Funções incorporadas do Azure AD

No Azure Ative Directory (Azure AD), se outro administrador ou não administrador precisar de gerir os recursos Azure AD, atribua-lhes uma função Azure AD que fornece as permissões de que necessitam. Por exemplo, pode atribuir funções para permitir adicionar ou alterar utilizadores, redefinir palavras-passe do utilizador, gerir licenças de utilizador ou gerir nomes de domínio.

Este artigo lista as funções Azure AD incorporadas que pode atribuir para permitir a gestão de recursos Azure AD. Para obter informações sobre a atribuição de funções, veja Atribuir funções do Azure AD aos utilizadores. Se procura papéis para gerir os recursos do Azure, consulte os papéis incorporados do Azure.

Todos os papéis

Função Description ID do Modelo
Administrador de Aplicações Pode criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Programador de Aplicações Pode criar registos de aplicações independentemente da definição de "Os Utilizadores podem registar as aplicações". cf1c38e5-3621-4004-a7cb-879624dced7c
Autor de carga útil de ataque Pode criar cargas de ataque que um administrador pode iniciar mais tarde. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrador de simulação de ataque Pode criar e gerir todos os aspetos das campanhas de simulação de ataque. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrador de atribuição de atributos Atribua chaves e valores de atributo de segurança personalizados a objetos Azure AD suportados. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Leitor de atribuição de atributos Leia as teclas e valores de atributos de segurança personalizados para objetos Azure AD suportados. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrador de Definição de Atributos Definir e gerir a definição de atributos de segurança personalizados. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Leitor de Definição de Atributos Leia a definição de atributos de segurança personalizados. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administrador de Autenticação Pode aceder à visualização, definição e reposição de informações do método de autenticação para qualquer utilizador não administrado. c4e39bd9-1100-46d3-8c65-fb160da00071f
Administrador de Política de Autenticação Pode criar e gerir a política de métodos de autenticação, configurações de MFA em todo o inquilino, política de proteção de senhas e credenciais verificáveis. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure AD administrador local do dispositivo Os utilizadores destacados para esta função são adicionados ao grupo de administradores locais em dispositivos Azure AD-ligados. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Administrador da Azure DevOps Pode gerir as políticas e configurações do Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administrador de Information Protection Azure Pode gerir todos os aspetos do produto Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Administrador do Keyset B2C IEF Pode gerir segredos para a federação e encriptação no Quadro de Experiência de Identidade (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Administrador de Política B2C IEF Pode criar e gerir políticas-quadro de confiança no Quadro de Experiência de Identidade (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrador de Faturação Pode executar tarefas comuns relacionadas com faturação, como atualizar informações de pagamento. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrador de Segurança de Aplicativos cloud Pode gerir todos os aspetos do produto Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrador de Aplicações na Cloud Pode criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais, exceto app Proxy. 158c047a-c907-4556-b7ef-446551a6b5f7
Administrador de dispositivos de nuvem Acesso limitado a dispositivos de gestão em Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Administrador de Conformidade Pode ler e gerir a configuração e relatórios de conformidade em Azure AD e Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administrador de Dados de Conformidade Cria e gere o conteúdo de conformidade. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrador de acesso condicional Pode gerir as capacidades de Acesso Condicional. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Aprovação de acesso ao cliente LockBox Pode aprovar pedidos de suporte da Microsoft para aceder a dados organizacionais do cliente. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administrador Análise de Computadores Pode aceder e gerir ferramentas e serviços de gestão de desktop. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Leitores de Diretório Pode ler informações básicas de diretório. Normalmente usado para conceder diretório ler acesso a aplicações e hóspedes. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Contas de Sincronização do Diretório Utilizado apenas pelo serviço Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Escritores do Diretório Pode ler e escrever informações básicas de diretório. Para a concessão de acesso a aplicações, não destinadas aos utilizadores. 9360feb5-f418-4baa-8175-e2a00bac4301
Administrador de Nome de Domínio Pode gerir nomes de domínio em nuvem e no local. 8329153b-31d0-4727-b945-745eb3bc5f31
Administrador dinâmico 365 Pode gerir todos os aspetos do produto Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Administrador de borda Gerencie todos os aspetos do Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Administrador do Exchange Pode gerir todos os aspetos do produto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrador do Destinatário de Intercâmbio Pode criar ou atualizar Exchange Online destinatários dentro da organização Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrador de fluxo de id externo Pode criar e gerir todos os aspetos dos fluxos de utilizadores. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrador de atributo de fluxo de id de id externo Pode criar e gerir o esquema de atributos disponível para todos os fluxos do utilizador. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administrador de fornecedor de identidade externa Pode configurar os fornecedores de identidade para uso na federação direta. be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrador Global Pode gerir todos os aspetos dos serviços Azure AD e Microsoft que utilizam Azure AD identidades. 62e90394-69f5-4237-9190-012177145e10
Leitor Global Pode ler tudo o que um Administrador Global pode, mas não atualizar nada. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Administrador de Grupos Os membros desta função podem criar/gerir grupos, criar/gerir configurações de grupos como políticas de nomeação e expiração, e ver relatórios de atividade e auditoria de grupos. fddd7a751-b60b-444a-984c-02652fe8fa1c
Convidado Convidado Pode convidar utilizadores convidados independentemente da definição de "membros podem convidar os hóspedes". 95e79109-95c0-4d8e-aee3-d01accf2d47b
Administrador helpdesk Pode redefinir palavras-passe para administradores não administradores e administradores de helpdesk. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrador de identidade híbrida Pode gerir a AD para Azure AD provisão em nuvem, Azure AD Ligar, Autenticação Pass-through (PTA), sincronização de hash de palavra-passe (PHS), insípido único sinal (SSO sem emenda) e configurações da federação. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrador de Governação de Identidade Gerir o acesso utilizando Azure AD para cenários de governação de identidade. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Administrador de Insights Tem acesso administrativo na aplicação Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista de Insights Aceda às capacidades analíticas em Informações Microsoft Viva e execute consultas personalizadas. 25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader Pode ver e partilhar dashboards e insights através da aplicação Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Administrador do Intune Pode gerir todos os aspetos do produto Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Administrador kaizala Pode gerir as definições para o Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administrador de Conhecimento Pode configurar conhecimento, aprendizagem e outras características inteligentes. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Gestor de Conhecimento Pode organizar, criar, gerir e promover tópicos e conhecimentos. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrador de Licença Pode gerir licenças de produtos em utilizadores e grupos. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administrador de fluxos de trabalho do ciclo de vida Criar e gerir todos os aspetos dos fluxos de trabalho e tarefas associados aos fluxos de trabalho do ciclo de vida em Azure AD. 59d46f88-662b-457b-bceb-5c3809e5908f
Leitor de Privacidade do Centro de Mensagens Pode ler mensagens de segurança e atualizações apenas no Office 365 Message Center. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Leitor do Centro de Mensagens Pode ler mensagens e atualizações para a sua organização apenas no Office 365 Message Center. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Utilizador de Comércio Moderno Pode gerir compras comerciais para uma empresa, departamento ou equipa. d24aef57-1500-4070-84db-2666f29cf966
Administrador de rede Pode gerir as localizações da rede e rever insights de design de rede empresarial para o Microsoft 365 Software como aplicações de serviço. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administrador de Aplicações de Escritório Pode gerir os serviços de cloud de aplicações do Office, incluindo a gestão de políticas e definições, e gerir a capacidade de selecionar, desescolhê-lo e publicar conteúdo de funcionalidades "quais as novidades" para os dispositivos do utilizador final. 2b745bdf-0803-4d80-aa65-822c493daac
Suporte parceiro Tier1 Não utilizar - não se destina a uso geral. 4ba39ca4-527c-499a-b93d-d9b492c50246
Suporte parceiro Tier2 Não utilizar - não se destina a uso geral. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administrador de password Pode redefinir palavras-passe para administradores não-administradores e administradores de passwords. 966707d0-3269-4727-9be2-8c3a10f19b9d
Administrador de Gestão de Permisses Pode gerir todos os aspetos da Gestão de Permisses. af78dc32-cf4d-46f9-ba4e-4428526346b5
Administrador de Bi de Energia Pode gerir todos os aspetos do produto Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Administrador da Plataforma de Energia Pode criar e gerir todos os aspetos do Microsoft Dynamics 365, Power Apps e Power Automamate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrador de impressora Pode gerir todos os aspetos das impressoras e conectores de impressoras. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Técnico de impressora Pode registar-se e não registar impressoras e atualizar o estado da impressora. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrador de Autenticação Privilegiada Pode aceder à visualização, definição e reposição de informações do método de autenticação para qualquer utilizador (administrador ou não administrador). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrador de Funções com Privilégios Pode gerir atribuições de papéis em Azure AD, e todos os aspetos da Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Leitor de Relatórios Pode ler relatórios de inscrição e auditoria. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administrador de Pesquisa Pode criar e gerir todos os aspetos das definições de Pesquisa do Microsoft. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor de Pesquisa Pode criar e gerir os conteúdos editoriais tais como marcadores, Q e As, localizações, planta. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrador de Segurança Pode ler informações de segurança e relatórios e gerir a configuração em Azure AD e Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Operador de Segurança Cria e gere eventos de segurança. 5f222b1-57c3-48ba-8ad5-d4759f1f1fde6f
Leitor de Segurança Pode ler informações de segurança e relatórios em Azure AD e Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Administrador de Suporte de Serviço Pode ler informações de saúde do serviço e gerir bilhetes de apoio. f023fd81-a637-4b56-95fd-791ac0226033
Administrador do SharePoint Pode gerir todos os aspetos do serviço SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Administrador Skype para Empresas Pode gerir todos os aspetos do produto Skype para Empresas. 75941009-915a-4869-abe7-691bff18279e
Administrador de Equipas Pode gerir o serviço Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administrador de Comunicações de Equipas Pode gerir funcionalidades de chamadas e reuniões dentro do serviço Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Engenheiro de Suporte de Comunicações de Equipas Pode resolver problemas de comunicação dentro das equipas usando ferramentas avançadas. f70938a0-fc10-4177-9e90-2178f8765737
Especialista em Apoio às Comunicações das Equipas Pode resolver problemas de comunicação dentro das equipas usando ferramentas básicas. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrador de Dispositivos de Equipas Pode executar tarefas relacionadas com a gestão em dispositivos certificados por Equipas. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Leitor de Relatórios de Resumo de Utilização Pode ver apenas agregados de nível de inquilino no Microsoft 365 Usage Analytics e Productivity Score. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrador de Utilizadores Pode gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados. fe930be7-5e62-47db-91af-98c3a49a38b1
Administrador de Visitas Virtuais Gerir e partilhar informações e métricas de Visitas Virtuais a partir de centros de administração ou da app Visitas Virtuais. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Administrador Windows 365 Pode providenciar e gerir todos os aspetos dos Computadores Cloud. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Administrador de Windows Update De implementação Pode criar e gerir todos os aspetos das implementações Windows Update através do Windows Update para o serviço de implementação de negócios. 32696413-001a-46ae-978c-ce0f6b3620d2
Administrador yammer Gerir todos os aspetos do serviço Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Administrador da Aplicação

