Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As permissões de gerenciamento de grupos podem ser usadas em definições de função personalizadas no Microsoft Entra ID para conceder acesso refinado, por exemplo:
- Gerenciar propriedades de grupo, como nome e descrição
- Gerenciar membros e proprietários
- Criar ou excluir grupos
- Ler logs de auditoria
- Gerenciar um tipo específico de grupo
Este artigo lista as permissões que você pode usar nas funções personalizadas em diferentes cenários de gerenciamento de grupos. Para obter informações sobre como criar funções personalizadas, consulte Criar uma função personalizada no Microsoft Entra ID.
Requisitos de licença
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Como interpretar permissões de gerenciamento de grupos
Para interpretar as permissões de gerenciamento de grupos, é útil entender o que significam os diferentes subtipos de permissão.
| Subtipo de permissão | Descrição do subtipo de permissão |
|---|---|
| Grupos | Gerenciar grupos de segurança e do Microsoft 365, exceto grupos de funções atribuíveis |
| groups.unified | Gerenciar grupos do Microsoft 365 de tipo de associação dinâmica e atribuída, exceto grupos de funções atribuíveis |
| groups.unified.assignedMembership | Gerenciar grupos do Microsoft 365 somente de tipo de associação atribuída, exceto grupos de funções atribuíveis |
| groups.security | Gerenciar grupos de segurança de tipo de associação dinâmica e atribuída, exceto grupos de funções atribuíveis |
| groups.security.assignedMembership | Gerenciar grupos de segurança somente de tipo de associação atribuída, exceto grupos de funções atribuíveis |
A tabela a seguir tem permissões de exemplo para atualizar membros do grupo de diferentes subtipos.
| Exemplo de permissão | Descrição da permissão |
|---|---|
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/members/update | Atualizar os membros dos grupos do Microsoft 365 do tipo de associação atribuída excluindo os grupos de função atribuível |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/members/update | Atualizar os membros dos grupos de Segurança do tipo de associação atribuída excluindo os grupos de função atribuível |
Ler informações do grupo
As permissões a seguir estão disponíveis para ler propriedades, membros e proprietários de grupos.
| Permissão | Descrição |
|---|---|
| microsoft.directory/groups/allProperties/read | Ler todas as propriedades (incluindo propriedades privilegiadas) em grupos de Segurança e grupos do Microsoft 365, inclusive grupos atribuíveis a função |
| microsoft.directory/groups/standard/read | Leia as propriedades padrão dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função |
| microsoft.directory/groups/members/read | Ler os membros dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função |
| microsoft.directory/groups/memberOf/read | Leia a propriedade memberOf nos grupos de Segurança e grupos do Microsoft 365, inclusive os grupos de atribuições de função |
| microsoft.directory/groups/owners/read | Ler os proprietários dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função |
Criar grupos
As permissões a seguir estão disponíveis para criar grupos de tipos diferentes.
| Permissão | Descrição |
|---|---|
| microsoft.directory/groups/create | Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/create | Criar os grupos do Microsoft 365, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/create | Criar grupos do Microsoft 365 do tipo de associação atribuída, exceto grupos de função atribuível |
| microsoft.directory/groups.security/create | Criar os grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/create | Criar grupos de Segurança do tipo de associação atribuída, exceto grupos de função atribuível |
| microsoft.directory/groups/createAsOwner | Criar grupos de Segurança e do Microsoft 365, exceto grupos de funções atribuíveis. O criador é adicionado como o primeiro proprietário. |
| microsoft.directory/groups.unified/createAsOwner | Criar grupos do Microsoft 365, exceto grupos de funções atribuíveis. O criador é adicionado como o primeiro proprietário. |
| microsoft.directory/groups.unified.assignedMembership/createAsOwner | Criar grupos do Microsoft 365 do tipo de associação atribuída, exceto grupos de função atribuível. O criador é adicionado como o primeiro proprietário. |
| microsoft.directory/groups.security/createAsOwner | Criar os grupos de segurança, exceto os grupos de funções atribuíveis. O criador é adicionado como o primeiro proprietário. |
| microsoft.directory/groups.security.assignedMembership/createAsOwner | Criar grupos de Segurança do tipo de associação atribuída, exceto grupos de função atribuível. O criador é adicionado como o primeiro proprietário. |
Atualizar informações do grupo
As permissões a seguir estão disponíveis para atualizar propriedades e membros de grupos.
