Quais são as permissões de usuário padrão na ID de Microsoft Entra?

2025-04-30

Em Microsoft Entra ID, todos os usuários recebem um conjunto de permissões padrão. O acesso de um usuário consiste no tipo de usuário, suas atribuições de função e sua propriedade de objetos individuais.

Este artigo descreve as permissões padrão e compara os padrões do usuário membro e convidado. As permissões de usuário padrão podem ser alteradas somente nas configurações de usuário no Microsoft Entra ID.

Usuários membro e convidado

O conjunto de permissões padrão depende de se o usuário é um membro nativo do locatário (usuário membro) ou se é trazido de outro diretório, como um convidado de colaboração entre empresas (B2B) (usuário convidado). Para obter mais informações sobre como adicionar usuários convidados, consulte o que é a colaboração do Microsoft Entra B2B?. Aqui estão os recursos das permissões padrão:

Os usuários membros podem registrar aplicativos, gerenciar sua própria foto de perfil e número de telefone celular, alterar sua própria senha e convidar convidados B2B. Esses usuários também podem ler todas as informações de diretório (com algumas poucas exceções).
Os usuários convidados têm permissões de diretório restritas. Eles podem gerenciar o próprio perfil, alterar a própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações de diretório.

Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários, grupos e outros objetos do diretório. Convidados podem ser adicionados a funções de administrador, o que lhes concedem permissões totais de leitura e gravação. Os convidados também podem convidar outras pessoas.

Comparar permissões padrão de membro e convidado

Área	Permissões de usuário membro	Permissões de usuário convidado padrão	Permissões restritas de usuário convidado
Usuários e contatos	Enumerar a lista de todos os usuários e contatos Ler todas as propriedades públicas de usuários e contatos Convidar pessoas Alterar a própria senha Gerenciar o próprio número de celular Gerenciar a própria foto Invalidar os próprios tokens de atualização	Ler as próprias propriedades Ler nome de exibição, email, nome de entrada, foto, nome principal de usuário e propriedades de tipo de usuário de outros usuários e contatos Alterar a própria senha Pesquisar outro usuário por ID de objeto (se permitido) Gerenciador de leitura e informações de subordinados direto de outros usuários	Ler as próprias propriedades Alterar a própria senha Gerenciar o próprio número de celular
Grupos	Criar grupos de segurança Criar os grupos do Microsoft 365 Enumerar a lista de todos os grupos Ler todas as propriedades de grupos Ler associação de grupos não ocultos Ler associação de grupo oculto do Microsoft 365 para grupos associados Gerenciar propriedades, posse e associação de grupos pertencentes ao usuário Adicionar convidados a grupos próprios Gerenciar configurações de associação de grupo Excluir grupos próprios Restaurar grupos próprios do Microsoft 365	Ler propriedades de grupos não ocultos, incluindo associação e propriedade (até mesmo grupos não associados) Ler associação de grupo oculto do Microsoft 365 para grupos associados Pesquisar grupos por nome de exibição ou ID de objeto (se permitido)	Ler ID de objeto dos grupos unidos Ler associação e propriedade de grupos unidos em alguns aplicativos Microsoft 365 (se permitido)
Aplicativos	Registrar (criar) novos aplicativos Enumerar a lista de todos os aplicativos Ler propriedades de aplicativos registrados e corporativos Gerenciar propriedades do aplicativo, atribuições e credenciais para aplicativos próprios Criar ou excluir senhas de aplicativo dos usuários Excluir aplicativos próprios Restaurar aplicativos próprios Listar as permissões concedidas a aplicativos	Ler propriedades de aplicativos registrados e corporativos Listar as permissões concedidas a aplicativos	Ler propriedades de aplicativos registrados e corporativos Listar as permissões concedidas a aplicativos
Dispositivos	Enumerar a lista de todos os dispositivos Ler todas as propriedades de dispositivos Gerenciar todas as propriedades de dispositivos próprios	Nenhuma permissão	Nenhuma permissão
Organização	Ler todas as informações da empresa Ler todos os domínios Ler a configuração da autenticação baseada em certificado Ler todos os contratos de parceiro Leia os detalhes básicos e os locatários ativos da organização multilocatário	Ler nome de exibição da empresa Ler todos os domínios Ler a configuração da autenticação baseada em certificado	Ler nome de exibição da empresa Ler todos os domínios
Funções e escopos	Ler todas as funções e associações administrativas Ler todas as propriedades e associação de unidades administrativas	Nenhuma permissão	Nenhuma permissão
Assinaturas	Ler todas as assinaturas de licenças Habilitar associações de plano de serviço	Nenhuma permissão	Nenhuma permissão
Políticas	Ler todas as propriedades de políticas Gerenciar todas as propriedades de políticas próprias	Nenhuma permissão	Nenhuma permissão
Termos de uso	Ler os termos de uso que um usuário aceitou.	Ler os termos de uso que um usuário aceitou.	Ler os termos de uso que um usuário aceitou.