Os utilizadores desta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e configurações de procuração de aplicações. Note que os utilizadores destacados para esta função não são adicionados como proprietários ao criar novos registos de aplicações ou aplicações empresariais.

Esta função também concede a capacidade de consentir para permissões delegadas e permissões de aplicação, com exceção das permissões de aplicação para o Microsoft Graph.

Importante

Esta exceção significa que ainda pode consentir permissões de aplicações para outras aplicações (por exemplo, aplicações não Microsoft ou apps que tenha registado). Ainda pode solicitar estas permissões como parte do registo da app, mas conceder (isto é, consentir) estas permissões requer um administrador mais privilegiado, como o Administrador Global.

Esta função confere a capacidade de gerir as credenciais de aplicação. Os utilizadores designados para esta função podem adicionar credenciais a uma aplicação, e usar essas credenciais para personificar a identidade da aplicação. Se a identidade da aplicação tiver tido acesso a um recurso, como a capacidade de criar ou atualizar o Utilizador ou outros objetos, então um utilizador designado para esta função poderá executar essas ações enquanto se faz passar pela aplicação. Esta capacidade de personificar a identidade da aplicação pode ser uma elevação de privilégios sobre o que o utilizador pode fazer através das suas atribuições de funções. É importante entender que atribuir um utilizador à função de Administrador de Aplicação dá-lhes a capacidade de personificar a identidade de uma aplicação.

