Quais são as permissões de usuário padrão na ID de Microsoft Entra?

Em Microsoft Entra ID, todos os usuários recebem um conjunto de permissões padrão. Um acesso do usuário é composto por tipo de usuário, suas atribuições de função e sua posse de objetos individuais.

Este artigo descreve as permissões padrão e compara os padrões do usuário membro e convidado. As permissões de usuário padrão podem ser alteradas somente nas configurações de usuário no Microsoft Entra ID.

Usuários membro e convidado

O conjunto de permissões padrão depende de se o usuário é um membro nativo do locatário (usuário membro) ou se o usuário é trazido de outro diretório como um convidado de colaboração entre empresas (B2B) (usuário convidado). Para obter mais informações sobre como adicionar usuários convidados, veja O que é colaboração B2B do Microsoft Entra?. Aqui estão os recursos das permissões padrão:

• Usuários membros podem registrar aplicativos, gerenciar seu próprio número de celular e foto de perfil, alterar sua senha e convidar pessoas B2B. Esses usuários também podem ler todas as informações de diretório (com algumas poucas exceções).

• Usuários convidados têm permissões de diretório restritas. Eles podem gerenciar o próprio perfil, alterar a própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações de diretório.

  Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários, grupos e outros objetos do diretório. Convidados podem ser adicionados a funções de administrador, o que lhes concedem permissões totais de leitura e gravação. Os convidados também podem convidar outras pessoas.

Comparar permissões padrão de membro e convidado

Área	Permissões de usuário membro	Permissões padrão do usuário convidado	Permissões restritas do usuário convidado
Usuários e contatos	Enumerar a lista de todos os usuários e contatos Ler todas as propriedades públicas de usuários e contatos Convidar pessoas Alterar a própria senha Gerenciar o próprio número de celular Gerenciar a própria foto Invalidar os próprios tokens de atualização	Ler as próprias propriedades Ler nome de exibição, email, nome de entrada, foto, nome principal de usuário e propriedades de tipo de usuário de outros usuários e contatos Alterar a própria senha Pesquisar outro usuário por ID de objeto (se permitido) Gerenciador de leitura e informações de subordinados direto de outros usuários	Ler as próprias propriedades Alterar a própria senha Gerenciar o próprio número de celular
Grupos	Criar grupos de segurança Criar os grupos do Microsoft 365 Enumerar a lista de todos os grupos Ler todas as propriedades de grupos Ler associações de grupos não ocultos Ler associações de grupo oculto do Microsoft 365 para grupos associados Gerenciar propriedades, posse e associação de grupos pertencentes ao usuário Adicionar convidados a grupos próprios Gerenciar configurações de associação dinâmica Excluir grupos próprios Restaurar grupos próprios do Microsoft 365	Ler propriedades de grupos não ocultos, incluindo associação e propriedade (até mesmo grupos não associados) Ler associações de grupo oculto do Microsoft 365 para grupos associados Pesquisar grupos por nome de exibição ou ID de objeto (se permitido)	Ler ID de objeto dos grupos unidos Ler associação e propriedade de grupos unidos em alguns aplicativos Microsoft 365 (se permitido)
Aplicativos	Registrar (criar) novos aplicativos Enumerar a lista de todos os aplicativos Ler propriedades de aplicativos registrados e corporativos Gerenciar propriedades do aplicativo, atribuições e credenciais para aplicativos próprios Criar ou excluir senhas de aplicativo dos usuários Excluir aplicativos próprios Restaurar aplicativos próprios Listar as permissões concedidas a aplicativos	Ler propriedades de aplicativos registrados e corporativos Listar as permissões concedidas a aplicativos	Ler propriedades de aplicativos registrados e corporativos Listar as permissões concedidas a aplicativos
Dispositivos	Enumerar a lista de todos os dispositivos Ler todas as propriedades de dispositivos Gerenciar todas as propriedades de dispositivos próprios	Nenhuma permissão	Nenhuma permissão
Organização	Ler todas as informações da empresa Ler todos os domínios Ler a configuração da autenticação baseada em certificado Ler todos os contratos de parceiro Leia os detalhes básicos e os locatários ativos da organização multilocatário	Ler nome de exibição da empresa Ler todos os domínios Ler a configuração da autenticação baseada em certificado	Ler nome de exibição da empresa Ler todos os domínios
Funções e escopos	Ler todas as funções e associações administrativas Ler todas as propriedades e associação de unidades administrativas	Nenhuma permissão	Nenhuma permissão
Assinaturas	Ler todas as assinaturas de licenças Habilitar associações de plano de serviço	Nenhuma permissão	Nenhuma permissão
Políticas	Ler todas as propriedades de políticas Gerenciar todas as propriedades de políticas próprias	Nenhuma permissão	Nenhuma permissão