| Permissão | Descrição |
|---|---|
| microsoft.directory/groups/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em grupos de Segurança e grupos do Microsoft 365, exceto grupos de função atribuível |
| microsoft.directory/groups.unified/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em grupos do Microsoft 365, exceto grupos de função atribuível |
| microsoft.directory/groups.unified.assignedMembership/allProperties/update | Atualizar todas as propriedades (incluindo as propriedades privilegiadas) nos grupos do Microsoft 365 do tipo de associação atribuída, exceto grupos de função atribuível |
| microsoft.directory/groups.security/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em grupos de Segurança, exceto grupos de função atribuível |
| microsoft.directory/groups.security.assignedMembership/allProperties/update | Atualizar todas as propriedades (incluindo as propriedades privilegiadas) nos grupos de Segurança do tipo de associação atribuída, exceto grupos de função atribuível |
| microsoft.directory/groups/basic/update | Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/basic/update | Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/basic/update | Atualizar as propriedades básicas dos grupos do Microsoft 365 do tipo de associação atribuída, exceto grupos de função atribuível |
| microsoft.directory/groups.security/basic/update | Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/basic/update | Atualizar as propriedades básicas dos grupos de Segurança do tipo de associação atribuída, exceto grupos de função atribuível |
| microsoft.directory/groups/classification/update | Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/classification/update | Atualizar a propriedade de classificação de grupos do Microsoft 365, exceto grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/classification/update | Atualizar a propriedade de classificação de grupos do Microsoft 365 do tipo de associação atribuída, exceto grupos de funções atribuíveis |
| microsoft.directory/groups.security/classification/update | Atualizar a propriedade de classificação de grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/classification/update | Atualizar a propriedade de classificação de grupos de Segurança do tipo de associação atribuída, exceto grupos de funções atribuíveis |
| microsoft.directory/groups/dynamicMembershipRule/update | Atualizar a regra de grupos de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/dynamicMembershipRule/update | Atualizar a regra dos grupos de associação dinâmica nos grupos do Microsoft 365, exceto grupos atribuíveis a funções |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Atualizar a regra dos grupos de associação dinâmica nos grupos de Segurança, exceto grupos atribuíveis a funções |
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/members/update | Atualizar os membros dos grupos do Microsoft 365 do tipo de associação atribuída excluindo os grupos de função atribuível |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/members/update | Atualizar os membros dos grupos de Segurança do tipo de associação atribuída excluindo os grupos de função atribuível |
Atualizar membros de diferentes tipos de grupo
As permissões a seguir estão disponíveis para atualizar membros de diferentes tipos de grupo.
| Permissão | Descrição |
|---|---|
| microsoft.directory/groups/members/update | Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/members/update | Atualizar os membros dos grupos do Microsoft 365 do tipo de associação atribuída excluindo os grupos de função atribuível |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/members/update | Atualizar os membros dos grupos de Segurança do tipo de associação atribuída excluindo os grupos de função atribuível |
Excluir grupos
As permissões a seguir estão disponíveis para excluir grupos.
| Permissão | Descrição |
|---|---|
| microsoft.directory/groups/delete | Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções |
| microsoft.directory/groups.unified/members/update | Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.unified.assignedMembership/members/update | Atualizar os membros dos grupos do Microsoft 365 do tipo de associação atribuída excluindo os grupos de função atribuível |
| microsoft.directory/groups.security/members/update | Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis |
| microsoft.directory/groups.security.assignedMembership/members/update | Atualizar os membros dos grupos de Segurança do tipo de associação atribuída excluindo os grupos de função atribuível |