Ações Descrição
microsoft.directy/adminConsentRequestPolicy/allProperties/allTasks Gerir políticas de pedido de consentimento administrativo em Azure AD
microsoft.diretório/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD
microsoft.diretório/aplicações/criar Criar todos os tipos de aplicações
microsoft.diretório/aplicações/delete Eliminar todos os tipos de aplicações
microsoft.diretório/aplicações/applicationProxy/read Leia todas as propriedades de procuração de aplicações
microsoft.diretório/aplicações/applicationProxy/update Atualizar todas as propriedades de procuração de aplicações
microsoft.diretório/aplicações/applicationProxyAuthentication/update Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/aplicaçãoProxySslCertificate/update Atualizar as definições de certificado SSL para procuração de aplicações
microsoft.diretório/aplicações/aplicaçãoProxyUrlSettings/update Atualizar definições de URL para procuração de aplicação
microsoft.diretório/aplicações/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicações
microsoft.diretório/aplicações/audiência/atualização Atualizar a propriedade do público para aplicações
microsoft.diretório/aplicações/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/básico/atualização Atualizar propriedades básicas para aplicações
microsoft.diretório/aplicações/credenciais/atualização Atualizar credenciais de aplicação
microsoft.diretório/aplicações/extensõesProperties/update Atualizar propriedades de extensão em aplicações
microsoft.diretório/aplicações/notas/atualização Atualizações de notas de aplicações
microsoft.diretório/aplicações/proprietários/atualização Atualizar os proprietários de aplicações
microsoft.diretório/aplicações/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/aplicações/tag/update Atualização de tags de aplicações
microsoft.diretório/aplicações/verificação/atualização Atualizar propriedade de confirmação de aplicações
microsoft.diretório/aplicações/sincronização/standard/read Leia as definições de provisionamento associadas ao objeto de aplicação
microsoft.diretório/aplicaçãoTemplates/instantiate Aplicações instantâneas de galeria a partir de modelos de aplicação
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/conectores/criar Criar conectores de procuração de aplicação
microsoft.diretório/conectores/allProperties/read Leia todas as propriedades dos conectores de procuração de aplicação
microsoft.diretório/conectorGroups/criar Criar grupos de conector de procuração de aplicação
microsoft.diretório/conectorGroups/delete Eliminar grupos de conector de procuração de aplicação
microsoft.diretório/conectorGroups/allProperties/read Leia todas as propriedades dos grupos de conector de procuração de aplicação
microsoft.diretório/conectorGroups/allProperties/update Atualizar todas as propriedades dos grupos de conector de procuração de aplicação
microsoft.diretório/customAuthenticationExtensions/allProperties/allTasks Criar e gerir extensões de autenticação personalizadas
microsoft.diretório/deletedItems.applications/delete Eliminar permanentemente as aplicações, que já não podem ser restauradas
microsoft.diretório/deletedItems.applications/restore Restaurar aplicações suaves eliminadas para o estado original
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/aplicaçãoPolicies/create Criar políticas de aplicação
microsoft.diretório/aplicaçãoPolicies/delete Eliminar políticas de aplicação
microsoft.diretório/aplicaçãoPolicies/standard/read Ler propriedades padrão das políticas de aplicação
microsoft.diretório/aplicaçãoPolícias/proprietários/ler Leia os proprietários sobre as políticas de aplicação
microsoft.diretório/aplicaçãoPolicies/policyAppliedTo/read Ler políticas de aplicação aplicadas à lista de objetos
microsoft.diretório/aplicaçãoPolicies/basic/update Atualizar propriedades padrão das políticas de aplicação
microsoft.diretório/aplicaçãoPolícias/proprietários/atualização Atualizar a propriedade do proprietário das políticas de aplicação
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/serviçoPrincipals/criar Criar principais de serviço
microsoft.diretório/serviçoPrincipals/delete Eliminar os principais de serviço
microsoft.diretório/serviçoPrincipals/desativar Diretores de serviço para desativação
microsoft.diretório/serviçoPrincipals/enable Ativar os principais de serviço
microsoft.diretório/serviçoPrincipals/getPasswordSingleSignOnCredentials Gerir credenciais de inscrição únicas de senha nos principais de serviço
microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage Gerir o fornecimento de formulários e credenciais
microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização
microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações
microsoft.diretório/serviçoPrincipals/managePasswordSingleSignOnCredentials Leia credenciais de inscrição únicas na palavra-passe nos principais do serviço
microsoft.diretório/serviçoPrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimento para permissões de aplicação e permissões delegadas em nome de qualquer utilizador ou de todos os utilizadores, exceto para permissões de aplicação para Microsoft Graph
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/serviçoPrincipals/audience/update Atualizar propriedades do público em diretores de serviço
microsoft.diretório/serviçoPrincipals/autenticação/atualização Atualizar propriedades de autenticação em principados de serviço
microsoft.diretório/serviçoPrincipals/básico/atualização Atualizar propriedades básicas em principais serviços
microsoft.diretório/serviçoPrincipals/credenciais/atualização Atualizar credenciais dos principados de serviços
microsoft.diretório/serviçoPrincipals/notas/atualização Atualização de notas dos principados de serviços
microsoft.diretório/serviçoPrincipals/proprietários/atualização Atualizar os proprietários dos principados de serviços
microsoft.diretório/serviçoPrincipals/permissões/atualização Atualizar permissões dos principais serviços
microsoft.diretório/serviçoPrincipals/políticas/atualização Atualizar políticas dos principais serviços
microsoft.diretório/serviçoPrincipals/tag/update Atualizar a propriedade tag para os principados de serviço
microsoft.diretório/serviçoPrincipals/sincronização/standard/read Leia as definições de provisionamento associadas ao seu principal serviço
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Programador de Aplicações

Os utilizadores desta função podem criar registos de aplicações quando a definição de "Utilizadores podem registar aplicações" é definida como Nº. Esta função também concede permissão para consentir em nome próprio quando a definição de "Utilizadores podem consentir em aplicações que acedam aos dados da empresa em seu nome". Os utilizadores destacados para esta função são adicionados como proprietários ao criarem novos registos de aplicações.

Ações Descrição
microsoft.diretório/aplicações/createAsOwner Crie todos os tipos de aplicações, e o criador é adicionado como o primeiro proprietário
microsoft.diretório/oAuth2PermissionGrants/createAsOwner Criar bolsas de permissão OAuth 2.0, com o criador como o primeiro proprietário
microsoft.diretório/serviçoPrincipals/createAsOwner Criar diretores de serviço, com o criador como o primeiro proprietário

Autor de carga útil de ataque

Os utilizadores desta função podem criar cargas de ataque, mas não realmente lançá-las ou programar. As cargas de ataque estão então disponíveis para todos os administradores do inquilino que podem usá-los para criar uma simulação.

Ações Descrição
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Criar e gerir cargas de ataque no Simulador de Ataque
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatos de respostas de simulação de ataque e treino associado

Administrador de simulação de ataque

Os utilizadores desta função podem criar e gerir todos os aspetos da criação de simulação de ataque, lançamento/agendamento de uma simulação e revisão dos resultados da simulação. Os membros desta função têm este acesso a todas as simulações no arrendatário.

Ações Descrição
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Criar e gerir cargas de ataque no Simulador de Ataque
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatos de respostas de simulação de ataque e treino associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Criar e gerir modelos de simulação de ataque no Simulador de Ataque

Administrador de atribuição de atributos

Os utilizadores com esta função podem atribuir e remover chaves e valores de atributos de segurança personalizados para objetos Azure AD suportados, tais como utilizadores, princípios de serviço e dispositivos.

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.

Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.

Ações Descrição
microsoft.diretório/atributoSets/allProperties/read Leia todas as propriedades dos conjuntos de atributos
microsoft.diretório/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizadas
microsoft.diretório/dispositivos/customSecurityAttributes/read Leia valores de atributos de segurança personalizados para dispositivos
microsoft.diretório/dispositivos/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para dispositivos
microsoft.diretório/serviçoPrincipals/customSecurityAttributes/read Leia valores de atributos de segurança personalizados para os principados de serviço
microsoft.diretório/serviçoPrincipals/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para os principados de serviço
microsoft.diretório/utilizadores/customSecurityAttributes/read Leia valores de atributos de segurança personalizados para os utilizadores
microsoft.diretório/utilizadores/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para utilizadores

Leitor de atribuição de atributos

Os utilizadores com esta função podem ler chaves e valores de atributos de segurança personalizados para objetos Azure AD suportados.

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.

Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.

Ações Descrição
microsoft.diretório/atributoSets/allProperties/read Leia todas as propriedades dos conjuntos de atributos
microsoft.diretório/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizadas
microsoft.diretório/dispositivos/customSecurityAttributes/read Leia valores de atributos de segurança personalizados para dispositivos
microsoft.diretório/serviçoPrincipals/customSecurityAttributes/read Leia valores de atributos de segurança personalizados para os principados de serviço
microsoft.diretório/utilizadores/customSecurityAttributes/read Leia valores de atributos de segurança personalizados para os utilizadores

Administrador de Definição de Atributos

Os utilizadores com esta função podem definir um conjunto válido de atributos de segurança personalizados que podem ser atribuídos a objetos Azure AD suportados. Esta função também pode ativar e desativar os atributos de segurança personalizados.

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.

Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.

Ações Descrição
microsoft.diretório/atributoSets/allProperties/allTasks Gerir todos os aspetos dos conjuntos de atributos
microsoft.diretório/customSecurityAttributeDefinitions/allProperties/allTasks Gerir todos os aspetos das definições de atributos de segurança personalizadas

Leitor de Definição de Atributos

Os utilizadores com esta função podem ler a definição de atributos de segurança personalizados.

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.

Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.

Ações Descrição
microsoft.diretório/atributoSets/allProperties/read Leia todas as propriedades dos conjuntos de atributos
microsoft.diretório/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizadas

Administrador de Autenticação

Os utilizadores com esta função podem definir ou redefinir qualquer método de autenticação (incluindo palavras-passe) para não administradores e algumas funções. Os Administradores de Autenticação podem exigir que os utilizadores que não sejam administradores ou que sejam designados para algumas funções se re-registem contra as credenciais não senhas existentes (por exemplo, MFA ou FIDO), podendo também revogar o recorde de MFA no dispositivo, que solicita mFA no próximo registo. Para obter uma lista das funções que um Administrador de Autenticação pode ler ou atualizar métodos de autenticação, consulte Quem pode redefinir as palavras-passe.

