Compartilhar via


Funções com privilégios mínimos por tarefa no Microsoft Entra ID

Neste artigo, você encontrará as informações necessárias para restringir as permissões de administrador de um usuário, atribuindo funções com privilégios mínimos no Microsoft Entra ID. Você encontrará as tarefas organizadas por área de recurso e a função com menos privilégios necessária para realizar cada uma delas, com funções adicionais de administrador não global que também podem executá-la.

É possível restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para saber mais, veja Atribuir funções do Microsoft Entra em diferentes escopos ou Criar e atribuir uma função personalizada no Microsoft Entra ID.

Proxy de aplicativo

Tarefa Função com privilégios mínimos Funções adicionais
Configurar aplicativo proxy do aplicativo Administrador de Aplicativos
Configurar propriedades do grupo de conectores Administrador de Aplicativos
Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários Desenvolvedor de Aplicativos Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Criar grupo de conectores Administrador de Aplicativos
Excluir grupo de conectores Administrador de Aplicativos
Desabilitar proxy de aplicativo Administrador de Aplicativos
Baixar serviço do conector Administrador de Aplicativos
Ler todas as configurações Administrador de Aplicativos

Identidades externas/B2C

Tarefa Função com privilégios mínimos Funções adicionais
Criar diretórios do Azure AD B2C Todos os usuários não convidados
Criar aplicativos corporativos Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Criar, ler, atualizar e excluir políticas de B2C Administrador de Política do IEF B2C
Criar, ler, atualizar e excluir provedores de identidade Administrador do provedor de identidade externa
Criar, ler, atualizar e excluir fluxos de usuários de redefinição de senha Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir fluxos de usuários de edição de perfil Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir fluxos de usuários de entrada Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir fluxo de usuários de entrada Administrador de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir atributos de usuário Administrador de atributo de fluxo do usuário de ID externa
Criar, ler, atualizar e excluir usuários Administrador de Usuários
Definir configurações de colaboração externa B2B – Acesso de usuário convidado Administrador de Função com Privilégios
Definir configurações de colaboração externa B2B – Configurações de convite para convidados Emissor de convites independente Administrador de fluxo do usuário de ID externa
Definir configurações de colaboração externa B2B – Configurações de saída do usuário externo Administrador do provedor de identidade externa
Definir configurações de colaboração externa B2B – Restrições de colaboração Administrador Global
Ler todas as configurações Leitor global
Ler os logs de auditoria do B2C Leitor global

Anotação

Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C, não em um diretório do Microsoft Entra.

Identidade visual da empresa

Tarefa Função com privilégios mínimos Funções adicionais
Configurar identidade visual da empresa Administrador de Identidade Visual Organizacional
Ler todas as configurações Leitores de Diretório Função de usuário padrão

Conectar

Tarefa Função com privilégios mínimos Funções adicionais
Autenticação de passagem Administrador de Identidade Híbrida
Ler todas as configurações Leitor global Administrador de Identidade Híbrida
Logon único contínuo Administrador de Identidade Híbrida

Connect Sync

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar a sincronização de diretório no local Administrador de Identidade Híbrida

Provisionamento em nuvem

Tarefa Função com privilégios mínimos Funções adicionais
Autenticação de passagem Administrador de Identidade Híbrida
Ler todas as configurações Leitor global Administrador de Identidade Híbrida
Logon único contínuo Administrador de Identidade Híbrida

Connect Health

Tarefa Função com privilégios mínimos Funções adicionais
Adicionar ou excluir serviços Proprietário
Aplicar correções para erro de sincronização Contribuidor Proprietário
Configurar notificações Contribuidor Proprietário
Definir configurações Proprietário
Configurar notificações de sincronização Contribuidor Proprietário
Ler os relatórios de segurança do ADFS Leitor de Segurança Contribuidor
Proprietário
Ler todas as configurações Leitor Contribuidor
Proprietário
Ler os erros de sincronização Leitor Contribuidor
Proprietário
Ler os serviços de sincronização Leitor Contribuidor
Proprietário
Exibir métricas e alertas Leitor Contribuidor
Proprietário
Exibir métricas e alertas Leitor Contribuidor
Proprietário
Exibir métricas e alertas do serviço de sincronização Leitor Contribuidor
Proprietário

