Funções com privilégios mínimos por tarefa no Microsoft Entra ID
Neste artigo, você poderá encontrar as informações necessárias para restringir as permissões de administrador de um usuário, atribuindo funções com privilégios mínimos no Microsoft Entra ID. Você encontrará as tarefas organizadas por área de recurso e a função com menos privilégios necessária para realizar cada uma delas, com funções adicionais de administrador não global que também podem executá-la.
É possível restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para saber mais, consulte Atribuir funções do Microsoft Entra em diferentes escopos ou Criar e atribuir uma função personalizada no Microsoft Entra ID.
Proxy de aplicativo
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Configurar aplicativo proxy do aplicativo | Administrador de Aplicativos | |
Configurar propriedades do grupo de conectores | Administrador de Aplicativos | |
Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários | Desenvolvedor de Aplicativo | Administrador de Aplicativos de Nuvem Administrador de Aplicativos |
Criar grupo de conectores | Administrador de Aplicativos | |
Excluir grupo de conectores | Administrador de Aplicativos | |
Desabilitar proxy de aplicativo | Administrador de Aplicativos | |
Baixar serviço do conector | Administrador de Aplicativos | |
Ler todas as configurações | Administrador de Aplicativos |
Identidades externas/B2C
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Criar diretórios do Azure AD B2C | Todos os usuários não convidados | |
Criar aplicativos B2C | Administrador global | |
Criar aplicativos corporativos | Administrador de Aplicativos de Nuvem | Administrador de Aplicativos |
Criar, ler, atualizar e excluir políticas de B2C | Administrador de Política do IEF B2C | |
Criar, ler, atualizar e excluir provedores de identidade | Administrador do provedor de identidade externa | |
Criar, ler, atualizar e excluir fluxos de usuários de redefinição de senha | Administrador de fluxo do usuário de ID externa | |
Criar, ler, atualizar e excluir fluxos de usuários de edição de perfil | Administrador de fluxo do usuário de ID externa | |
Criar, ler, atualizar e excluir fluxos de usuários de entrada | Administrador de fluxo do usuário de ID externa | |
Criar, ler, atualizar e excluir fluxo de usuários de entrada | Administrador de fluxo do usuário de ID externa | |
Criar, ler, atualizar e excluir atributos de usuário | Administrador de atributo de fluxo do usuário de ID externa | |
Criar, ler, atualizar e excluir usuários | Administrador de usuários | |
Definir configurações de Colaboração B2B externa | Administrador global | |
Ler todas as configurações | Leitor global | |
Ler os logs de auditoria do B2C | Leitor global |
Observação
Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C, não em um diretório do Microsoft Entra.
Identidade visual da empresa
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Configurar identidade visual da empresa | Administrador global | |
Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Propriedades da empresa
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Configurar propriedades da empresa | Administrador global |
Conectar
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Autenticação de passagem | Administrador global | |
Ler todas as configurações | Leitor global | Administrador global |
Logon único contínuo | Administrador global |
Provisionamento em nuvem
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Autenticação de passagem | Administrador de Identidade Híbrida | |
Ler todas as configurações | Leitor global | Administrador de Identidade Híbrida |
Logon único contínuo | Administrador de Identidade Híbrida |
Connect Health
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Adicionar ou excluir serviços | Proprietário | |
Aplicar correções para erro de sincronização | Colaborador | Proprietário |
Configurar notificações | Colaborador | Proprietário |
Definir configurações | Proprietário | |
Configurar notificações de sincronização | Colaborador | Proprietário |
Ler os relatórios de segurança do ADFS | Leitor de segurança | Colaborador Proprietário |
Ler todas as configurações | Leitor | Colaborador Proprietário |
Ler os erros de sincronização | Leitor | Colaborador Proprietário |
Ler os serviços de sincronização | Leitor | Colaborador Proprietário |
Exibir métricas e alertas | Leitor | Colaborador Proprietário |
Exibir métricas e alertas | Leitor | Colaborador Proprietário |
Exibir métricas e alertas do serviço de sincronização | Leitor | Colaborador Proprietário |
Nomes de domínio personalizados
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Gerenciar domínios | Administrador de Nome de Domínio | |
Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Serviços de Domínio
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Criar Microsoft Entra instância do Domain Services | Administrador de Aplicativos Administrador de Grupos Colaborador do Serviço de Domínio |