Os Administradores de Autenticação podem atualizar atributos sensíveis para alguns utilizadores. Para obter uma lista das funções que um Administrador de Autenticação pode atualizar atributos sensíveis, consulte Quem pode atualizar atributos sensíveis.

A função de Administrador de Autenticação Privilegiada tem permissão para forçar o reencamédrico e a autenticação multifactor para todos os utilizadores.

A função de Administrador de Política de Autenticação tem permissões para definir a política de método de autenticação do arrendatário que determina quais os métodos que cada utilizador pode registar e utilizar.

Função Gerir os métodos de auth do utilizador Gerir por utilizador MFA Gerir as definições de MFA Gerir a política do método auth Gerir a política de proteção de palavras-passe Atualizar atributos sensíveis
Administrador de Autenticação Sim para alguns utilizadores (ver acima) Sim para alguns utilizadores (ver acima) No No No Sim para alguns utilizadores (ver acima)
Administrador de Autenticação Privilegiada Sim para todos os utilizadores Sim para todos os utilizadores No No No Sim para todos os utilizadores
Administrador de Política de Autenticação No No Yes Yes Yes No

Importante

Os utilizadores com esta função podem alterar credenciais para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar as credenciais de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:

  • Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidas a Administradores de Autenticação. Por este caminho um Administrador de Autenticação pode assumir a identidade de titular de uma candidatura e, em seguida, assumir a identidade de uma aplicação privilegiada atualizando as credenciais para a aplicação.
  • Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
  • Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
  • Administradores em outros serviços fora de Azure AD como Exchange Online, Office 365 & Security Compliance Center e sistemas de recursos humanos.
  • Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.

Importante

Esta função não consegue gerir as definições de MFA no antigo portal de gestão de MFA ou fichas de OATH de Hardware. As mesmas funções podem ser realizadas utilizando o comando Set-MsolUser Azure AD módulo PowerShell.

Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.

Ações Descrição
microsoft.diretório/utilizadores/autenticaçãoMethods/criar Criar métodos de autenticação para os utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/delete Eliminar métodos de autenticação para utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/standard/restrictedRead Leia as propriedades padrão dos métodos de autenticação que não incluam informações pessoalmente identificáveis para os utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/basic/update Atualizar propriedades básicas dos métodos de autenticação para os utilizadores
microsoft.diretório/deletedItems.users/restore Restaurar os utilizadores suaves eliminados para o estado original
microsoft.diretório/utilizadores/delete Eliminar utilizadores
microsoft.diretório/utilizadores/desativar Desativar utilizadores
microsoft.diretório/utilizadores/enable Ativar os utilizadores
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/restaurar Restaurar utilizadores eliminados
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.directiony/users/userPrincipalName/update Atualizar o nome principal do utilizador dos utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Política de Autenticação

Os utilizadores com esta função podem configurar a política de métodos de autenticação, as definições de MFA em todo o inquilino e a política de proteção de senhas. Esta função permite gerir as definições de Proteção de Palavras-Passe: configurações de bloqueio inteligentes e atualização da lista de senhas proibidas personalizadas. Os Administradores de Política de Autenticação não podem atualizar atributos sensíveis para os utilizadores.

As funções de Administrador de Autenticação e Administrador de Autenticação Privilegiada têm permissão para gerir métodos de autenticação registados nos utilizadores e podem forçar o re-registo e a autenticação multifactor para todos os utilizadores.

Função Gerir os métodos de auth do utilizador Gerir por utilizador MFA Gerir as definições de MFA Gerir a política do método auth Gerir a política de proteção de palavras-passe Atualizar atributos sensíveis
Administrador de Autenticação Sim para alguns utilizadores (ver acima) Sim para alguns utilizadores (ver acima) No No No Sim para alguns utilizadores (ver acima)
Administrador de Autenticação Privilegiada Sim para todos os utilizadores Sim para todos os utilizadores No No No Sim para todos os utilizadores
Administrador de Política de Autenticação No No Yes Yes Yes No

Importante

Esta função não consegue gerir as definições de MFA no antigo portal de gestão de MFA ou fichas de OATH de Hardware.

Ações Descrição
microsoft.diretório/organização/strongAuthentication/allTasks Gerir todos os aspetos de propriedades de autenticação forte de uma organização
microsoft.diretório/userCredentialPolicies/create Criar políticas de credencial para os utilizadores
microsoft.diretório/userCredentialPolicies/delete Eliminar políticas de credencial para os utilizadores
microsoft.diretório/userCredentialPolicies/standard/read Ler propriedades padrão das políticas de credencial para os utilizadores
microsoft.diretório/userCredentialPolicies/owners/read Ler os proprietários de políticas de credencial para utilizadores
microsoft.diretório/userCredentialPolicies/policyAppliedTo/read Ler política.aplica-se Para link de navegação
microsoft.diretório/userCredentialPolicies/basic/update Atualizar políticas básicas para utilizadores
microsoft.diretório/userCredentialPolicies/owners/update Atualizar os proprietários de políticas credenciais para os utilizadores
microsoft.diretório/userCredentialPolicies/tenantDefault/update Política de atualização.isOrganizaçãoDefault propriedade
microsoft.diretório/verifiávelCredentais/configuração/contratos/cartões/allProperties/read Leia um cartão de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/cartões/revogar Revogar um cartão de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/criar Criar um contrato de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/allProperties/read Leia um contrato de credencial verificável
microsoft.diretório/verifiableCredentials/configuration/contracts/allProperties/update Atualizar um contrato de credencial verificável
microsoft.diretório/verifiableCredentis/configuration/create Criar configuração necessária para criar e gerir credenciais verificáveis
microsoft.diretório/verifiávelCredentais/configuração/delete Eliminar a configuração necessária para criar e gerir credenciais verificáveis e eliminar todas as suas credenciais verificáveis
microsoft.diretório/verifiávelCredentis/configuração/allProperties/read Leia a configuração necessária para criar e gerir credenciais verificáveis
microsoft.diretório/verifiávelCredentiss/configuração/allProperties/update Configuração de atualização necessária para criar e gerir credenciais verificáveis
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure

Azure AD administrador local do dispositivo

Esta função está disponível para atribuição apenas como administrador local adicional nas definições do Dispositivo. Os utilizadores com esta função tornam-se administradores de máquinas locais em todos os dispositivos Windows 10 que se juntam ao Azure Ative Directory. Não têm a capacidade de gerir objetos de dispositivos no Azure Ative Directory.

Ações Descrição
microsoft.diretório/grupoSettings/standard/read Ler propriedades básicas nas definições de grupo
microsoft.diretório/groupSettingTemplates/standard/read Leia propriedades básicas em modelos de definição de grupo

Administrador da Azure DevOps

Os utilizadores com esta função podem gerir todas as políticas da empresa Azure DevOps, aplicáveis a todas as organizações Azure DevOps apoiadas pela Azure AD. Os utilizadores desta função podem gerir estas políticas navegando para qualquer organização Azure DevOps que seja apoiada pela Azure AD da empresa. Além disso, os utilizadores desta função podem reivindicar a propriedade de organizações órfãs de Azure DevOps. Esta função não concede outras permissões específicas da Azure DevOps (por exemplo, Administradores de Cobrança de Projetos) dentro de qualquer uma das organizações Azure DevOps apoiadas pela organização Azure AD da empresa.

