Funções com privilégios mínimos por tarefa no Microsoft Entra ID

Neste artigo, você poderá encontrar as informações necessárias para restringir as permissões de administrador de um usuário, atribuindo funções com privilégios mínimos no Microsoft Entra ID. Você encontrará as tarefas organizadas por área de recurso e a função com menos privilégios necessária para realizar cada uma delas, com funções adicionais de administrador não global que também podem executá-la.

É possível restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para saber mais, consulte Atribuir funções do Microsoft Entra em diferentes escopos ou Criar e atribuir uma função personalizada no Microsoft Entra ID.

Proxy de aplicativo

Tarefa Função com privilégios mínimos Funções adicionais
Configurar aplicativo proxy do aplicativo Administrador de Aplicativos
Configurar propriedades do grupo de conectores Administrador de Aplicativos
Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários Desenvolvedor de Aplicativo Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Criar grupo de conectores Administrador de Aplicativos
Excluir grupo de conectores Administrador de Aplicativos
Desabilitar proxy de aplicativo Administrador de Aplicativos
Baixar serviço do conector Administrador de Aplicativos
Ler todas as configurações Administrador de Aplicativos

Identidades externas/B2C

Tarefa Função com privilégios mínimos Funções adicionais
Criar diretórios do Azure AD B2C Todos os usuários não convidados
Criar aplicativos B2C Administrador global
Criar aplicativos corporativos Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Criar, ler, atualizar e excluir políticas de B2C Administrador de Política do IEF B2C
Criar, ler, atualizar e excluir provedores de identidade Administrador do provedor de identidade externa
Criar, ler, atualizar e excluir fluxos de usuários de redefinição de senha Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir fluxos de usuários de edição de perfil Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir fluxos de usuários de entrada Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir fluxo de usuários de entrada Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir atributos de usuário Administrador de atributo de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir usuários Administrador de usuários
Definir configurações de Colaboração B2B externa Administrador global
Ler todas as configurações Leitor global
Ler os logs de auditoria do B2C Leitor global

Observação

Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C, não em um diretório do Microsoft Entra.

Identidade visual da empresa

Tarefa Função com privilégios mínimos Funções adicionais
Configurar identidade visual da empresa Administrador global
Ler todas as configurações Leitores de Diretório Função de usuário padrão

Propriedades da empresa

Tarefa Função com privilégios mínimos Funções adicionais
Configurar propriedades da empresa Administrador global

Conectar

Tarefa Função com privilégios mínimos Funções adicionais
Autenticação de passagem Administrador global
Ler todas as configurações Leitor global Administrador global
Logon único contínuo Administrador global

Provisionamento em nuvem

Tarefa Função com privilégios mínimos Funções adicionais
Autenticação de passagem Administrador de Identidade Híbrida
Ler todas as configurações Leitor global Administrador de Identidade Híbrida
Logon único contínuo Administrador de Identidade Híbrida

Connect Health

Tarefa Função com privilégios mínimos Funções adicionais
Adicionar ou excluir serviços Proprietário
Aplicar correções para erro de sincronização Colaborador Proprietário
Configurar notificações Colaborador Proprietário
Definir configurações Proprietário
Configurar notificações de sincronização Colaborador Proprietário
Ler os relatórios de segurança do ADFS Leitor de segurança Colaborador
Proprietário
Ler todas as configurações Leitor Colaborador
Proprietário
Ler os erros de sincronização Leitor Colaborador
Proprietário
Ler os serviços de sincronização Leitor Colaborador
Proprietário
Exibir métricas e alertas Leitor Colaborador
Proprietário
Exibir métricas e alertas Leitor Colaborador
Proprietário
Exibir métricas e alertas do serviço de sincronização Leitor Colaborador
Proprietário

Nomes de domínio personalizados

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar domínios Administrador de Nome de Domínio
Ler todas as configurações Leitores de Diretório Função de usuário padrão

Serviços de Domínio

Tarefa Função com privilégios mínimos Funções adicionais
Criar Microsoft Entra instância do Domain Services Administrador de Aplicativos
Administrador de Grupos
Colaborador do Serviço de Domínio
Executar todas as tarefas do Microsoft Entra Domain Services Grupo de administradores do AAD DC
Ler todas as configurações Leitor na assinatura do Azure que contém o serviço AD DS

Dispositivos

Aplicativos empresariais

Tarefa Função com privilégios mínimos Funções adicionais
Consentimento para quaisquer permissões delegadas Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Autorização para permissões de aplicativos que não incluem Microsoft Graph Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Consentimento de permissões de aplicativos para Microsoft Graph Administrador de Função com Privilégios
Consentimento para aplicativos acessando dados próprios Função de usuário padrão
Criar aplicativos empresariais Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Gerenciar proxy de aplicativo Administrador de Aplicativos
Gerenciar configurações de usuário Administrador global
Revisão de acesso de leitura de um grupo ou de um aplicativo Leitor de segurança Administrador de segurança
Administrador de usuários
Ler todas as configurações Função de usuário padrão
Atualizar atribuições de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Administrador de usuários
Atualizar proprietários de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar propriedades de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar provisionamento de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar autoatendimento de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar propriedades de logon único Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Criar e modificar extensões de autenticação personalizadas Administrador de Extensibilidade de Autenticação Administrador de Aplicativos