|
Executar todas as tarefas do Microsoft Entra Domain Services | Grupo de administradores do AAD DC | |
Ler todas as configurações | Leitor na assinatura do Azure que contém o serviço AD DS |
Dispositivos
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Excluir um dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
Desabilitar dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
Habilitar dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
Ler a configuração básica | Função de usuário padrão | |
Ler as chaves do BitLocker | Administrador de dispositivo de nuvem | Administrador de Assistência Técnica Administrador do Intune Administrador de segurança Leitor de segurança |
Aplicativos empresariais
Gerenciamento de direitos
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Adicionar recursos a um catálogo | Administrador de governança de identidade | Com o gerenciamento de direitos, é possível delegar essa tarefa ao proprietário do catálogo |
Adicionar sites do SharePoint Online ao catálogo | Administrador do SharePoint |
Grupos
Identity Protection
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Configurar notificações de alerta | Administrador de segurança | |
Configurar e habilitar ou desabilitar política de MFA | Administrador de segurança | |
Configurar e habilitar ou desabilitar política de risco de entrada | Administrador de segurança | |
Configurar e habilitar ou desabilitar política de risco do usuário | Administrador de segurança | |
Configurar resumos semanais | Administrador de segurança | |
Ignorar todas as detecções de risco | Administrador de segurança | |
Corrigir ou ignorar vulnerabilidade | Administrador de segurança | |
Ler todas as configurações | Leitor de segurança | |
Ler todas as detecções de risco | Leitor de segurança | |
Ler vulnerabilidades | Leitor de segurança |
Licenças
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Atribuir licença | Administrador de Licenças | Administrador de usuários |
Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Revogar licença | Administrador de Licenças | Administrador de usuários |
Experimentar ou comprar uma assinatura | Administrador de cobrança |
Monitoramento - Log de auditoria
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Ler logs de auditoria | Leitor de relatórios | Leitor de segurança Administrador de segurança |
Monitoramento - Entradas
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Ler logs de entrada | Leitor de relatórios | Leitor de segurança Administrador de segurança Leitor global |
Autenticação multifator
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Excluir todas as senhas de aplicativos existentes geradas pelos usuários selecionados | Administrador global | |
Desabilitar a MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
Habilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
Gerenciar configurações do serviço de MFA | Administrador de Política de Autenticação | |
Exigir que os usuários selecionados forneçam métodos de contato novamente | Administrador de autenticação | |
Restaurar a autenticação multifator em todos os dispositivos lembrados | Administrador de autenticação |
Servidor MFA
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Bloquear/desbloquear usuários | Administrador de Política de Autenticação | |
Configurar bloqueio de conta | Administrador de Política de Autenticação | |
Configurar regras de cache | Administrador de Política de Autenticação | |
Configurar alerta de fraude | Administrador de Política de Autenticação | |
Configurar notificações | Administrador de Política de Autenticação | |
Configurar bypass avulso | Administrador de Política de Autenticação | |
Definir configurações de chamada telefônica | Administrador de Política de Autenticação | |
Configurar provedores | Administrador de Política de Autenticação | |
Definir configurações do servidor | Administrador de Política de Autenticação | |
Ler relatório de atividades | Leitor global | |
Ler todas as configurações | Leitor global | |
Ler o status do servidor | Leitor global |
Relações organizacionais
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Gerenciar provedores de identidade | Administrador do provedor de identidade externa | |
Gerenciar configurações | Administrador global | |
Gerenciar a política de privacidade e o contato | Administrador global | |
Ler todas as configurações | Leitor global |
Redefinição de senha
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Configurar métodos de autenticação | Administrador de Política de Autenticação | |
Configurar personalização | Administrador de Política de Autenticação | |
Configurar notificação | Administrador de Política de Autenticação | |
Configurar integração local | Administrador de Política de Autenticação | |
Configurar propriedades de redefinição de senha | Administrador de usuários | Administrador de Política de Autenticação |