Ações Descrição
microsoft.azure.devOps/allEntities/allTasks Ler e configurar Azure DevOps

Administrador de Information Protection Azure

Os utilizadores com esta função têm todas as permissões no serviço Azure Information Protection. Esta função permite configurar rótulos para a política de Information Protection Azure, gerir modelos de proteção e ativar a proteção. Esta função não concede quaisquer permissões no Centro de Proteção de Identidade, Privileged Identity Management, Monitor Microsoft 365 Service Health ou Office 365 Security & Compliance Center.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.azure.informationProtection/allEntities/allTasks Gerir todos os aspetos do Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador do Keyset B2C IEF

O utilizador pode criar e gerir chaves e segredos de política para encriptação simbólica, assinaturas simbólicas e alegar encriptação/desencriptação. Ao adicionar novas chaves aos recipientes-chave existentes, este administrador limitado pode revirar os segredos necessários sem afetar as aplicações existentes. Este utilizador pode ver todo o conteúdo destes segredos e as datas de validade mesmo após a sua criação.

Importante

Este é um papel sensível. A função de administrador do keyset deve ser cuidadosamente auditada e atribuída com cuidado durante a pré-produção e a produção.

Ações Descrição
microsoft.directy/b2cTrustFrameworkKeySet/allProperties/allTasks Leia e configuure conjuntos de chaves no Azure Ative Directory B2C

Administrador de Política B2C IEF

Os utilizadores desta função têm a capacidade de criar, ler, atualizar e eliminar todas as políticas personalizadas em Azure AD B2C e, portanto, ter total controlo sobre o Quadro de Experiência de Identidade na organização Azure AD B2C relevante. Ao editar políticas, este utilizador pode estabelecer uma federação direta com fornecedores de identidade externos, alterar o esquema de diretório, alterar todos os conteúdos voltados para o utilizador (HTML, CSS, JavaScript), alterar os requisitos para completar uma autenticação, criar novos utilizadores, enviar dados de utilizadores para sistemas externos, incluindo migrações completas, e editar todas as informações do utilizador, incluindo campos sensíveis, como palavras-passe e números de telefone. Inversamente, este papel não pode alterar as chaves de encriptação ou editar os segredos usados para a federação na organização.

Importante

O Administrador de Política B2 IEF é um papel altamente sensível que deve ser atribuído numa base muito limitada às organizações em produção. As atividades destes utilizadores devem ser auditadas de perto, especialmente para as organizações em produção.

Ações Descrição
microsoft.directy/b2cTrustFrameworkPolicy/allProperties/allTasks Leia e configuure políticas personalizadas no Azure Ative Directory B2C

Administrador de Faturação

Efetua compras, gere subscrições, gere pedidos de suporte e monitoriza o estado de funcionamento do serviço.

Ações Descrição
microsoft.diretório/organização/básico/atualização Atualizar propriedades básicas na organização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Gerir todos os aspetos da faturação Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Segurança de Aplicativos cloud

Os utilizadores com esta função têm permissões completas no Defender para aplicações cloud. Podem adicionar administradores, adicionar políticas e configurações Microsoft Defender for Cloud Apps, carregar registos e executar ações de governação.

Ações Descrição
microsoft.directy/cloudAppSecurity/allProperties/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Aplicações na Cloud

Os utilizadores nesta função têm as mesmas permissões que a função de Administrador de Aplicação, excluindo a capacidade de gerir o proxy da aplicação. Esta função confere a capacidade de criar e gerir todos os aspetos dos pedidos de empresa e dos registos de candidaturas. Os utilizadores destacados para esta função não são adicionados como proprietários ao criar novos registos de aplicações ou aplicações empresariais.

Esta função também concede a capacidade de consentir para permissões delegadas e permissões de aplicação, com exceção das permissões de aplicação para o Microsoft Graph.

Importante

Esta exceção significa que ainda pode consentir permissões de aplicações para outras aplicações (por exemplo, aplicações não Microsoft ou apps que tenha registado). Ainda pode solicitar estas permissões como parte do registo da app, mas conceder (isto é, consentir) estas permissões requer um administrador mais privilegiado, como o Administrador Global.

Esta função confere a capacidade de gerir as credenciais de aplicação. Os utilizadores designados para esta função podem adicionar credenciais a uma aplicação, e usar essas credenciais para personificar a identidade da aplicação. Se a identidade da aplicação tiver tido acesso a um recurso, como a capacidade de criar ou atualizar o Utilizador ou outros objetos, então um utilizador designado para esta função poderá executar essas ações enquanto se faz passar pela aplicação. Esta capacidade de personificar a identidade da aplicação pode ser uma elevação de privilégios sobre o que o utilizador pode fazer através das suas atribuições de funções. É importante entender que atribuir um utilizador à função de Administrador de Aplicação dá-lhes a capacidade de personificar a identidade de uma aplicação.

Ações Descrição
microsoft.directy/adminConsentRequestPolicy/allProperties/allTasks Gerir políticas de pedido de consentimento administrativo em Azure AD
microsoft.diretório/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD
microsoft.diretório/aplicações/criar Criar todos os tipos de aplicações
microsoft.diretório/aplicações/delete Eliminar todos os tipos de aplicações
microsoft.diretório/aplicações/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicações
microsoft.diretório/aplicações/audiência/atualização Atualizar a propriedade do público para aplicações
microsoft.diretório/aplicações/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/básico/atualização Atualizar propriedades básicas para aplicações
microsoft.diretório/aplicações/credenciais/atualização Atualizar credenciais de aplicação
microsoft.diretório/aplicações/extensõesProperties/update Atualizar propriedades de extensão em aplicações
microsoft.diretório/aplicações/notas/atualização Atualizações de notas de aplicações
microsoft.diretório/aplicações/proprietários/atualização Atualizar os proprietários de aplicações
microsoft.diretório/aplicações/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/aplicações/tag/update Atualização de tags de aplicações
microsoft.diretório/aplicações/verificação/atualização Atualizar propriedade de confirmação de aplicações
microsoft.diretório/aplicações/sincronização/standard/read Leia as definições de provisionamento associadas ao objeto de aplicação
microsoft.diretório/aplicaçãoTemplates/instantiate Aplicações instantâneas de galeria a partir de modelos de aplicação
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/deletedItems.applications/delete Eliminar permanentemente as aplicações, que já não podem ser restauradas
microsoft.diretório/deletedItems.applications/restore Restaurar aplicações suaves eliminadas para o estado original
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/aplicaçãoPolicies/create Criar políticas de aplicação
microsoft.diretório/aplicaçãoPolicies/delete Eliminar políticas de aplicação
microsoft.diretório/aplicaçãoPolicies/standard/read Ler propriedades padrão das políticas de aplicação
microsoft.diretório/aplicaçãoPolícias/proprietários/ler Leia os proprietários sobre as políticas de aplicação
microsoft.diretório/aplicaçãoPolicies/policyAppliedTo/read Ler políticas de aplicação aplicadas à lista de objetos
microsoft.diretório/aplicaçãoPolicies/basic/update Atualizar propriedades padrão das políticas de aplicação
microsoft.diretório/aplicaçãoPolícias/proprietários/atualização Atualizar a propriedade do proprietário das políticas de aplicação
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/serviçoPrincipals/criar Criar principais de serviço
microsoft.diretório/serviçoPrincipals/delete Eliminar os principais de serviço
microsoft.diretório/serviçoPrincipals/desativar Diretores de serviço para desativação
microsoft.diretório/serviçoPrincipals/enable Ativar os principais de serviço
microsoft.diretório/serviçoPrincipals/getPasswordSingleSignOnCredentials Gerir credenciais de inscrição únicas de senha nos principais de serviço
microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage Gerir o fornecimento de formulários e credenciais
microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização
microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações
microsoft.diretório/serviçoPrincipals/managePasswordSingleSignOnCredentials Leia credenciais de inscrição únicas na palavra-passe nos principais do serviço
microsoft.diretório/serviçoPrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimento para permissões de aplicação e permissões delegadas em nome de qualquer utilizador ou de todos os utilizadores, exceto para permissões de aplicação para Microsoft Graph
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/serviçoPrincipals/audience/update Atualizar propriedades do público em diretores de serviço
microsoft.diretório/serviçoPrincipals/autenticação/atualização Atualizar propriedades de autenticação em principados de serviço
microsoft.diretório/serviçoPrincipals/básico/atualização Atualizar propriedades básicas em principais serviços
microsoft.diretório/serviçoPrincipals/credenciais/atualização Atualizar credenciais dos principados de serviços
microsoft.diretório/serviçoPrincipals/notas/atualização Atualização de notas dos principados de serviços
microsoft.diretório/serviçoPrincipals/proprietários/atualização Atualizar os proprietários dos principados de serviços
microsoft.diretório/serviçoPrincipals/permissões/atualização Atualizar permissões dos principais serviços
microsoft.diretório/serviçoPrincipals/políticas/atualização Atualizar políticas dos principais serviços
microsoft.diretório/serviçoPrincipals/tag/update Atualizar a propriedade tag para os principados de serviço
microsoft.diretório/serviçoPrincipals/sincronização/standard/read Leia as definições de provisionamento associadas ao seu principal serviço
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de dispositivos de nuvem

