Quais são as permissões de usuário padrão no Microsoft Entra ID?

Em Microsoft Entra ID, todos os usuários recebem um conjunto de permissões padrão. Um acesso do usuário é composto por tipo de usuário, suas atribuições de função e sua posse de objetos individuais.

Este artigo descreve as permissões padrão e compara os padrões do usuário membro e convidado. As permissões de usuário padrão podem ser alteradas somente nas configurações de usuário no Microsoft Entra ID.

Usuários membros e convidados

O conjunto de permissões padrão depende de se o usuário é um membro nativo do locatário (usuário membro) ou se o usuário é trazido de outro diretório como um convidado de colaboração B2B (entre empresas) (usuário convidado). Para obter mais informações sobre como adicionar usuários convidados, veja O que é colaboração B2B do Microsoft Entra?. Aqui estão os recursos das permissões padrão:

• Usuários membros podem registrar aplicativos, gerenciar seu próprio número de celular e foto de perfil, alterar sua senha e convidar pessoas B2B. Esses usuários também podem ler todas as informações de diretório (com algumas poucas exceções).

• Usuários convidados têm permissões de diretório restritas. Eles podem gerenciar o próprio perfil, alterar a própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações de diretório.

  Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários, grupos e outros objetos do diretório. Convidados podem ser adicionados a funções de administrador, o que lhes concedem permissões totais de leitura e gravação. Os convidados também podem convidar outras pessoas.

Comparar permissões padrão de membro e convidado

Área	Permissões de usuário membro	Permissões padrão do usuário convidado	Permissões restritas do usuário convidado
Usuários e contatos	Enumerar a lista de todos os usuários e contatos Ler todas as propriedades públicas de usuários e contatos Convidar pessoas Alterar a própria senha Gerenciar o próprio número de celular Gerenciar a própria foto Invalidar os próprios tokens de atualização	Ler as próprias propriedades Ler nome de exibição, email, nome de entrada, foto, nome principal de usuário e propriedades de tipo de usuário de outros usuários e contatos Alterar a própria senha Pesquisar outro usuário por ID de objeto (se permitido) Gerenciador de leitura e informações de subordinados direto de outros usuários	Ler as próprias propriedades Alterar a própria senha Gerenciar o próprio número de celular
Grupos	Criar grupos de segurança Criar os grupos do Microsoft 365 Enumerar a lista de todos os grupos Ler todas as propriedades de grupos Ler associações de grupos não ocultos Ler as associações de grupo ocultas do Microsoft 365 para grupos associados Gerenciar propriedades, posse e associação de grupos pertencentes ao usuário Adicionar convidados a grupos próprios Gerenciar configurações da associação de grupo Excluir grupos próprios Restaurar grupos próprios do Microsoft 365	Ler propriedades de grupos não ocultos, incluindo associação e propriedade (até mesmo grupos não adicionados) Ler as associações de grupo ocultas do Microsoft 365 para grupos associados Pesquisar grupos por nome de exibição ou ID de objeto (se permitido)	Ler ID de objeto dos grupos unidos Ler associação e propriedade de grupos unidos em alguns aplicativos Microsoft 365 (se permitido)
Aplicativos	Registrar (criar) novos aplicativos Enumerar a lista de todos os aplicativos Ler as propriedades de aplicativos registrados e corporativos Gerenciar propriedades do aplicativo, atribuições e credenciais para aplicativos próprios Criar ou excluir senhas de aplicativo dos usuários Excluir aplicativos próprios Restaurar aplicativos próprios Listar as permissões concedidas a aplicativos	Ler as propriedades de aplicativos registrados e corporativos Listar as permissões concedidas a aplicativos	Ler as propriedades de aplicativos registrados e corporativos Listar as permissões concedidas a aplicativos
Dispositivos	Enumerar a lista de todos os dispositivos Ler todas as propriedades de dispositivos Gerenciar todas as propriedades de dispositivos próprios	Sem permissões	Sem permissões
Organização	Ler todas as informações da empresa Ler todos os domínios Ler a configuração da autenticação baseada em certificado Ler todos os contratos de parceiro Leia os detalhes básicos e os locatários ativos da organização multilocatário	Ler nome de exibição da empresa Ler todos os domínios Ler a configuração da autenticação baseada em certificado	Ler nome de exibição da empresa Ler todos os domínios
Funções e escopos	Ler todas as funções e associações administrativas Ler todas as propriedades e associação de unidades administrativas	Sem permissões	Sem permissões
Assinaturas	Ler todas as assinaturas de licenças Habilitar associações de plano de serviço	Sem permissões	Sem permissões
Políticas	Ler todas as propriedades de políticas Gerenciar todas as propriedades de políticas próprias	Sem permissões	Sem permissões

