permissões para verificar a atividade do Teams e chamar a qualidade do dispositivo.
| Ações | Descrição |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.teams/devices/standard/read | Gerenciar todos os aspectos dos dispositivos certificados para o Teams, incluindo as políticas de configuração |
Administrador de telefonia do Teams
Atribua a função Administrador de telefonia do Teams aos usuários que precisam realizar as seguintes tarefas:
- Gerenciar a voz e a telefonia, incluindo políticas de chamada, gerenciamento e atribuição de números de telefone e aplicativos de voz
- Acesso somente a relatórios de uso de Rede Telefônica Pública Comutada (PSTN) do Centro de administração do Teams
- Exibir página de perfil do usuário
- Criar e gerenciar tíquetes de suporte no Azure e no Centro de administração do Microsoft 365
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/authorizationPolicy/standard/read | Ler as propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspectos do Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Ler todos os dados no Painel de Qualidade de Chamadas (PQC) |
| microsoft.teams/voice/allProperties/allTasks | Gerenciar recursos de voz, incluindo as políticas de chamada, a atribuição e o estoque de números de telefone |
Criador de locatários
Atribuir a função Criador de locatários a usuários que precisam realizar as seguintes tarefas:
- Criar locatários do Microsoft Entra e do Azure Active Directory B2C mesmo que a opção de criação de locatários esteja desativada nas configurações do usuário
Observação
Os criadores de locatários receberão a função Administrador global nos novos locatários criados por eles.
| Ações | Descrição |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Criar locatários no Microsoft Entra ID |
Leitor de relatórios de resumo de uso
Atribua a função Leitor de relatórios de resumo de uso aos usuários que precisam realizar as seguintes tarefas no Centro de administração do Microsoft 365:
- Exiba os relatórios de uso e a pontuação de adoção
- Leia insights organizacionais, mas não as informações de identificação pessoal (PII) dos usuários
Essa função só permite que os usuários visualizem os dados de nível organizacional com as seguintes exceções:
- Os usuários membros podem visualizar dados e configurações de gerenciamento de usuários.
- Os usuários convidados atribuídos a essa função não podem visualizar os dados e as configurações de gerenciamento do usuário.
| Ações | Descrição |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Ler os relatórios de uso do Office 365 agregados no nível de locatário |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de usuários
Essa é uma função com privilégios. Atribua a função Administrador de usuários aos usuários que precisam fazer o seguinte:
| Permissão | Mais informações |
|---|---|
| Criar usuários | |
| Atualizar a maioria das propriedades do usuário para todos os usuários, incluindo todos os administradores | Quem pode executar ações confidenciais |
| Atualizar propriedades confidenciais (incluindo o nome principal de segurança) de alguns usuários | Quem pode executar ações confidenciais |
| Desabilitar ou habilitar alguns usuários | Quem pode executar ações confidenciais |
| Excluir ou restaurar alguns usuários | Quem pode executar ações confidenciais |
| Criar e gerenciar modos de exibição do usuário | |
| Criar e gerenciar todos os grupos | |
| Atribuir e ler licenças de todos os usuários, incluindo todos os administradores | |
| Redefinir senhas | Quem pode redefinir senhas |
| Invalidar tokens de atualização | Quem pode redefinir senhas |
| Atualizar chaves de dispositivo (FIDO) | |
| Atualizar políticas de expiração de senha | |
| Criar e gerenciar tíquetes de suporte no Azure e no Centro de administração do Microsoft 365 | |
| Monitorar a integridade do serviço |
Os usuários com essa função não podem executar as seguintes tarefas:
- Não podem gerenciar a MFA.
- Não podem alterar as credenciais nem redefinir a MFA para membros e proprietários de um grupo que permite a atribuição de função.
- Não podem gerenciar caixas de correio compartilhadas.
- Não é possível modificar as perguntas de segurança da operação de redefinição de senha.
Importante
Os usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou privadas ou configurações críticas dentro e fora do Microsoft Entra ID. A alteração da senha de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:
- Proprietários de registro de aplicativo e aplicativos empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares não concedidas aos Administradores de usuários. Por esse caminho, um Administrador de usuários pode ser capaz de assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configurações críticas no Azure.
- Proprietários de grupos de segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupos. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou à configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, por exemplo, o Exchange Online, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview e os sistemas de recursos humanos.
- Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço do Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gerenciar revisões de acesso das atribuições de função de aplicativo no Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Ler todas as propriedades de revisões de acesso das atribuições de função do Microsoft Entra |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gerenciar as revisões de acesso para atribuições de pacote de acesso no gerenciamento de direitos |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Ler todas as propriedades de revisões de acesso para associação em grupos de Segurança e do Microsoft 365, incluindo grupos atribuíveis a funções. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Atualizar todas as propriedades de revisões de acesso para associação em grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções. |
| microsoft.directory/accessReviews/definitions.groups/create | Criar revisões de acesso para associação em grupos de Segurança e do Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Excluir revisões de acesso para associação em grupos de Segurança e do Microsoft 365. |
| microsoft.directory/contacts/basic/update | Atualizar as propriedades básicas nos contatos |
| microsoft.directory/contacts/create | Criar contatos |
| microsoft.directory/contacts/delete | Excluir contatos |
| microsoft.directory/deletedItems.groups/restore | Restaurar grupos com exclusão temporária para o estado original |
| microsoft.directory/deletedItems.users/restore | Restaurar usuários com exclusão temporária para o estado original |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra |
| microsoft.directory/groups/assignLicense | Atribuir as licenças de produto a grupos para licenciamento baseado em grupo |
| microsoft.directory/groups/basic/update | Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/classification/update | Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/create | Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/delete | Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/groupType/update | Atualizar propriedades que poderiam afetar o tipo de grupo dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/onPremWriteBack/update | Atualizar grupos do Microsoft Entra que terão write-back localmente com o Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups/reprocessLicenseAssignment | Reprocessar as atribuições de licença para licenciamento baseado em grupo |
| microsoft.directory/groups/restore | Restaurar grupos do contêiner com exclusão temporária |
| microsoft.directory/groups/settings/update | Atualizar as configurações de grupos |
| microsoft.directory/groups/visibility/update | Atualizar a propriedade de visibilidade dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades |
| microsoft.directory/policies/standard/read | Ler as propriedades básicas nas políticas |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/users/assignLicense | Gerenciar licenças do usuário |
| microsoft.directory/users/basic/update | Atualizar as propriedades básicas nos usuários |
| microsoft.directory/users/convertExternalToInternalMemberUser | Converter usuário externo em usuário interno |
| microsoft.directory/users/create | Adicionar usuários |
| microsoft.directory/users/delete | Excluir usuários |
| microsoft.directory/users/disable | Desabilitar os usuários |
| microsoft.directory/users/enable | Habilitar os usuários |
| microsoft.directory/users/invalidateAllRefreshTokens | Forçar a saída invalidando os tokens de atualização do usuário |
| microsoft.directory/users/inviteGuest | Convidar usuários |
| microsoft.directory/users/manager/update | Atualizar o gerenciador para usuários |
| microsoft.directory/users/password/update | Redefinir as senhas de todos os usuários |
| microsoft.directory/users/photo/update | Atualizar foto dos usuários |
| microsoft.directory/users/reprocessLicenseAssignment | Reprocessar as atribuições de licença para usuários |
| microsoft.directory/users/restore | Restaurar usuários excluídos |
| microsoft.directory/users/sponsors/update | Atualizar patrocinadores de usuários |
| microsoft.directory/users/usageLocation/update | Atualizar o local de uso dos usuários |
| microsoft.directory/users/userPrincipalName/update | Atualizar o nome principal de segurança dos usuários |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Gerenciador de sucesso da experiência do usuário
Atribua a função Gerenciador de sucesso da experiência do usuário aos usuários que precisam realizar as seguintes tarefas:
- Ler relatórios de uso de nível organizacional para aplicativos e serviços do Microsoft 365, mas não detalhes do usuário
- Ver os comentários sobre produtos da organização, os resultados da pesquisa do Net Promoter Score (NPS) e exibições de artigos de ajuda para identificar oportunidades de comunicação e treinamento
- Ler postagens do Centro de Mensagens e dados de integridade do serviço
| Ações | Descrição |
|---|---|
| microsoft.commerce.billing/purchases/standard/read | Ler os serviços de compra no Centro de administração do M365. |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Ler todos os aspectos das mensagens organizacionais do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Ler os relatórios de uso do Office 365 agregados no nível de locatário |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de visitas virtuais
Os usuários com essa função podem executar as seguintes tarefas:
- Gerenciar e configurar todos os aspectos das visitas virtuais em Bookings no Centro de administração do Microsoft 365 e no conector de EHR do Teams
- Exibir relatórios de uso de visitas virtuais no Centro de administração do Teams, no Centro de administração do Microsoft 365, no Fabric e no Power BI
- Exibir recursos e configurações no Centro de administração do Microsoft 365, mas sem poder editar nenhuma configuração
As visitas virtuais são uma maneira simples de agendar e gerenciar compromissos online e de vídeo para funcionários e participantes. Por exemplo, os relatórios de uso podem mostrar como enviar mensagens de texto SMS antes de compromissos pode reduzir o número de pessoas que não aparecem para compromissos.