Restringir permissões padrão de usuários membros

É possível adicionar restrições às permissões padrão dos usuários.

Você pode restringir as permissões padrão para usuários membro das seguintes maneiras:

Atenção

Usar a opção Restringir o acesso ao portal de administração do Microsoft Entranão é uma medida de segurança. Para obter mais informações sobre a funcionalidade, veja a tabela a seguir.

Permissão	Configurar explicação
Registrar aplicativos	Definir essa opção como Não impede que os usuários criem registros de aplicativo. Você pode conceder a capacidade de volta a indivíduos específicos adicionando-os à função de desenvolvedor de aplicativos.
Permitir que os usuários conectem a conta corporativa ou de estudante ao LinkedIn	Definir essa opção como Não impede que os usuários conectem sua conta corporativa ou de estudante com sua conta do LinkedIn. Para obter mais informações, consulte o compartilhamento e o consentimento de dados de conexões de conta do LinkedIn.
Criar grupos de segurança	Definir essa opção como Não impede que os usuários criem grupos de segurança. Usários que tiverem pelo menos a função Administradores de Usuários ainda poderão criar grupos de segurança. Para saber como, consulte os cmdlets do Microsoft Entra para definir as configurações de grupo.
Criar grupos do Microsoft 365	Definir essa opção como Não impede que os usuários criem grupos do Microsoft 365. Definir essa opção como Alguns permite que um conjunto de usuários crie grupos do Microsoft 365. Qualquer pessoa atribuída pelo menos a função administrador de usuário ainda pode criar grupos do Microsoft 365. Para saber como, consulte os cmdlets do Microsoft Entra para definir as configurações de grupo.
Restringir o acesso ao portal de administração do Microsoft Entra	O que essa opção faz? Não permite que os não administradores naveguem pelo portal de administração do Microsoft Entra. Sim Restringe os não administradores de navegar no portal de administração do Microsoft Entra. Não administradores proprietários de grupos ou aplicativos não podem usar o portal do Azure para gerenciar seus próprios recursos. O que ela não faz? Não restringe o acesso aos dados do Microsoft Entra usando o PowerShell, o Microsoft GraphAPI ou outros clientes, como o Visual Studio. Não restringe o acesso desde que um usuário esteja atribuído a uma função personalizada (ou qualquer função). Quando devo usar essa opção? Use essa opção para impedir que os usuários configurem incorretamente os recursos que possuem. Quando não devo usar essa opção? Não use essa opção como medida de segurança. Em vez disso, crie uma política de Acesso Condicional direcionada à API de Gerenciamento de Serviços do Windows Azure que bloqueia o acesso de não administradores a da API de Gerenciamento de Serviços do Windows Azure. Como conceder apenas a usuários não administradores específicos a capacidade de usar o portal de administração do Microsoft Entra? Defina essa opção como Sim e, em seguida, atribua-lhes uma função como leitor global. Restringir o acesso ao portal de administração do Microsoft Entra Uma política de acesso condicional direcionada à API de Gerenciamento do Microsoft Azure tem como objetivo o acesso a todo o gerenciamento do Azure.
Restringir usuários não administradores de criar locatários	Os usuários podem criar locatários no Microsoft Entra ID e no portal de administração do Microsoft Entra em Gerenciar locatário. A criação de um locatário é registrada no log de auditoria como categoria DirectoryManagement e atividade Criar Empresa. Por padrão, o usuário que cria um locatário do Microsoft Entra recebe automaticamente a função de Administrador Global . O locatário recém-criado não herda nenhuma configuração ou configuração. O que essa opção faz? Definir essa opção como Sim restringe a criação de locatários do Microsoft Entra a qualquer pessoa atribuída pelo menos à função Criador de Locatário . Definir essa opção como Não permite que usuários não administradores criem locatários do Microsoft Entra. A criação do locatário continua a ser registrada no log de auditoria. Como conceder a usuários não administradores específicos a capacidade de criar novos locatários? Defina essa opção como Sim e, em seguida, atribua-lhes a função Criador de Locatário .
Impedir que os usuários recuperem as chaves do BitLocker para seus dispositivos próprios	Essa configuração pode ser encontrada no Centro de administração do Microsoft Entra nas configurações do dispositivo. Definir essa opção como Sim restringe os usuários de serem capazes de recuperar automaticamente as chaves do BitLocker para seus dispositivos próprios. Os usuários devem entrar em contato com o suporte técnico da organização para recuperar as chaves do BitLocker. Definir essa opção como Não permite que os usuários recuperem suas chaves do BitLocker.
Ler outros usuários	Essa configuração está disponível somente no Microsoft Graph e no PowerShell. Definir esse sinalizador como `$false` impede que todos os não administradores leiam informações de usuário no diretório. Esse sinalizador pode impedir a leitura de informações do usuário em outros serviços da Microsoft, como o Microsoft Teams. Essa configuração destina-se a circunstâncias especiais, portanto, não é recomendável definir o sinalizador como `$false`.