Nomes de domínio personalizados

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar domínios Administrador de Nome de Domínio
Ler todas as configurações Leitores de Diretório Função de usuário padrão

Serviços de Domínio

Tarefa Função com privilégios mínimos Funções adicionais
Criar Microsoft Entra instância do Domain Services Administrador de Aplicativos
Administrador de Grupos
Contribuidor do Serviço de Domínio
Executar todas as tarefas do Microsoft Entra Domain Services Grupo de administradores do AAD DC
Ler todas as configurações Leitor na assinatura do Azure que contém o serviço AD DS

Dispositivos

Aplicativos empresariais

Tarefa Função com privilégios mínimos Funções adicionais
Consentimento para quaisquer permissões delegadas Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Autorização para permissões de aplicativos que não incluem Microsoft Graph Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Consentimento de permissões de aplicativos para Microsoft Graph Administrador de Função com Privilégios
Consentimento para aplicativos acessando dados próprios Função de usuário padrão
Criar aplicativos empresariais Administrador de Aplicativos de Nuvem Administrador de Aplicativos
Gerenciar proxy de aplicativo Administrador de Aplicativos
Revisão de acesso de leitura de um grupo ou de um aplicativo Leitor de Segurança Administrador da Segurança
Administrador de Usuários
Ler todas as configurações Função de usuário padrão
Atualizar atribuições de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Administrador de Usuários
Atualizar proprietários de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar propriedades de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar provisionamento de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar autoatendimento de aplicativos empresariais Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Atualizar propriedades de logon único Proprietário do aplicativo empresarial Administrador de Aplicativos de Nuvem
Administrador de Aplicativos
Criar e modificar extensões de autenticação personalizadas Administrador de Extensibilidade de Autenticação Administrador de Aplicativos

Gerenciamento de direitos

Tarefa Função com privilégios mínimos Funções adicionais
Adicionar recursos a um catálogo Administrador de Governança de Identidade‭ Com o gerenciamento de direitos, é possível delegar essa tarefa ao proprietário do catálogo
Adicionar sites do SharePoint Online ao catálogo Administrador do SharePoint

Grupos

Tarefa Função com privilégios mínimos Funções adicionais
Atribuir licença Administrador de Usuários
Criar Grupo Administrador de Grupos Administrador de Usuários
Criar, atualizar ou excluir a revisão de acesso de um grupo ou de um aplicativo Administrador de Usuários
Gerenciar expiração de grupo Administrador de Usuários
Gerenciar configurações de grupo Administrador de Grupos Administrador de Usuários
Ler todas as configurações (exceto associação oculta) Leitores de Diretório Função de usuário padrão
Ler associação oculta Membro do grupo Proprietário do grupo
Administrador de Senhas
Administrador do Exchange
Administrador do SharePoint
Administrador do Teams
Administrador de Usuários
Ler membros de grupos com membros ocultos Administrador da assistência técnica Administrador de Usuários
Administrador do Teams
Revogar licença Administrador de Licenças Administrador de Usuários
Atualizar grupos de associação dinâmica Proprietário do grupo Administrador de Usuários
Atualizar proprietários do grupo Proprietário do grupo Administrador de Usuários
Atualizar propriedades do grupo Proprietário do grupo Administrador de Usuários
Excluir grupo Administrador de Grupos Administrador de Usuários

Licenças

Tarefa Função com privilégios mínimos Funções adicionais
Atribuir licença Administrador de Licenças Administrador de Usuários
Ler todas as configurações Leitores de Diretório Função de usuário padrão
Revogar licença Administrador de Licenças Administrador de Usuários
Experimentar ou comprar uma assinatura Administrador de Cobrança

Microsoft Entra Health

Tarefa Função com privilégios mínimos Funções adicionais
Exibir sinais de monitoramento de cenário Leitor de relatórios Leitor de Segurança
Operador de Segurança
Administrador da Segurança
Administrador da assistência técnica
Leitor global