| Ações | Descrição |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gerenciar e compartilhar informações e métricas de visitas virtuais de Centros de administração ou do aplicativo Visitas Virtuais |
Administrador do Viva Goals
Atribuir a função Administrador do Viva Goals para usuários que precisam realizar as seguintes tarefas:
- Gerenciar e configurar todos os aspectos do aplicativo Microsoft Viva Goals
- Definir as configurações de administrador do Microsoft Viva Goals
- Ler informações de locatário do Microsoft Entra
- Monitorar a integridade do serviço do Microsoft 365
- Criar e gerenciar as solicitações de serviço do Microsoft 365
Para obter mais informações, consulte Funções e permissões no Viva Goals e Introdução ao Microsoft Viva Goals.
| Ações | Descrição |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Microsoft Viva Goals |
Administrador do Viva Pulse
Atribuir a função Administrador do Viva Pulse para usuários que precisam realizar as seguintes tarefas:
- Ler e definir todas as configurações do Viva Pulse
- Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365
- Ler e configurar a Integridade do Serviço do Azure
- Criar e gerenciar tíquetes de suporte do Azure
- Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança
- Ler relatórios de uso no Centro de administração do Microsoft 365
Para obter mais informações, veja Atribuir um administrador do Viva Pulse no Centro de administração do Microsoft 365.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Microsoft Viva Pulse |
Administrador do Windows 365
Os usuários com essa função têm permissões globais em recursos do Windows 365, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar a política, bem como criar e gerenciar grupos.
Essa função pode criar e gerenciar grupos de segurança, mas não tem direitos de administrador sobre os grupos do Microsoft 365. Isso significa que os administradores não podem atualizar proprietários ou associações de grupos do Microsoft 365 na organização. No entanto, eles podem gerenciar os grupos do Microsoft 365 que criam, o que faz parte dos seus privilégios de usuário final. Portanto, qualquer grupo do Microsoft 365 (não grupo de segurança) criado por eles conta na cota de 250.
Atribuir a função Administrador do Windows 365 a usuários que precisam realizar as seguintes tarefas:
- Gerenciar PCs na nuvem do Windows 365 no Microsoft Intune
- Inscrever e gerenciar dispositivos no Microsoft Entra ID, incluindo a atribuição de usuários e políticas
- Criar e gerenciar grupos de segurança, mas não grupos atribuíveis a funções
- Exibir propriedades básicas no Centro de administração do Microsoft 365
- Ler relatórios de uso no Centro de administração do Microsoft 365
- Criar e gerenciar tíquetes de suporte no Azure e no Centro de administração do Microsoft 365
| Ações | Descrição |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Windows 365 |
| microsoft.directory/deletedItems.devices/delete | Excluir permanentemente dispositivos que não podem mais ser restaurados |
| microsoft.directory/deletedItems.devices/restore | Restaurar dispositivos com exclusão temporária para o estado original |
| microsoft.directory/deviceManagementPolicies/standard/read | Ler as propriedades padrão no gerenciamento de dispositivo móvel e nas políticas de gerenciamento de aplicativos móveis |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Ler as propriedades padrão nas políticas de registro de dispositivos |
| microsoft.directory/devices/basic/update | Atualizar as propriedades básicas nos dispositivos |
| microsoft.directory/devices/create | Criar dispositivos (inscrever-se no Microsoft Entra ID) |
| microsoft.directory/devices/delete | Excluir dispositivos do Microsoft Entra ID |
| microsoft.directory/devices/disable | Desabilitar dispositivos no Microsoft Entra ID |
| microsoft.directory/devices/enable | Habilitar dispositivos no Microsoft Entra ID |
| microsoft.directory/devices/extensionAttributeSet1/update | Atualizar as propriedades de extensionAttribute1 a extensionAttribute5 nos dispositivos |
| microsoft.directory/devices/extensionAttributeSet2/update | Atualizar as propriedades de extensionAttribute6 a extensionAttribute10 nos dispositivos |
| microsoft.directory/devices/extensionAttributeSet3/update | Atualizar as propriedades de extensionAttribute11 a extensionAttribute15 nos dispositivos |
| microsoft.directory/devices/registeredOwners/update | Atualizar os proprietários registrados dos dispositivos |
| microsoft.directory/devices/registeredUsers/update | Atualizar os usuários registrados dos dispositivos |
| microsoft.directory/groups.security/basic/update | Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/classification/update | Atualizar a propriedade de classificação de grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/create | Criar grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/delete | Excluir os grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica nos grupos de Segurança, exceto grupos atribuíveis a funções |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/owners/update | Atualizar os proprietários dos grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.security/visibility/update | Atualizar a propriedade de visibilidade de grupos de Segurança, exceto os grupos atribuíveis a funções |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
Administrador de implantações do Windows Update
Usuários nessa função podem criar e gerenciar todos os aspectos das implantações do Windows Update pelo serviço de implantações do Windows Update para Empresas. O serviço de implantação permite que os usuários definam configurações para quando e como as atualizações são implantadas e especifiquem quais atualizações são oferecidas aos grupos de dispositivos no seu locatário. Também permite que os usuários monitorem o progresso da atualização.