Restringir permissões padrão de usuários membros

É possível adicionar restrições às permissões padrão dos usuários.

Você pode restringir as permissões padrão para usuários membro das seguintes maneiras:

Cuidado

O uso da opção Restringir o acesso ao portal de administração do Microsoft EntraNÃO é uma medida de segurança. Para obter mais informações sobre a funcionalidade, confira a tabela abaixo.

Permissão	Configurar explicação
Registrar aplicativos	Definir essa opção como Não impede que os usuários criem registros de aplicativos. Você pode conceder a capacidade de volta a indivíduos específicos adicionando-os à função de desenvolvedor de aplicativos.
Permitir que os usuários conectem a conta corporativa ou de estudante ao LinkedIn	Definir essa opção como Não impede que os usuários conectem sua conta corporativa ou de estudante com sua conta do LinkedIn. Para saber mais, veja Consentimento e compartilhamento de dados das conexões da conta do LinkedIn.
Criar grupos de segurança	Definir essa opção como Não impede que os usuários criem grupos de segurança. Administradores Globais e Administradores de Usuários ainda podem criar grupos de segurança. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo.
Criar os grupos do Microsoft 365	Definir essa opção como Não impede que os usuários criem grupos no Microsoft 365. Definir essa opção como Alguns permite que um conjunto de usuários crie grupos do Microsoft 365. Administradores Globais e Administradores de Usuários ainda podem criar grupos do Microsoft 365. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo.
Restringir o acesso ao portal de administração do Microsoft Entra	O que essa opção faz? Não permite que não administradores naveguem pelo portal de administração do Microsoft Entra. Sim Restringe os não administradores de navegar no portal de administração do Microsoft Entra. Não administradores proprietários de grupos ou aplicativos não podem usar o portal do Azure para gerenciar seus próprios recursos. O que ela não faz? Não restringe o acesso aos dados do Microsoft Entra usando o PowerShell, o Microsoft GraphAPI ou outros clientes, como o Visual Studio. Não restringe o acesso desde que um usuário esteja atribuído a uma função personalizada (ou qualquer função). Quando devo usar essa opção? Use essa opção para impedir que os usuários configurem incorretamente os recursos que possuem. Quando não devo usar essa opção? Não use essa opção como medida de segurança. Em vez disso, crie uma política de acesso condicional direcionada ao gerenciamento do Windows Azure que bloqueie o acesso de não administradores à API de Gerenciamento de Serviços do Windows Azure. Como conceder somente a usuários não administradores específicos a capacidade de usar o portal de administração do Microsoft Entra? Defina essa opção como Sim e, em seguida, atribua-lhes uma função como leitor global. Restringir o acesso ao portal de administração do Microsoft Entra Uma política de acesso condicional direcionada à API de Gerenciamento do Microsoft Azure tem como objetivo o acesso a todo o gerenciamento do Azure.
Restringir a criação de locatários por usuários não administradores	Os usuários podem criar locatários no Microsoft Entra ID e no portal de administração do Microsoft Entra em Gerenciar locatário. A criação de um locatário é registrada no log de auditoria como categoria DirectoryManagement e atividade Criar Empresa. Qualquer pessoa que crie um locatário se torna o administrador global dele. O locatário recém-criado não herda nenhuma configuração ou configuração. O que essa opção faz? Definir essa opção como Sim restringe a criação de Microsoft Entra locatários para as funções de Administrador Global ou criador de locatários. Definir essa opção como Não permite que usuários não administradores criem Microsoft Entra locatários. A criação do locatário continuará a ser registrada no log de auditoria. Como conceder somente a usuários não administradores específicos a capacidade de criar novos locatários? Defina essa opção como Sim e, depois, atribua a ela a função de criador de locatário.
Impedir que usuários recuperem as chaves do BitLocker dos próprios dispositivos	Essa configuração pode ser encontrada no Centro de administração do Microsoft Entra nas configurações do dispositivo. A definição dessa opção como Sim impede os usuários de recuperar por autoatendimento as chaves do BitLocker para dispositivos próprios. Os usuários precisarão entrar em contato com a assistência técnica da organização para recuperar as chaves do BitLocker. A definição dessa opção como Não permite que os usuários recuperem as chaves do BitLocker.
Ler outros usuários	Essa configuração está disponível somente no Microsoft Graph e no PowerShell. Definir esse sinalizador como $false impede que todos os não são administradores leiam informações de usuário no diretório. Esse sinalizador não impede a leitura de informações de usuário em outros serviços da Microsoft, como o Exchange Online. Essa configuração destina-se a circunstâncias especiais, portanto, não é recomendável definir o sinalizador como $false.