Configurar registro | Administrador de Política de Autenticação | |
Ler todas as configurações | Administrador de segurança | Administrador de usuários |
Privileged Identity Management
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Atribuir usuários a funções | Administrador de Função com Privilégios | |
Definir configurações de função | Administrador de Função com Privilégios | |
Exibir atividade de auditoria | Leitor de segurança | |
Exibir associações de função | Leitor de segurança |
Funções e administradores
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Gerenciar atribuições de função | Administrador de Função com Privilégios | |
Revisão de acesso de leitura de uma função de Microsoft Entra | Leitor de segurança | Administrador de segurança Administrador de Função com Privilégios |
Ler todas as configurações | Função de usuário padrão |
Segurança - Métodos de Autenticação
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Configurar métodos de autenticação | Administrador global | |
Configurar a proteção de senha | Administrador de segurança | |
Configurar o bloqueio inteligente | Administrador de segurança | |
Ler todas as configurações | Leitor global |
Segurança - Acesso condicional
Segurança - Pontuação de segurança de identidade
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Ler todas as configurações | Leitor de segurança | Administrador de segurança |
Ler pontuação de segurança | Leitor de segurança | Administrador de segurança |
Atualizar status do evento | Administrador de segurança |
Segurança - Entradas arriscadas
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Ler todas as configurações | Leitor de segurança | |
Ler as entradas arriscadas | Leitor de segurança |
Segurança - Usuários sinalizados para risco
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Descartar todos os eventos | Administrador de segurança | |
Ler todas as configurações | Leitor de segurança | |
Ler usuários sinalizados para risco | Leitor de segurança |
Senha de Acesso Temporária
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Criar, excluir ou ver uma senha de acesso temporária de qualquer usuário (exceto eles mesmos) e pode configurar e gerenciar a política do método de autenticação | Administrador global | |
Criar, excluir ou ver uma senha de acesso temporária de administradores ou membros (exceto eles mesmos) | Administrador de autenticação privilegiada | |
Criar, excluir ou ver uma senha de acesso temporária de membros (exceto eles mesmos) | Administrador de autenticação | |
Ver os detalhes de uma senha de acesso temporária de um usuário (sem ler o próprio código) | Leitor global | |
Configurar ou atualizar a política de método de autenticação da senha de acesso temporária | Administrador de Política de Autenticação |
Criação de locatário
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Crie novos locatários do Microsoft Entra ID ou Azure AD B2C | Criador de Locatários | Administrador global |
Usuários
Tarefa | Função com privilégios mínimos | Funções adicionais |
---|---|---|
Adicionar usuário à função do diretório | Administrador de Função com Privilégios | |
Adicionar usuário ao grupo | Administrador de usuários | |
Atribuir licença | Administrador de Licenças | Administrador de usuários |
Criar um usuário convidado | Emissor do Convite ao Convidado | Administrador de usuários |
Redefinir o convite do usuário convidado | Administrador de usuários | Administrador global |
Criar usuário | Administrador de usuários | |
Excluir usuários | Administrador de usuários | |
Invalidar tokens de atualização de administradores limitados | Administrador de usuários | |
Invalidar tokens de atualização de não administradores | Administrador de Assistência Técnica | Administrador de usuários |
Invalidar tokens de atualização de administradores com privilégios | Administrador de autenticação privilegiada | |
Ler a configuração básica | Função de usuário padrão | |
Redefinir senha de administradores limitados | Administrador de usuários | |
Redefinir senha de não administradores | Administrador de senha | Administrador de usuários |
Redefinir senha de administradores com privilégios | Administrador de autenticação privilegiada | |
Revogar licença | Administrador de Licenças | Administrador de usuários |
Atualizar todas as propriedades, exceto Nome UPN | Administrador de usuários | |
Atualizar o nome UPN de administradores limitados | Administrador de usuários | |
Atualizar a propriedade Nome UPN em administradores com privilégios | Administrador de autenticação privilegiada | |
Atualizar as configurações do usuário – Permissões de função de usuário padrão | Administrador de Função com Privilégios | |
Atualizar as configurações do usuário – Acesso de usuário convidado | Administrador de Função com Privilégios | |
Atualizar métodos de autenticação | Administrador de autenticação | Administrador de autenticação privilegiada Administrador global |