Gerenciamento de direitos

Tarefa Função com privilégios mínimos Funções adicionais
Adicionar recursos a um catálogo Administrador de governança de identidade Com o gerenciamento de direitos, é possível delegar essa tarefa ao proprietário do catálogo
Adicionar sites do SharePoint Online ao catálogo Administrador do SharePoint

Grupos

Tarefa Função com privilégios mínimos Funções adicionais
Atribuir licença Administrador de usuários
Criar grupo Administrador de Grupos Administrador de usuários
Criar, atualizar ou excluir a revisão de acesso de um grupo ou de um aplicativo Administrador de usuários
Gerenciar expiração de grupo Administrador de usuários
Gerenciar configurações de grupo Administrador de Grupos Administrador de usuários
Ler todas as configurações (exceto associação oculta) Leitores de Diretório Função de usuário padrão
Ler associação oculta Membro do grupo Proprietário do grupo
Administrador de senha
Administrador do Exchange
Administrador do SharePoint
Administrador de equipes
Administrador de usuários
Ler membros de grupos com membros ocultos Administrador de Assistência Técnica Administrador de usuários
Administrador de equipes
Revogar licença Administrador de Licenças Administrador de usuários
Atualizar associação de grupo Proprietário do grupo Administrador de usuários
Atualizar proprietários do grupo Proprietário do grupo Administrador de usuários
Atualizar propriedades do grupo Proprietário do grupo Administrador de usuários
Excluir grupo Administrador de Grupos Administrador de usuários

Identity Protection

Tarefa Função com privilégios mínimos Funções adicionais
Configurar notificações de alerta Administrador de segurança
Configurar e habilitar ou desabilitar política de MFA Administrador de segurança
Configurar e habilitar ou desabilitar política de risco de entrada Administrador de segurança
Configurar e habilitar ou desabilitar política de risco do usuário Administrador de segurança
Configurar resumos semanais Administrador de segurança
Ignorar todas as detecções de risco Administrador de segurança
Corrigir ou ignorar vulnerabilidade Administrador de segurança
Ler todas as configurações Leitor de segurança
Ler todas as detecções de risco Leitor de segurança
Ler vulnerabilidades Leitor de segurança

Licenças

Tarefa Função com privilégios mínimos Funções adicionais
Atribuir licença Administrador de Licenças Administrador de usuários
Ler todas as configurações Leitores de Diretório Função de usuário padrão
Revogar licença Administrador de Licenças Administrador de usuários
Experimentar ou comprar uma assinatura Administrador de cobrança

Monitoramento - Log de auditoria

Tarefa Função com privilégios mínimos Funções adicionais
Ler logs de auditoria Leitor de relatórios Leitor de segurança
Administrador de segurança

Monitoramento - Entradas

Tarefa Função com privilégios mínimos Funções adicionais
Ler logs de entrada Leitor de relatórios Leitor de segurança
Administrador de segurança
Leitor global

Autenticação multifator

Tarefa Função com privilégios mínimos Funções adicionais
Excluir todas as senhas de aplicativos existentes geradas pelos usuários selecionados Administrador global
Desabilitar a MFA por usuário Administrador de autenticação Administrador de autenticação privilegiada
Habilitar MFA por usuário Administrador de autenticação Administrador de autenticação privilegiada
Gerenciar configurações do serviço de MFA Administrador de Política de Autenticação
Exigir que os usuários selecionados forneçam métodos de contato novamente Administrador de autenticação
Restaurar a autenticação multifator em todos os dispositivos lembrados Administrador de autenticação

Servidor MFA

Tarefa Função com privilégios mínimos Funções adicionais
Bloquear/desbloquear usuários Administrador de Política de Autenticação
Configurar bloqueio de conta Administrador de Política de Autenticação
Configurar regras de cache Administrador de Política de Autenticação
Configurar alerta de fraude Administrador de Política de Autenticação
Configurar notificações Administrador de Política de Autenticação
Configurar bypass avulso Administrador de Política de Autenticação
Definir configurações de chamada telefônica Administrador de Política de Autenticação
Configurar provedores Administrador de Política de Autenticação
Definir configurações do servidor Administrador de Política de Autenticação
Ler relatório de atividades Leitor global
Ler todas as configurações Leitor global
Ler o status do servidor Leitor global