A opção Restringir a criação de locatários por usuários não administradores é mostrada na captura de tela a seguir.

Restringir permissões padrão de usuários convidados

Você pode restringir as permissões padrão para usuários convidados das seguintes maneiras.

Observação

A configuração Restrições de acesso do usuário convidado substituiu a configuração As permissões de usuários convidados são limitadas. Para obter diretrizes sobre como usar esse recurso, consulte Restringir permissões de acesso de convidado na ID do Microsoft Entra.

Permissão	Configurar explicação
Restrições de acesso de usuário convidado	Definir essa opção para Usuários convidados têm o mesmo acesso que os membros concede por padrão a todos os usuários convidados as mesmas permissões dos membros. Definir essa opção como acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidados apenas ao seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo ao pesquisar por nome principal do usuário, ID de objeto ou nome de exibição. O acesso a informações de grupos, incluindo associações de grupos, também não é mais permitido. Essa configuração não impede o acesso a grupos unidos em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, confira o acesso de convidados do Microsoft Teams. Os usuários convidados ainda podem ter funções de administrador, independentemente dessa configuração de permissão.
Os convidados podem convidar	Definir essa opção como Sim permite que os convidados convidem outros convidados. Para saber mais, confira Definir configurações de colaboração externa.

Permissão

Configurar explicação

Restrições de acesso de usuário convidado

Definir essa opção para Usuários convidados têm o mesmo acesso que os membros concede por padrão a todos os usuários convidados as mesmas permissões dos membros.

Definir essa opção como acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidados apenas ao seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo ao pesquisar por nome principal do usuário, ID de objeto ou nome de exibição. O acesso a informações de grupos, incluindo associações de grupos, também não é mais permitido.

Essa configuração não impede o acesso a grupos unidos em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, confira o acesso de convidados do Microsoft Teams.

Os usuários convidados ainda podem ter funções de administrador, independentemente dessa configuração de permissão.

Os convidados podem convidar

Definir essa opção como Sim permite que os convidados convidem outros convidados. Para saber mais, confira Definir configurações de colaboração externa.

Propriedade do objeto

Permissões de proprietário de registro de aplicativo

Quando um usuário registra um aplicativo, ele é automaticamente adicionado como um proprietário do aplicativo. Como proprietário, ele pode gerenciar os metadados do aplicativo, como o nome e as permissões que o aplicativo solicita. Eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de logon único (SSO) e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos a pelo menos a função de Administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões do proprietário do aplicativo empresarial

Quando um usuário adiciona um novo aplicativo empresarial, ele é adicionado automaticamente como um proprietário. Como proprietário, eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de SSO, provisionamento e as atribuições de usuário.

