Atribuir funções do Microsoft Entra em escopos diferentes
No Microsoft Entra ID, você normalmente atribui Microsoft Entra funções para que elas se apliquem a todo o locatário. No entanto, você também pode atribuir funções do Microsoft Entra para diferentes recursos, como unidades administrativas ou registros de aplicativo. Por exemplo, você pode atribuir a função de administrador de assistência técnica para que ela se aplique apenas a uma determinada unidade administrativa e não a todo o locatário. Os recursos aos quais uma atribuição de função se aplica também são chamados de escopo. Este artigo descreve como atribuir funções do Microsoft Entra no locatário, na unidade administrativa e nos escopos de registro de aplicativo. Para obter mais informações sobre o escopo, confira Visão geral do RBAC (controle de acesso baseado em função) no Microsoft Entra ID.
Pré-requisitos
- Administrador de funções com privilégios ou Administrador global.
- SDK do PowerShell do Microsoft Graph instalado ao usar o PowerShell.
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph.
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Atribuir funções com escopo ao locatário
Esta seção descreve como atribuir funções no escopo do locatário.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Funções e administradores.
Selecione uma função para ver suas atribuições. Para ajudar você a encontrar a função necessária, use Adicionar filtros para filtrar as funções.
Selecione Adicionar atribuições e, em seguida, selecione os usuários que você deseja atribuir a essa função.
Selecione Adicionar para atribuir a função.
PowerShell
Siga estas etapas para atribuir funções do Microsoft Entra usando o PowerShell.
Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o PowerShell do Microsoft Graph. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Install-Module Microsoft.Graph -Scope CurrentUserEm uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.
Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Use Get-MgUser para obter o usuário.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"Defina o locatário como escopo da atribuição de função.
$directoryScope = '/'Use New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
API do Microsoft Graph
Siga estas instruções para atribuir uma função usando a API do Microsoft Graph no Explorador do Graph.
Entre no Explorador do Graph.
Use a API Listar usuários para obter o usuário.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Use a API Listar roleDefinitions para obter a função que deseja atribuir.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'Use a API Criar unifiedRoleAssignment para atribuir a função.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/" }
Atribuir funções com escopo a uma unidade administrativa
Esta seção descreve como atribuir funções em um escopo de unidade administrativa.
Centro de administração do Microsoft Entra
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione uma unidade administrativa.
Selecione Funções e administradores no menu de navegação à esquerda para ver a lista de todas as funções disponíveis a serem atribuídas em uma unidade administrativa.
Selecione uma função desejada.
Selecione Adicionar atribuições e, em seguida, selecione os usuários aos quais você deseja atribuir essa função.
Selecione Adicionar para atribuir a função com escopo na unidade administrativa.
Observação
Você não verá a lista completa de funções internas ou personalizadas do Microsoft Entra aqui. Isso é esperado. Mostramos as funções que têm permissões relacionadas aos objetos que têm suporte na unidade administrativa. Para ver a lista de objetos com suporte em uma unidade administrativa, confira Unidades administrativas no Microsoft Entra ID.
PowerShell
Siga estas etapas para atribuir funções do Microsoft Entra no escopo da unidade administrativa usando o PowerShell.
Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o PowerShell do Microsoft Graph. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Install-Module Microsoft.Graph -Scope CurrentUserEm uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.
Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Use Get-MgUser para obter o usuário.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'User Administrator'"Use Get-MgDirectoryAdministrativeUnit para obter a unidade administrativa à qual você deseja definir o escopo da atribuição de função.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'" $directoryScope = '/administrativeUnits/' + $adminUnit.IdUse New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
API do Microsoft Graph
Siga estas instruções para atribuir uma função no escopo da unidade administrativa usando a API do Microsoft Graph no Explorador do Graph.
Entre no Explorador do Graph.
Use a API Listar usuários para obter o usuário.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Use a API Listar roleDefinitions para obter a função que deseja atribuir.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'Use a API List administrativeUnits para obter a unidade administrativa à qual você deseja definir o escopo da atribuição de função.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'Use a API Criar unifiedRoleAssignment para atribuir a função.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>" }
Observação
Aqui, directoryScopeId é especificado como /administrativeUnits/foo, em vez de /foo. Isso é proposital. O escopo /administrativeUnits/foo significa que a entidade de segurança pode gerenciar os membros da unidade administrativa (com base na função atribuída), não a própria unidade administrativa. O escopo de /foo significa que a entidade de entidade pode gerenciar esse objeto do Microsoft Entra em si. Na seção subsequente, você verá que o escopo é /foo porque uma função com escopo em um registro de aplicativo concede o privilégio para gerenciar o objeto em si.
Atribuir funções com escopo para um registro de aplicativo
Esta seção descreve como atribuir funções em um escopo de registro de aplicativo.
Centro de administração do Microsoft Entra
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Aplicativos>Registros de aplicativo.
Selecione um aplicativo. Você pode usar a caixa de pesquisa para localizar o aplicativo desejado.
Selecione Funções e administradores no menu de navegação à esquerda para ver a lista de todas as funções disponíveis a serem atribuídas em um registro de aplicativo.
Selecione uma função desejada.
Selecione Adicionar atribuições e, em seguida, selecione os usuários aos quais você deseja atribuir essa função.
Selecione Adicionar para atribuir a função com escopo no registro de aplicativo.
Observação
Você não verá a lista completa de funções internas ou personalizadas do Microsoft Entra aqui. Isso é esperado. Mostramos as funções que têm permissões relacionadas somente ao gerenciamento de registros de aplicativo.
PowerShell
Siga estas etapas para atribuir funções do Microsoft Entra no escopo do aplicativo usando o PowerShell.
Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o PowerShell do Microsoft Graph. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Install-Module Microsoft.Graph -Scope CurrentUserEm uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.
Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Use Get-MgUser para obter o usuário.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'Application Administrator'"Use Get-MgApplication para obter o registro de aplicativo que você deseja definir como escopo da atribuição de função.
$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'" $directoryScope = '/' + $appRegistration.IdUse New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
API do Microsoft Graph
Siga estas instruções para atribuir uma função no escopo do aplicativo usando a API do Microsoft Graph no Explorador do Graph.
Entre no Explorador do Graph.
Use a API Listar usuários para obter o usuário.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Use a API Listar roleDefinitions para obter a função que deseja atribuir.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'Use a API Listar aplicativos para obter a unidade administrativa à qual você deseja definir o escopo da atribuição de função.
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'Use a API Criar unifiedRoleAssignment para atribuir a função.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/<provide objectId of the app registration obtained above>" }
Observação
Aqui directoryScopeId é especificado como /foo, ao contrário da seção acima. Isso é proposital. O escopo de /foo significa que a entidade de entidade pode gerenciar esse objeto do Microsoft Entra. O escopo /administrativeUnits/foo significa que a entidade de segurança pode gerenciar os membros da unidade administrativa (com base na função atribuída), não a própria unidade administrativa.