Microsoft Entra ID Protection

Tarefa Função com privilégios mínimos Funções adicionais
Configurar notificações de alerta Administrador da Segurança
Configurar e habilitar ou desabilitar política de MFA Administrador da Segurança
Configurar e habilitar ou desabilitar política de risco de entrada Administrador da Segurança
Configurar e habilitar ou desabilitar política de risco do usuário Administrador da Segurança
Configurar resumos semanais Administrador da Segurança
Ignorar todas as detecções de risco Administrador da Segurança
Corrigir ou ignorar vulnerabilidade Administrador da Segurança
Ler todas as configurações Leitor de Segurança
Ler todas as detecções de risco Leitor de Segurança
Ler vulnerabilidades Leitor de Segurança

Monitoramento e integridade – Logs de auditoria

Tarefa Função com privilégios mínimos Funções adicionais
Ler logs de auditoria Leitor de relatórios Leitor de Segurança
Administrador da Segurança

Monitoramento e integridade – Logs de credenciais

Tarefa Função com privilégios mínimos Funções adicionais
Ler logs de entrada Leitor de relatórios Leitor de Segurança
Administrador da Segurança
Leitor global

Monitoramento e integridade – Logs de provisionamento

Monitoramento e integridade – Recomendações

Autenticação multifator

Tarefa Função com privilégios mínimos Funções adicionais
Excluir todas as senhas de aplicativos existentes geradas pelos usuários selecionados Administrador de Política de Autenticação Administrador de Autenticação
Desabilitar a MFA por usuário Administrador de Autenticação Administrador de Autenticação Privilegiada
Habilitar MFA por usuário Administrador de Autenticação Administrador de Autenticação Privilegiada
Gerenciar configurações do serviço de MFA Administrador de Política de Autenticação
Exigir que os usuários selecionados forneçam métodos de contato novamente Administrador de Autenticação
Restaurar a autenticação multifator em todos os dispositivos lembrados Administrador de Autenticação

Servidor MFA

Tarefa Função com privilégios mínimos Funções adicionais
Bloquear/desbloquear usuários Administrador de Política de Autenticação
Configurar bloqueio de conta Administrador de Política de Autenticação
Configurar regras de cache Administrador de Política de Autenticação
Configurar alerta de fraude Administrador de Política de Autenticação
Configurar notificações Administrador de Política de Autenticação
Configurar bypass avulso Administrador de Política de Autenticação
Definir configurações de chamada telefônica Administrador de Política de Autenticação
Configurar provedores Administrador de Política de Autenticação
Definir configurações do servidor Administrador de Política de Autenticação
Ler relatório de atividades Leitor global
Ler todas as configurações Leitor global
Ler o status do servidor Leitor global

Relações organizacionais

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar provedores de identidade Administrador do provedor de identidade externa
Ler todas as configurações Leitor global

Redefinição de senha

Tarefa Função com privilégios mínimos Funções adicionais
Configurar métodos de autenticação Administrador de Política de Autenticação
Configurar personalização Administrador de Política de Autenticação
Configurar notificação Administrador de Política de Autenticação
Configurar integração local Administrador de Política de Autenticação
Configurar propriedades de redefinição de senha Administrador de Usuários Administrador de Política de Autenticação
Configurar registro Administrador de Política de Autenticação
Ler todas as configurações Administrador da Segurança Administrador de Usuários

Gerenciamento de permissões

O que é o gerenciamento de permissões Microsoft Entra

Tarefa Função com privilégios mínimos Funções adicionais
Integração do locatário Administrador de Gerenciamento de Permissões
Ambientes de nuvem integrados Administrador de Gerenciamento de Permissões
Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra Administrador de Gerenciamento de Permissões
Comece a avaliação e compre licenças do Microsoft Entra Permissions Management Administrador de Cobrança

Privileged Identity Management

Tarefa Função com privilégios mínimos Funções adicionais
Atribuir usuários a funções Administrador de Função com Privilégios
Definir configurações de função Administrador de Função com Privilégios
Exibir atividade de auditoria Leitor de Segurança
Exibir associações de função Leitor de Segurança

Funções e administradores

Tarefa Função com privilégios mínimos Funções adicionais
Gerenciar atribuições de função Administrador de Função com Privilégios
Revisão de acesso de leitura de uma função de Microsoft Entra Leitor de Segurança Administrador da Segurança
Administrador de Função com Privilégios
Ler todas as configurações Função de usuário padrão