A opção Restringir usuários não administradores da criação de locatários é mostrada abaixo

Restringir permissões padrão de usuários convidados

Você pode restringir as permissões padrão para usuários convidados das seguintes maneiras.

Observação

A configuração Restrições de acesso de usuários convidados substituiu a configuração As permissões de usuários convidados são limitadas. Para obter orientação sobre como usar esse recurso, veja Restringir permissões de acesso de convidado no Microsoft Entra ID.

Permissão	Configurar explicação
Restrições de acesso de usuários convidados	Definir dessa opção como Os usuários convidados têm o mesmo acesso que os membros concede a permissão de todos os usuários membros para usuários convidados como padrão. Definir essa opção como Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidado apenas a seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo ao pesquisar por nome principal do usuário, ID de objeto ou nome de exibição. O acesso a informações de grupos, incluindo associações de grupos, também não é mais permitido. Essa configuração não impede o acesso a grupos unidos em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, veja Acesso de convidado ao Microsoft Teams. Os usuários convidados ainda podem ter funções de administrador, independentemente dessa configuração de permissão.
Convidados podem convidar	Definir essa opção como Sim permite que os convidados convidem outros convidados. Para saber mais, confira Definir configurações de colaboração externa.

Propriedade do objeto

Permissões de proprietário de registro de aplicativo

Quando um usuário registra um aplicativo, ele é automaticamente adicionado como um proprietário do aplicativo. Como proprietário, ele pode gerenciar os metadados do aplicativo, como o nome e as permissões que o aplicativo solicita. Eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de logon único (SSO) e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Diferentemente dos Administradores Globais, os proprietários podem gerenciar apenas os aplicativos pertencentes a eles.

Permissões do proprietário do aplicativo empresarial

Quando um usuário adiciona um novo aplicativo empresarial, ele é adicionado automaticamente como um proprietário. Como proprietário, eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de SSO, provisionamento e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Diferentemente dos Administradores Globais, os proprietários podem gerenciar apenas os aplicativos pertencentes a eles.

Permissões de proprietário do grupo

Quando um usuário cria um grupo, ele é automaticamente adicionado como um proprietário desse grupo. Como proprietário, eles podem gerenciar as propriedades do grupo, como o nome, bem como gerenciar a associação ao grupo.

Um proprietário também pode adicionar ou remover outros proprietários. Diferentemente dos Administradores Globais e Administradores de Usuários, os proprietários podem gerenciar apenas os grupos pertencentes a eles.

Para atribuir um proprietário do grupo, consulte Gerenciando proprietários para um grupo.

Permissões de propriedade

As tabelas a seguir descrevem as permissões específicas que os usuários membros têm sobre objetos de sua propriedade no Microsoft Entra ID. Os usuários têm essas permissões somente em objetos que possuem.