Restringir permissões padrão de usuários membros

É possível adicionar restrições às permissões padrão dos usuários.

Você pode restringir as permissões padrão para usuários membros das seguintes maneiras:

Cuidado

O uso da opção Restringir o acesso ao portal de administração do Microsoft Entra NÃO é uma medida de segurança. Para obter mais informações sobre a funcionalidade, veja a tabela a seguir.

Permissão	Explicação da configuração
Registrar aplicativos	Definir essa opção como Não impede que os usuários criem registros de aplicativos. Você pode conceder a capacidade de volta a indivíduos específicos adicionando-os à função de desenvolvedor de aplicativos.
Permitir que os usuários conectem a conta corporativa ou de estudante ao LinkedIn	Definir essa opção como Não impede que os usuários conectem sua conta corporativa ou de estudante com sua conta do LinkedIn. Para saber mais, veja Consentimento e compartilhamento de dados das conexões da conta do LinkedIn.
Criar grupos de segurança	Definir essa opção como Não impede que os usuários criem grupos de segurança. Usuários que tiverem pelo menos a função Administradores de Usuários ainda poderão criar grupos de segurança. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo.
Criar os grupos do Microsoft 365	Definir essa opção como Não impede que os usuários criem grupos no Microsoft 365. Definir essa opção como Alguns permite que um conjunto de usuários crie grupos do Microsoft 365. Qualquer pessoa com pelo menos a função de Administrador de Usuários ainda poderá criar grupos do Microsoft 365. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo.
Restringir o acesso ao portal de administração do Microsoft Entra	O que essa alteração faz? Não permite que não administradores naveguem pelo portal de administração do Microsoft Entra. Sim Restringe os não administradores de navegar no portal de administração do Microsoft Entra. Não administradores proprietários de grupos ou aplicativos não podem usar o portal do Azure para gerenciar seus próprios recursos. O que ela não faz? Não restringe o acesso aos dados do Microsoft Entra usando o PowerShell, o Microsoft GraphAPI ou outros clientes, como o Visual Studio. Não restringe o acesso desde que um usuário esteja atribuído a uma função personalizada (ou qualquer função). Quando devo usar essa opção? Use essa opção para impedir que os usuários configurem incorretamente os recursos de sua propriedade. Quando não devo usar essa opção? Não use essa opção como medida de segurança. Em vez disso, crie uma política de acesso condicional direcionada ao gerenciamento do Windows Azure que bloqueie o acesso de não administradores à API de Gerenciamento de Serviços do Windows Azure. Como conceder somente a usuários não administradores específicos a capacidade de usar o portal de administração do Microsoft Entra? Defina essa opção como Sim e, em seguida, atribua-lhes uma função como leitor global. Restringir o acesso ao portal de administração do Microsoft Entra Uma política de acesso condicional direcionada à API de Gerenciamento do Microsoft Azure tem como objetivo o acesso a todo o gerenciamento do Azure.
Restringir a criação de locatários por usuários não administradores	Os usuários podem criar locatários no Microsoft Entra ID e no portal de administração do Microsoft Entra em Gerenciar locatário. A criação de um locatário é registrada no log de auditoria como categoria DirectoryManagement e atividade Criar Empresa. Qualquer pessoa que crie um locatário se torna o administrador global dele. O locatário recém-criado não herda nenhuma configuração ou configuração. O que essa alteração faz? Definir essa opção como Sim restringe a criação de locatários do Microsoft Entra a qualquer pessoa atribuída pelo menos à função Criador de Locatário. Definir essa opção como Não permite que usuários não administradores criem locatários do Microsoft Entra. A criação do locatário continua a ser registrada no log de auditoria. Como conceder somente a usuários não administradores específicos a capacidade de criar novos locatários? Defina essa opção como Sim e, depois, atribua a ela a função de Criador de Locatário.
Impedir que usuários recuperem as chaves do BitLocker dos próprios dispositivos	Essa configuração pode ser encontrada no Centro de administração do Microsoft Entra nas configurações do dispositivo. A definição dessa opção como Sim impede os usuários de recuperar por autoatendimento as chaves do BitLocker para dispositivos próprios. Os usuários devem entrar em contato com a assistência técnica da organização para recuperar as chaves do BitLocker. A definição dessa opção como Não permite que os usuários recuperem as chaves do BitLocker.
Ler outros usuários	Essa configuração está disponível somente no Microsoft Graph e no PowerShell. Definir esse sinalizador como $false impede que todos os não são administradores leiam informações de usuário no diretório. Esse sinalizador pode impedir a leitura de informações do usuário em outros serviços da Microsoft, como o Microsoft Teams. Essa configuração destina-se a circunstâncias especiais, portanto, não é recomendável definir o sinalizador como $false.