Relações organizacionais

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar provedores de identidade Administrador do provedor de identidade externa
Gerenciar configurações Administrador global
Gerenciar a política de privacidade e o contato Administrador global
Ler todas as configurações Leitor global

Redefinição de senha

Tarefa Função com privilégios mínimos Funções adicionais
Configurar métodos de autenticação Administrador de Política de Autenticação
Configurar personalização Administrador de Política de Autenticação
Configurar notificação Administrador de Política de Autenticação
Configurar integração local Administrador de Política de Autenticação
Configurar propriedades de redefinição de senha Administrador de usuários Administrador de Política de Autenticação
Configurar registro Administrador de Política de Autenticação
Ler todas as configurações Administrador de segurança Administrador de usuários

Privileged Identity Management

Tarefa Função com privilégios mínimos Funções adicionais
Atribuir usuários a funções Administrador de Função com Privilégios
Definir configurações de função Administrador de Função com Privilégios
Exibir atividade de auditoria Leitor de segurança
Exibir associações de função Leitor de segurança

Funções e administradores

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar atribuições de função Administrador de Função com Privilégios
Revisão de acesso de leitura de uma função de Microsoft Entra Leitor de segurança Administrador de segurança
Administrador de Função com Privilégios
Ler todas as configurações Função de usuário padrão

Segurança - Métodos de Autenticação

Tarefa Função com privilégios mínimos Funções adicionais
Configurar métodos de autenticação Administrador global
Configurar a proteção de senha Administrador de segurança
Configurar o bloqueio inteligente Administrador de segurança
Ler todas as configurações Leitor global

Segurança - Acesso condicional

Segurança - Pontuação de segurança de identidade

Tarefa Função com privilégios mínimos Funções adicionais
Ler todas as configurações Leitor de segurança Administrador de segurança
Ler pontuação de segurança Leitor de segurança Administrador de segurança
Atualizar status do evento Administrador de segurança

Segurança - Entradas arriscadas

Tarefa Função com privilégios mínimos Funções adicionais
Ler todas as configurações Leitor de segurança
Ler as entradas arriscadas Leitor de segurança

Segurança - Usuários sinalizados para risco

Tarefa Função com privilégios mínimos Funções adicionais
Descartar todos os eventos Administrador de segurança
Ler todas as configurações Leitor de segurança
Ler usuários sinalizados para risco Leitor de segurança

Senha de Acesso Temporária

Tarefa Função com privilégios mínimos Funções adicionais
Criar, excluir ou ver uma senha de acesso temporária de qualquer usuário (exceto eles mesmos) e pode configurar e gerenciar a política do método de autenticação Administrador global
Criar, excluir ou ver uma senha de acesso temporária de administradores ou membros (exceto eles mesmos) Administrador de autenticação privilegiada
Criar, excluir ou ver uma senha de acesso temporária de membros (exceto eles mesmos) Administrador de autenticação
Ver os detalhes de uma senha de acesso temporária de um usuário (sem ler o próprio código) Leitor global
Configurar ou atualizar a política de método de autenticação da senha de acesso temporária Administrador de Política de Autenticação

Criação de locatário

Tarefa Função com privilégios mínimos Funções adicionais
Crie novos locatários do Microsoft Entra ID ou Azure AD B2C Criador de Locatários Administrador global

Usuários

Tarefa Função com privilégios mínimos Funções adicionais
Adicionar usuário à função do diretório Administrador de Função com Privilégios
Adicionar usuário ao grupo Administrador de usuários
Atribuir licença Administrador de Licenças Administrador de usuários
Criar um usuário convidado Emissor do Convite ao Convidado Administrador de usuários
Redefinir o convite do usuário convidado Administrador de usuários Administrador global
Criar usuário Administrador de usuários
Excluir usuários Administrador de usuários
Invalidar tokens de atualização de administradores limitados Administrador de usuários
Invalidar tokens de atualização de não administradores Administrador de Assistência Técnica Administrador de usuários
Invalidar tokens de atualização de administradores com privilégios Administrador de autenticação privilegiada
Ler a configuração básica Função de usuário padrão
Redefinir senha de administradores limitados Administrador de usuários
Redefinir senha de não administradores Administrador de senha Administrador de usuários
Redefinir senha de administradores com privilégios Administrador de autenticação privilegiada
Revogar licença Administrador de Licenças Administrador de usuários
Atualizar todas as propriedades, exceto Nome UPN Administrador de usuários
Atualizar o nome UPN de administradores limitados Administrador de usuários
Atualizar a propriedade Nome UPN em administradores com privilégios Administrador de autenticação privilegiada
Atualizar as configurações do usuário – Permissões de função de usuário padrão Administrador de Função com Privilégios
Atualizar as configurações do usuário – Acesso de usuário convidado Administrador de Função com Privilégios
Atualizar métodos de autenticação Administrador de autenticação Administrador de autenticação privilegiada
Administrador global

Suporte

Próximas etapas