Registros de aplicativo de sua propriedade

Os usuários podem executar as seguintes ações em registros de aplicativo de sua propriedade:

Ação	Descrição
microsoft.directory/applications/audience/update	Atualize a applications.audience propriedade em Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Atualize a applications.authentication propriedade em Microsoft Entra ID.
microsoft.directory/applications/basic/update	Atualize as propriedades básicas em aplicativos em Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Atualize a applications.credentials propriedade em Microsoft Entra ID.
microsoft.directory/applications/delete	Excluir aplicativos em Microsoft Entra ID.
microsoft.directory/applications/owners/update	Atualize a applications.owners propriedade em Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Atualize a applications.permissions propriedade em Microsoft Entra ID.
microsoft.directory/applications/policies/update	Atualize a applications.policies propriedade em Microsoft Entra ID.
microsoft.directory/applications/restore	Restaurar aplicativos em Microsoft Entra ID.

Aplicativos empresariais de sua propriedade

Os usuários podem executar as seguintes ações em aplicativos empresariais de sua propriedade. Um aplicativo empresarial consiste em uma entidade de serviço, uma ou mais políticas de aplicativo e, às vezes, um objeto de aplicativo no mesmo locatário que a entidade de serviço.

Ação	Descrição
microsoft.directory/auditLogs/allProperties/read	Ler todas as propriedades (incluindo as propriedades privilegiadas) nos logs de auditoria no Microsoft Entra ID.
microsoft.directory/policies/basic/update	Atualize as propriedades básicas em políticas em Microsoft Entra ID.
microsoft.directory/policies/delete	Excluir políticas no Microsoft Entra ID.
microsoft.directory/policies/owners/update	Atualize a policies.owners propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Atualize a servicePrincipals.appRoleAssignedTo propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Atualize a users.appRoleAssignments propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Atualize a servicePrincipals.audience propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Atualize a servicePrincipals.authentication propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Atualize as propriedades básicas em entidades de serviço no Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Atualize a servicePrincipals.credentials propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Excluir entidades de serviço em Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update	Atualize a servicePrincipals.owners propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Atualize a servicePrincipals.permissions propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Atualize a servicePrincipals.policies propriedade em Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Ler todas as propriedades (incluindo as propriedades privilegiadas) nos relatórios de entrada no Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronization/standard/read	Ler as configurações de provisionamento associadas à entidade de serviço

Dispositivos de sua propriedade

Os usuários podem executar as seguintes ações em dispositivos de sua propriedade:

Ação	Descrição
microsoft.directory/devices/bitLockerRecoveryKeys/read	Leia a devices.bitLockerRecoveryKeys propriedade em Microsoft Entra ID.
microsoft.directory/devices/disable	Desabilitar dispositivos no ID Microsoft Entra ID.

Grupos de sua propriedade

Os usuários podem executar as seguintes ações em grupos de sua propriedade.

Observação

Os proprietários de grupos dinâmicos devem ter uma função de Administrador Global, Administrador de Grupo, Administrador do Intune ou Administrador de Usuários para editar regras de associação de grupo. Para obter mais informações, confira Criar ou atualizar um grupo dinâmico no Microsoft Entra ID.

Ação	Descrição
microsoft.directory/groups/appRoleAssignments/update	Atualize a groups.appRoleAssignments propriedade em Microsoft Entra ID.
microsoft.directory/groups/basic/update	Atualize as propriedades básicas em grupos em Microsoft Entra ID.
microsoft.directory/groups/delete	Excluir grupos em Microsoft Entra ID.
microsoft.directory/groups/members/update	Atualize a groups.members propriedade em Microsoft Entra ID.
microsoft.directory/groups/owners/update	Atualize a groups.owners propriedade em Microsoft Entra ID.
microsoft.directory/groups/restore	Restaurar grupos em Microsoft Entra ID.
microsoft.directory/groups/settings/update	Atualize a groups.settings propriedade em Microsoft Entra ID.

Próximas etapas

• Para saber mais sobre a configuração Restrições de acesso do usuário de convidados, confira Restringir permissões de acesso de convidado no Microsoft Entra ID.
• Para saber mais sobre como atribuir funções de administrador do Microsoft Entra consulte Atribuir um usuário a funções de administrador no Microsoft Entra ID.
• Para saber mais sobre como o acesso aos recursos é controlado no Microsoft Azure, consulte Noções básicas sobre o acesso aos recursos do Azure.
• Para saber mais sobre como o Microsoft Entra está relacionado à sua assinatura do Azure, consulte Como as assinaturas do Azure estão associadas ao Microsoft Entra ID.
• Gerencie usuários.