Permissões de proprietário do grupo

Quando um usuário cria um grupo, ele é automaticamente adicionado como um proprietário desse grupo. Como proprietário, eles podem gerenciar as propriedades do grupo, como o nome, bem como gerenciar a associação ao grupo.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos à função administrador de grupos , os proprietários podem gerenciar apenas os grupos que possuem e podem adicionar ou remover membros do grupo somente se o tipo de associação do grupo for Atribuído.

Para atribuir um proprietário de grupo, consulte Gerenciando proprietários de um grupo.

Para usar o PIM (Privileged Access Management) para tornar um grupo qualificado para uma atribuição de função, consulte Usar grupos do Microsoft Entra para gerenciar atribuições de função.

Permissões de propriedade

As tabelas a seguir descrevem as permissões específicas na ID do Microsoft Entra que os usuários membros têm sobre os objetos que possuem. Os usuários têm essas permissões somente em objetos que possuem.

Registros de aplicativo de sua propriedade

Os usuários podem executar as seguintes ações em registros de aplicativo de sua propriedade:

Ação	Descrição
microsoft.directory/applications/audience/update	Atualize a `applications.audience` propriedade em Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Atualize a `applications.authentication` propriedade em Microsoft Entra ID.
microsoft.diretório/aplicações/básico/atualizar	Atualize as propriedades básicas em aplicativos em Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Atualize a `applications.credentials` propriedade em Microsoft Entra ID.
microsoft.directory/applications/delete	Excluir aplicativos em Microsoft Entra ID.
microsoft.directory/applications/owners/update	Atualize a `applications.owners` propriedade em Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Atualize a `applications.permissions` propriedade em Microsoft Entra ID.
microsoft.directory/aplicativos/politicas/atualizar	Atualize a `applications.policies` propriedade em Microsoft Entra ID.
microsoft.directory/applications/restore	Restaurar aplicativos em Microsoft Entra ID.

Aplicativos empresariais de sua propriedade

Os usuários podem executar as seguintes ações em aplicativos empresariais de sua propriedade. Um aplicativo empresarial consiste em uma entidade de serviço, uma ou mais políticas de aplicativo e, às vezes, um objeto de aplicativo no mesmo locatário que a entidade de serviço.

Ação	Descrição
microsoft.directory/auditLogs/allProperties/read	Ler todas as propriedades (incluindo as propriedades privilegiadas) nos logs de auditoria no Microsoft Entra ID.
microsoft.directory/policies/basic/update	Atualize as propriedades básicas em políticas em Microsoft Entra ID.
microsoft.directory/policies/delete	Excluir políticas no Microsoft Entra ID.
microsoft.directory/policies/owners/update	Atualize a `policies.owners` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Atualize a `servicePrincipals.appRoleAssignedTo` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Atualize a `users.appRoleAssignments` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Atualize a `servicePrincipals.audience` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Atualize a `servicePrincipals.authentication` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Atualize as propriedades básicas em entidades de serviço no Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Atualize a `servicePrincipals.credentials` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Excluir entidades de serviço em Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update	Atualize a `servicePrincipals.owners` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Atualize a `servicePrincipals.permissions` propriedade em Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Atualize a `servicePrincipals.policies` propriedade em Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Ler todas as propriedades (incluindo as propriedades privilegiadas) nos relatórios de entrada no Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronization/standard/read	Ler as configurações de provisionamento associadas à entidade de serviço

Dispositivos de sua propriedade

Os usuários podem executar as seguintes ações em dispositivos de sua propriedade:

Ação	Descrição
microsoft.directory/devices/bitLockerRecoveryKeys/read	Leia a `devices.bitLockerRecoveryKeys` propriedade em Microsoft Entra ID.
microsoft.directory/devices/disable	Desabilitar dispositivos no ID Microsoft Entra ID.

Grupos de sua propriedade

Os usuários podem executar as seguintes ações em grupos de sua propriedade.