Os utilizadores desta função podem ativar, desativar e eliminar dispositivos em Azure AD e ler Windows 10 teclas BitLocker (se presente) no portal do Azure. A função não concede permissões para gerir quaisquer outras propriedades no dispositivo.

Ações Descrição
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.diretório/deletedItems.devices/delete Eliminar permanentemente dispositivos, que já não podem ser restaurados
microsoft.diretório/deletedItems.devices/restore Restaurar dispositivos suaves eliminados para o estado original
microsoft.diretório/dispositivos/delete Eliminar dispositivos de Azure AD
microsoft.diretório/dispositivos/desativar Desativar dispositivos em Azure AD
microsoft.diretório/dispositivos/permitir Ativar dispositivos em Azure AD
microsoft.diretório/dispositivoManagementPolicies/standard/read Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoManagementPolicies/basic/update Atualizar propriedades básicas sobre políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/standard/read Leia propriedades padrão nas políticas de registo de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/basic/update Atualizar propriedades básicas nas políticas de registo de dispositivos
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365

Administrador de Conformidade

Os utilizadores com esta função têm permissões para gerir funcionalidades relacionadas com a conformidade no Portal de Conformidade do Microsoft Purview, centro de administração do Microsoft 365, Azure e Office 365 Security & Compliance Center. Os assignees também podem gerir todas as funcionalidades dentro do Centro de Administração Exchange e equipas & Skype para Empresas centros de administração e criar bilhetes de suporte para Azure e Microsoft 365. Mais informações estão disponíveis em funções de administração da Microsoft 365.

Em Pode fazer
Portal de Conformidade do Microsoft Purview Proteja e gere os dados da sua organização através dos serviços microsoft 365
Gerir alertas de conformidade
Gestor de Conformidade Acompanhe, atribua e verifique as atividades de conformidade regulamentar da sua organização
Segurança & Office 365 Centro de Conformidade Gerir a governação de dados
Realizar investigação legal e de dados
Gerir pedido de assunto de dados

Esta função tem as mesmas permissões que o RoleGroup do Administrador de Conformidade no Office 365 & controlo de acesso baseado em funções do Security Compliance Center.
Intune Ver todos os dados de auditoria Intune
Microsoft Defender for Cloud Apps Tem permissões só de leitura e pode gerir alertas
Pode criar e modificar políticas de ficheiros e permitir ações de governação de ficheiros
Pode ver todos os relatórios incorporados sob Gestão de Dados
Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.diretório/direitoManagement/allProperties/read Leia todos os imóveis em Azure AD gestão de direitos
microsoft.office365.complianceManager/allEntities/allTasks Gerir todos os aspetos do Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Dados de Conformidade

Os utilizadores com esta função têm permissões para rastrear dados nos Portal de Conformidade do Microsoft Purview, centro de administração do Microsoft 365 e Azure. Os utilizadores também podem rastrear dados de conformidade dentro do centro de administração Exchange, Compliance Manager e Teams & Skype para Empresas centro de administração e criar bilhetes de suporte para Azure e Microsoft 365. Esta documentação tem detalhes sobre diferenças entre o Administrador de Conformidade e o Administrador de Dados de Conformidade.

Em Pode fazer
Portal de Conformidade do Microsoft Purview Monitorize as políticas relacionadas com a conformidade em todos os serviços da Microsoft 365
Gerir alertas de conformidade
Gestor de Conformidade Acompanhe, atribua e verifique as atividades de conformidade regulamentar da sua organização
Segurança & Office 365 Centro de Conformidade Gerir a governação de dados
Realizar investigação legal e de dados
Gerir pedido de assunto de dados

Esta função tem as mesmas permissões que o Grupo de Função de Administrador de Dados de Conformidade em Office 365 & controlo de acesso baseado em funções do Security Compliance Center.
Intune Ver todos os dados de auditoria Intune
Microsoft Defender for Cloud Apps Tem permissões só de leitura e pode gerir alertas
Pode criar e modificar políticas de ficheiros e permitir ações de governação de ficheiros
Pode ver todos os relatórios incorporados sob Gestão de Dados
Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.directy/cloudAppSecurity/allProperties/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps
microsoft.azure.informationProtection/allEntities/allTasks Gerir todos os aspetos do Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.complianceManager/allEntities/allTasks Gerir todos os aspetos do Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de acesso condicional

Os utilizadores com esta função têm a capacidade de gerir as definições de Acesso Condicional do Diretório Ativo Azure.

Ações Descrição
microsoft.diretório/nomeadosLocações/criar Criar regras personalizadas que definem localizações de rede
microsoft.diretório/nomeadosLocações/delete Eliminar regras personalizadas que definem as localizações da rede
microsoft.diretório/nomeadosLocações/standard/read Leia propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/nomeadosLocações/básico/atualização Atualizar propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/condicionalAccessPolicies/create Criar políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/delete Eliminar políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/standard/read Ler acesso condicional para políticas
microsoft.diretório/condicionalAccessPolicies/owners/read Leia os proprietários de políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/policyAppliedTo/read Leia a propriedade "aplicada" para políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/basic/update Atualizar propriedades básicas para políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/proprietários/update Atualizar os proprietários para políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/tenantDefault/update Atualizar o inquilino predefinido para políticas de acesso condicional

Aprovação de acesso ao cliente LockBox

Gere os pedidos de Lockbox do Cliente na sua organização. Recebem notificações por e-mail para pedidos de Bloqueio de Clientes e podem aprovar e negar pedidos da centro de administração do Microsoft 365. Também podem ligar ou desligar a função 'Lockbox' do cliente. Apenas os Administradores Globais podem redefinir as palavras-passe das pessoas afetadas a esta função.