A opção Restringir usuários não administradores de criar locatários é mostrada na captura de tela a seguir.

Restringir permissões padrão de usuários convidados

Você pode restringir as permissões padrão para usuários convidados das seguintes maneiras.

Observação

A configuração Restrições de acesso de usuários convidados substituiu a configuração As permissões de usuários convidados são limitadas. Para obter orientação sobre como usar esse recurso, veja Restringir permissões de acesso de convidado no Microsoft Entra ID.

Permissão	Explicação da configuração
Restrições de acesso de usuários convidados	Definir dessa opção como Os usuários convidados têm o mesmo acesso que os membros concede a permissão de todos os usuários membros para usuários convidados como padrão. Definir essa opção como Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidado apenas a seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo ao pesquisar por nome principal do usuário, ID de objeto ou nome de exibição. O acesso a informações de grupos, incluindo associações de grupos, também não é mais permitido. Essa configuração não impede o acesso a grupos unidos em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, consulte Acesso de convidado ao Microsoft Teams. Os usuários convidados ainda podem ter funções de administrador, independentemente dessa configuração de permissão.
Convidados podem convidar	Definir essa opção como Sim permite que os convidados convidem outros convidados. Para saber mais, confira Definir configurações de colaboração externa.

Propriedade do objeto

Permissões de proprietário de registro de aplicativo

Quando um usuário registra um aplicativo, ele é automaticamente adicionado como um proprietário do aplicativo. Como proprietário, ele pode gerenciar os metadados do aplicativo, como o nome e as permissões que o aplicativo solicita. Eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de logon único (SSO) e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos à função administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões do proprietário do aplicativo empresarial

Quando um usuário adiciona um novo aplicativo empresarial, ele é adicionado automaticamente como um proprietário. Como proprietário, eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de SSO, provisionamento e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos à função administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões de proprietário do grupo

Quando um usuário cria um grupo, ele é automaticamente adicionado como um proprietário desse grupo. Como proprietário, eles podem gerenciar as propriedades do grupo, como o nome, bem como gerenciar a associação ao grupo.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos com pelo menos a função de Administrador de Grupos, os proprietários podem gerenciar apenas os grupos de sua propriedade e podem adicionar ou remover membros do grupo somente se o tipo de associação do grupo for Atribuído.

Para atribuir um proprietário do grupo, consulte Gerenciando proprietários para um grupo.

Para usar o Privileged Access Management (PIM) para tornar um grupo qualificado para uma atribuição de função, confira Usar grupos do Microsoft Entra para gerenciar atribuições de função.

Permissões de propriedade

As tabelas a seguir descrevem as permissões específicas que os usuários membros têm sobre objetos de sua propriedade no Microsoft Entra ID. Os usuários têm essas permissões somente nos objetos de sua propriedade.