Segurança - Métodos de Autenticação

Tarefa Função com privilégios mínimos Funções adicionais
Habilitar ou desabilitar os métodos de autenticação Administrador de Política de Autenticação
Exibir, provisionar em nome de e gerenciar métodos de autenticação de usuários individuais Administrador de Autenticação Administrador de Autenticação Privilegiada
Configurar a proteção de senha Administrador da Segurança
Configurar o bloqueio inteligente Administrador da Segurança
Ler todas as configurações Leitor global

Segurança - Acesso condicional

Segurança - Pontuação de segurança de identidade

Tarefa Função com privilégios mínimos Funções adicionais
Ler todas as configurações Leitor de Segurança Administrador da Segurança
Ler pontuação de segurança Leitor de Segurança Administrador da Segurança
Atualizar status do evento Administrador da Segurança

Segurança - Entradas arriscadas

Tarefa Função com privilégios mínimos Funções adicionais
Ler todas as configurações Leitor de Segurança
Ler as entradas arriscadas Leitor de Segurança

Segurança - Usuários sinalizados para risco

Tarefa Função com privilégios mínimos Funções adicionais
Descartar todos os eventos Administrador da Segurança
Ler todas as configurações Leitor de Segurança
Ler usuários sinalizados para risco Leitor de Segurança

Senha de Acesso Temporária

Tarefa Função com privilégios mínimos Funções adicionais
Criar, excluir ou ver uma senha de acesso temporária de administradores ou membros (exceto eles mesmos) Administrador de Autenticação Privilegiada
Criar, excluir ou ver uma senha de acesso temporária de membros (exceto eles mesmos) Administrador de Autenticação
Ver os detalhes de uma senha de acesso temporária de um usuário (sem ler o próprio código) Leitor global
Configurar ou atualizar a política de método de autenticação da senha de acesso temporária Administrador de Política de Autenticação

Locatário

Tarefa Função com privilégios mínimos Funções adicionais
Crie novos locatários do Microsoft Entra ID ou Azure AD B2C Criador de Locatários
Atualizar as propriedades do locatário do Microsoft Entra Administrador de Cobrança
Gerenciar a declaração de privacidade e o contato Administrador de Cobrança

Usuários

Tarefa Função com privilégios mínimos Funções adicionais
Adicionar usuário à função do diretório Administrador de Função com Privilégios
Adicionar usuário ao grupo Administrador de Usuários
Atribuir licença Administrador de Licenças Administrador de Usuários
Criar um usuário convidado Emissor de convites independente Administrador de Usuários
Redefinir o convite do usuário convidado Administrador da assistência técnica Administrador de Usuários
Criar usuário Administrador de Usuários
Excluir usuários Administrador de Usuários
Invalidar tokens de atualização de administradores limitados Administrador de Usuários
Invalidar tokens de atualização de não administradores Administrador da assistência técnica Administrador de Usuários
Invalidar tokens de atualização de administradores com privilégios Administrador de Autenticação Privilegiada
Ler a configuração básica Função de usuário padrão
Redefinir senha de administradores limitados Administrador de Usuários
Redefinir senha de não administradores Administrador de Senhas Administrador de Usuários
Redefinir senha de administradores com privilégios Administrador de Autenticação Privilegiada
Revogar licença Administrador de Licenças Administrador de Usuários
Atualizar todas as propriedades, exceto Nome UPN Administrador de Usuários
Atualizar a propriedade habilitada para sincronização local Administrador de Identidade Híbrida
Atualizar o nome UPN de administradores limitados Administrador de Usuários
Atualizar a propriedade Nome UPN em administradores com privilégios Administrador de Autenticação Privilegiada
Atualizar as configurações do usuário – Permissões de função de usuário padrão Administrador de Função com Privilégios
Atualizar configurações do usuário – Acesso de usuário convidado Administrador de Função com Privilégios
Atualizar as configurações do usuário – Centro de administração Administrador Global
Atualizar as configurações do usuário – conexões de conta do LinkedIn Administrador Global
Atualizar configurações do usuário – Mostrar manter o usuário conectado Administrador Global
Atualizar métodos de autenticação Administrador de Autenticação Administrador de Autenticação Privilegiada

Suporte

Próximas etapas