Ações Descrição
microsoft.office365.lockbox/allEntities/allTasks Gerir todos os aspetos do Lockbox do Cliente
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador Análise de Computadores

Os utilizadores desta função podem gerir o serviço Análise de Computadores. Isto inclui a capacidade de visualizar o inventário de ativos, criar planos de implementação e ver a implementação e o estado de saúde.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Gerir todos os aspetos da Análise de Computadores

Leitores de Diretório

Os utilizadores desta função podem ler informações básicas do diretório. Esta função deve ser utilizada para:

  • Concedendo um conjunto específico de utilizadores convidados leia o acesso em vez de conceder a todos os utilizadores convidados.
  • Conceder um conjunto específico de utilizadores não administrativos ao acesso a portal do Azure quando "Restringir o acesso a Azure AD portal apenas para administradores" está definido para "Sim".
  • Conceder aos diretores de serviço acesso ao diretório onde o Diretório.Read.Tudo não é uma opção.
Ações Descrição
microsoft.diretório/administrativoSSunits/standard/read Ler propriedades básicas em unidades administrativas
microsoft.diretório/administrativoSIns/membros/ler Ler membros das unidades administrativas
microsoft.diretório/aplicações/standard/read Ler propriedades padrão das aplicações
microsoft.diretório/aplicações/proprietários/ler Ler proprietários de candidaturas
microsoft.diretório/aplicações/políticas/ler Ler políticas de aplicações
microsoft.diretório/contactos/standard/read Leia propriedades básicas em contactos em Azure AD
microsoft.diretório/contactos/memberOf/read Leia a adesão ao grupo para todos os contactos em Azure AD
microsoft.diretório/contratos/standard/read Ler propriedades básicas em contratos de parceiros
microsoft.diretório/dispositivos/standard/read Ler propriedades básicas em dispositivos
microsoft.diretório/dispositivos/memberOf/read Leia os membros do dispositivo
microsoft.diretório/dispositivos/registadosSowners/read Ler os proprietários registados de dispositivos
microsoft.diretório/dispositivos/registros/ler Ler utilizadores registados de dispositivos
microsoft.diretório/directórioRoles/standard/read Ler propriedades básicas em papéis Azure AD
microsoft.diretório/directórioRoles/elegíveisMembers/read Leia os membros elegíveis das funções Azure AD
microsoft.diretório/diretório/membros/ler Leia todos os membros das funções Azure AD
microsoft.diretório/domínios/standard/read Ler propriedades básicas em domínios
microsoft.diretório/grupos/standard/read Leia propriedades padrão de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos/appRoleAssignments/read Ler atribuições de funções de candidatura de grupos
microsoft.diretório/grupos/memberOf/read Leia a propriedade membroOf em grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos/membros/ler Leia membros de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos/proprietários/ler Leia os proprietários de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos/definições/ler Ler configurações de grupos
microsoft.diretório/grupoSettings/standard/read Ler propriedades básicas nas definições de grupo
microsoft.diretório/groupSettingTemplates/standard/read Leia propriedades básicas em modelos de definição de grupo
microsoft.diretório/oAuth2PermissionGrants/standard/read Ler propriedades básicas em bolsas de autorização OAuth 2.0
microsoft.diretório/organização/standard/read Ler propriedades básicas em uma organização
microsoft.diretório/organização/trustedCAsForPasslessAuth/read Ler autoridades de certificados fidedignos para autenticação sem palavra-passe
microsoft.diretório/aplicaçãoPolicies/standard/read Ler propriedades padrão das políticas de aplicação
microsoft.diretório/papelAssignments/standard/read Ler propriedades básicas em atribuições de funções
microsoft.diretório/roleDefinitions/standard/read Ler propriedades básicas sobre definições de funções
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/read Ler atribuições principais de funções de serviço
microsoft.diretório/serviçoPrincipals/appRoleAssignments/read Ler atribuições de funções atribuídas a diretores de serviço
microsoft.diretório/serviçoPrincipals/standard/read Ler propriedades básicas dos principados de serviço
microsoft.diretório/serviçoPrincipals/memberOf/read Leia os membros do grupo em diretores de serviço
microsoft.diretório/serviçoPrincipals/oAuth2PermissionGrants/read Ler subsídios de autorização delegados em diretores de serviço
microsoft.diretório/serviçoPrincipals/proprietários/ler Ler os proprietários dos principados de serviços
microsoft.diretório/serviçoPrincipals/ownedObjects/read Ler objetos de propriedade de diretores de serviço
microsoft.diretório/serviçoPrincipals/políticas/ler Ler políticas dos diretores de serviços
microsoft.diretório/subscritoSkus/standard/read Ler propriedades básicas em subscrições
microsoft.diretório/utilizadores/standard/read Ler propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/appRoleAssignments/read Ler atribuições de funções de aplicação para utilizadores
microsoft.diretório/utilizadores/deviceForResourceAccount/read Ler dispositivoForResourceA contagem de utilizadores
microsoft.directy/users/directReports/read Leia os relatórios diretos para os utilizadores
microsoft.diretório/utilizadores/licenseDetails/read Ler detalhes da licença dos utilizadores
microsoft.diretório/utilizadores/gestor/leitura Ler gestor de utilizadores
microsoft.diretório/utilizadores/membroOf/read Leia os membros do grupo dos utilizadores
microsoft.diretório/utilizadores/oAuth2PermissionGrants/read Ler subsídios de autorização delegados aos utilizadores
microsoft.diretório/utilizadores/propriedadeDevices/ler Ler dispositivos de propriedade dos utilizadores
microsoft.diretório/utilizadores/ownedObjects/read Ler objetos de propriedade dos utilizadores
microsoft.diretório/utilizadores/foto/ler Ler foto dos utilizadores
microsoft.diretório/utilizadores/registradoDevices/read Ler dispositivos registados de utilizadores
microsoft.diretório/utilizadores/scopedRoleMemberOf/read Leia a adesão do utilizador a uma função Azure AD, que é alargada a uma unidade administrativa

Contas de Sincronização do Diretório

Não utilizar. Esta função é automaticamente atribuída ao serviço Azure AD Connect, e não se destina ou suporta qualquer outra utilização.