| Ações | Descrição |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Ler e configurar todos os aspectos do serviço do Windows Update |
Administrador do Yammer
Atribuir a função de administrador do Yammer a usuários que precisam realizar as seguintes tarefas:
- Gerenciar todos os aspectos do Yammer
- Criar, gerenciar e restaurar Grupos do Microsoft 365, mas não grupos atribuíveis a funções
- Examinar os membros ocultos dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções
- Ler relatórios de uso no Centro de administração do Microsoft 365
- Criar e gerenciar solicitações de serviço no Centro de administração do Microsoft 365
- Exibir anúncios no Centro de Mensagens, mas não anúncios de segurança
- Exibir integridade do serviço
| Ações | Descrição |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Ler os membros ocultos dos grupos de segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuíveis a funções |
| microsoft.directory/groups.unified/basic/update | Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/create | Criar os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/delete | Excluir os grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/owners/update | Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos atribuíveis a funções |
| microsoft.directory/groups.unified/restore | Restaurar os grupos do Microsoft 365 do contêiner com exclusão temporária, excluindo grupos atribuíveis a funções |
| microsoft.office365.messageCenter/messages/read | Ler as mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, exceto as mensagens de segurança |
| microsoft.office365.network/performance/allProperties/read | Ler todas as propriedades de desempenho da rede no Centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar a Integridade do Serviço no Centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar as solicitações de serviço do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Ler os relatórios de uso do Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Ler as propriedades básicas em todos os recursos no Centro de administração do Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Gerenciar todos os aspectos do Yammer |
Funções preteridas
As funções a seguir não devem ser usadas. Elas foram preteridas e serão removidas do Microsoft Entra ID no futuro.
- Administrador de Licenças Ad Hoc
- Ingresso de dispositivo
- Gerenciadores de Dispositivos
- Usuários de dispositivos
- Criador de usuários verificados por email
- Administrador de caixa de correio
- Ingresso no dispositivo no local de trabalho
Funções não exibidas no portal
Nem todas as funções retornadas pelo PowerShell ou pela API do MS Graph ficam visíveis no portal do Azure. A tabela a seguir organiza essas diferenças.
| Nome da API | Nome do portal do Azure | Notas |
|---|---|---|
| Ingresso de dispositivo | Preterida | Documentação de funções preteridas |
| Gerenciadores de Dispositivos | Preterida | Documentação de funções preteridas |
| Usuários de dispositivos | Preterida | Documentação de funções preteridas |
| Contas de sincronização de diretório | Não exibido porque não deve ser usado | Documentação de Contas de sincronização de diretório |
| Usuário convidado | Não exibido porque não pode ser usado | NA |
| Suporte de nível 1 ao parceiro | Não exibido porque não deve ser usado | Documentação do suporte de nível 1 ao parceiro |
| Suporte de nível 2 ao parceiro | Não exibido porque não deve ser usado | Documentação do suporte de nível 2 ao parceiro |
| Usuário convidado restrito | Não exibido porque não pode ser usado | NA |
| Usuário | Não exibido porque não pode ser usado | NA |
| Ingresso no dispositivo no local de trabalho | Preterida | Documentação de funções preteridas |