Registros de aplicativo de sua propriedade

Os usuários podem executar as seguintes ações nos registros de aplicativo de sua propriedade:

Ação	Descrição
microsoft.directory/applications/audience/update	Atualize a propriedade applications.audience no Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Atualize a propriedade applications.authentication no Microsoft Entra ID.
microsoft.directory/applications/basic/update	Atualizar as propriedades básicas em aplicativos no Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Atualize a propriedade applications.credentials no Microsoft Entra ID.
microsoft.directory/applications/delete	Excluir aplicativos em Microsoft Entra ID.
microsoft.directory/applications/owners/update	Atualize a propriedade applications.owners no Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Atualize a propriedade applications.permissions no Microsoft Entra ID.
microsoft.directory/applications/policies/update	Atualize a propriedade applications.policies no Microsoft Entra ID.
microsoft.directory/applications/restore	Restaurar aplicativos em Microsoft Entra ID.

Aplicativos empresariais de sua propriedade

Os usuários podem executar as seguintes ações nos aplicativos empresariais de sua propriedade. Um aplicativo empresarial consiste em uma entidade de serviço, uma ou mais políticas de aplicativo e, às vezes, um objeto de aplicativo no mesmo locatário que a entidade de serviço.

Ação	Descrição
microsoft.directory/auditLogs/allProperties/read	Ler todas as propriedades (incluindo as propriedades privilegiadas) nos logs de auditoria no Microsoft Entra ID.
microsoft.directory/policies/basic/update	Atualizar as propriedades básicas em políticas no Microsoft Entra ID.
microsoft.directory/policies/delete	Excluir políticas no Microsoft Entra ID.
microsoft.directory/policies/owners/update	Atualize a propriedade policies.owners no Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Atualize a propriedade servicePrincipals.appRoleAssignedTo no Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Atualize a propriedade users.appRoleAssignments no Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Atualize a propriedade servicePrincipals.audience no Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Atualize a propriedade servicePrincipals.authentication no Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Atualizar as propriedades básicas em entidades de serviço no Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Atualize a propriedade servicePrincipals.credentials no Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Excluir entidades de serviço em Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update	Atualize a propriedade servicePrincipals.owners no Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Atualize a propriedade servicePrincipals.permissions no Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Atualize a propriedade servicePrincipals.policies no Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Ler todas as propriedades (incluindo as propriedades privilegiadas) nos relatórios de entrada no Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronization/standard/read	Ler as configurações de provisionamento associadas à entidade de serviço

Dispositivos de sua propriedade

Os usuários podem executar as seguintes ações nos dispositivos de sua propriedade:

Ação	Descrição
microsoft.directory/devices/bitLockerRecoveryKeys/read	Leia a devices.bitLockerRecoveryKeys propriedade em Microsoft Entra ID.
microsoft.directory/devices/disable	Desabilitar dispositivos no ID Microsoft Entra ID.

Grupos de sua propriedade

Os usuários podem executar as seguintes ações nos grupos de sua propriedade.

Observação

Os proprietários de grupos de associação dinâmica devem ter uma função de Administrador de grupos, Administrador do Intune ou Administrador de usuários para editar regras de grupos de associação dinâmica. Para mais informações, confira Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID.

Ação	Descrição
microsoft.directory/groups/appRoleAssignments/update	Atualize a propriedade groups.appRoleAssignments no Microsoft Entra ID.
microsoft.directory/groups/basic/update	Atualizar as propriedades básicas em grupos no Microsoft Entra ID.
microsoft.directory/groups/delete	Excluir grupos em Microsoft Entra ID.
microsoft.directory/groups/members/update	Atualize a propriedade groups.members no Microsoft Entra ID.
microsoft.directory/groups/owners/update	Atualize a propriedade groups.owners no Microsoft Entra ID.
microsoft.directory/groups/restore	Restaurar grupos em Microsoft Entra ID.
microsoft.directory/groups/settings/update	Atualize a propriedade groups.settings no Microsoft Entra ID.

Próximas etapas

• Para saber mais sobre a configuração Restrições de acesso do usuário de convidados, confira Restringir permissões de acesso de convidado no Microsoft Entra ID.

• Para saber mais sobre como atribuir funções de administrador do Microsoft Entra consulte Atribuir um usuário a funções de administrador no Microsoft Entra ID.

• Para saber mais sobre como o acesso aos recursos é controlado no Microsoft Azure, consulte Noções básicas sobre o acesso aos recursos do Azure.

• Gerencie usuários.