Ações Descrição
microsoft.diretório/aplicações/criar Criar todos os tipos de aplicações
microsoft.diretório/aplicações/delete Eliminar todos os tipos de aplicações
microsoft.diretório/aplicações/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicações
microsoft.diretório/aplicações/audiência/atualização Atualizar a propriedade do público para aplicações
microsoft.diretório/aplicações/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/básico/atualização Atualizar propriedades básicas para aplicações
microsoft.diretório/aplicações/credenciais/atualização Atualizar credenciais de aplicação
microsoft.diretório/aplicações/notas/atualização Atualizações de notas de aplicações
microsoft.diretório/aplicações/proprietários/atualização Atualizar os proprietários de aplicações
microsoft.diretório/aplicações/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/aplicações/tag/update Atualização de tags de aplicações
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/híbridoAuthenticationPolicy/allProperties/allTasks Gerir a política de autenticação híbrida em Azure AD
microsoft.diretório/organização/dirSync/update Atualizar a propriedade de sincronização de diretórios de organização
microsoft.diretório/passwordHashSync/allProperties/allTasks Gerir todos os aspetos da Sincronização de Hash (PHS) de password em Azure AD
microsoft.diretório/políticas/criar Criar políticas em Azure AD
microsoft.diretório/políticas/excluir Eliminar políticas em Azure AD
microsoft.diretório/políticas/standard/read Ler propriedades básicas sobre políticas
microsoft.diretório/políticas/proprietários/ler Ler os proprietários de políticas
microsoft.diretório/políticas/policyAppliedTo/read Ler políticas.policyAppliedTo propriedade
microsoft.diretório/políticas/básico/atualização Atualizar propriedades básicas sobre políticas
microsoft.diretório/políticas/proprietários/atualização Atualizar os proprietários de políticas
microsoft.diretório/políticas/tenantDefault/update Atualizar políticas de organização padrão
microsoft.diretório/serviçoPrincipals/criar Criar principais de serviço
microsoft.diretório/serviçoPrincipals/delete Eliminar os principais de serviço
microsoft.diretório/serviçoPrincipals/enable Ativar os principais de serviço
microsoft.diretório/serviçoPrincipals/desativar Diretores de serviço para desativação
microsoft.diretório/serviçoPrincipals/getPasswordSingleSignOnCredentials Gerir credenciais de inscrição únicas de senha nos principais de serviço
microsoft.diretório/serviçoPrincipals/managePasswordSingleSignOnCredentials Leia credenciais de inscrição únicas na palavra-passe nos principais do serviço
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/read Ler atribuições principais de funções de serviço
microsoft.diretório/serviçoPrincipals/appRoleAssignments/read Ler atribuições de funções atribuídas a diretores de serviço
microsoft.diretório/serviçoPrincipals/standard/read Ler propriedades básicas dos principados de serviço
microsoft.diretório/serviçoPrincipals/memberOf/read Leia os membros do grupo em diretores de serviço
microsoft.diretório/serviçoPrincipals/oAuth2PermissionGrants/read Ler subsídios de autorização delegados em diretores de serviço
microsoft.diretório/serviçoPrincipals/proprietários/ler Ler os proprietários dos principados de serviços
microsoft.diretório/serviçoPrincipals/ownedObjects/read Ler objetos de propriedade de diretores de serviço
microsoft.diretório/serviçoPrincipals/políticas/ler Ler políticas dos diretores de serviços
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/serviçoPrincipals/audience/update Atualizar propriedades do público em diretores de serviço
microsoft.diretório/serviçoPrincipals/autenticação/atualização Atualizar propriedades de autenticação em principados de serviço
microsoft.diretório/serviçoPrincipals/básico/atualização Atualizar propriedades básicas em principais serviços
microsoft.diretório/serviçoPrincipals/credenciais/atualização Atualizar credenciais dos principados de serviços
microsoft.diretório/serviçoPrincipals/notas/atualização Atualização de notas dos principados de serviços
microsoft.diretório/serviçoPrincipals/proprietários/atualização Atualizar os proprietários dos principados de serviços
microsoft.diretório/serviçoPrincipals/permissões/atualização Atualizar permissões dos principais serviços
microsoft.diretório/serviçoPrincipals/políticas/atualização Atualizar políticas dos principais serviços
microsoft.diretório/serviçoPrincipals/tag/update Atualizar a propriedade tag para os principados de serviço

Escritores do Diretório

Os utilizadores desta função podem ler e atualizar informações básicas de utilizadores, grupos e diretores de serviço. Atribua esta função apenas a aplicações que não suportam o Quadro de Consentimento. Não deve ser atribuído a nenhum utilizadores.

Ações Descrição
microsoft.diretório/aplicações/extensõesProperties/update Atualizar propriedades de extensão em aplicações
microsoft.diretório/contactos/criar Criar contactos
microsoft.diretório/grupos/assignLicense Atribuir licenças de produtos a grupos para licenciamento baseado em grupo
microsoft.diretório/grupos/criar Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/reprocessLicenseAssignment Reprocessar as atribuições de licenças para licenciamento baseado em grupo
microsoft.diretório/grupos/básico/atualização Atualizar propriedades básicas em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/classificação/atualização Atualizar a propriedade de classificação em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/dynamicMembershipRule/update Atualizar a regra de adesão dinâmica sobre grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/grupoType/atualização Atualizar propriedades que afetariam o tipo de grupo de grupos de grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/membros/atualização Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/onPremWriteBack/update Atualizar os grupos de Diretório Ativo Azure para serem reensitados para as instalações com Azure AD Connect
microsoft.diretório/grupos/proprietários/atualização Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/configurações/atualização Configurações de atualização de grupos
microsoft.diretório/grupos/visibilidade/atualização Atualizar a propriedade de visibilidade dos grupos de segurança e da Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupoSettings/create Criar definições de grupo
microsoft.diretório/grupoSettings/delete Eliminar definições do grupo
microsoft.diretório/grupoSettings/basic/update Atualizar propriedades básicas nas definições do grupo
microsoft.diretório/oAuth2PermissionGrants/create Criar bolsas de autorização OAuth 2.0
microsoft.diretório/oAuth2PermissionGrants/basic/update Atualizar bolsas de autorização OAuth 2.0
microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage Gerir o fornecimento de formulários e credenciais
microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização
microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/utilizadores/assignLicense Gerir licenças de utilizador
microsoft.diretório/utilizadores/criar Adicionar utilizadores
microsoft.diretório/utilizadores/desativar Desativar utilizadores
microsoft.diretório/utilizadores/enable Ativar os utilizadores
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/convidarGuest Convidar utilizadores
microsoft.diretório/utilizadores/reprocessLicenseAssignment Reprocessar as atribuições de licenças para utilizadores
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/foto/atualização Atualizar foto dos utilizadores
microsoft.directiony/users/userPrincipalName/update Atualizar o nome principal do utilizador dos utilizadores

Administrador de Nome de Domínio

Os utilizadores com esta função podem gerir (ler, adicionar, verificar, atualizar e eliminar) nomes de domínio. Também podem ler informações sobre utilizadores, grupos e aplicações, uma vez que estes objetos possuem dependências de domínio. Para ambientes no local, os utilizadores com esta função podem configurar nomes de domínio para a federação para que os utilizadores associados sejam sempre autenticados no local. Estes utilizadores podem então assinar serviços baseados em Azure AD com as suas senhas no local através de um único s-sign-on. As definições da Federação precisam de ser sincronizadas através do Azure AD Connect, para que os utilizadores também tenham permissões para gerir Azure AD Connect.

Ações Descrição
microsoft.diretório/domínios/allProperties/allTasks Criar e eliminar domínios, e ler e atualizar todas as propriedades
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador dinâmico 365

Os utilizadores com esta função têm permissões globais dentro do Microsoft Dynamics 365 Online, quando o serviço está presente, bem como a capacidade de gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações na Utilização do papel de administrador de serviço para gerir a sua organização Azure AD.

Nota

No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço Dinâmico 365". É "Administrador Dinâmico 365" no portal do Azure.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.dynamics365/allEntities/allTasks Gerir todos os aspetos da Dinâmica 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de borda

Os utilizadores desta função podem criar e gerir a lista de sites da empresa necessária para o modo Internet Explorer no Microsoft Edge. Esta função concede permissões para criar, editar e publicar a lista do site e, além disso, permite o acesso à gestão de bilhetes de apoio. Saiba mais

Ações Descrição
microsoft.edge/allEntities/allProperties/allTasks Gerir todos os aspetos do Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador do Exchange

Os utilizadores com esta função têm permissões globais dentro de Microsoft Exchange Online, quando o serviço está presente. Também tem a capacidade de criar e gerir todos os grupos Microsoft 365, gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações sobre as funções de administração da Microsoft 365.

Nota

No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço de Câmbio". É "Administrador de Câmbio" no portal do Azure. É "administrador Exchange Online" no centro de administração exchange.

Ações Descrição
microsoft.diretório/grupos/hiddenMembers/read Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/criar Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/delete Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/restaurar Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/básico/atualização Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/membros/atualização Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/proprietários/atualização Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.exchange/allEntities/basic/allTasks Gerir todos os aspetos da Exchange Online
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador do Destinatário de Intercâmbio

Os utilizadores com esta função leram o acesso aos destinatários e escreveram acesso aos atributos desses destinatários em Exchange Online. Mais informações em Exchange Recipients.

Ações Descrição
microsoft.office365.exchange/allRecipients/allProperties/allTasks Criar e eliminar todos os destinatários e ler e atualizar todas as propriedades dos destinatários em Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Gerir todas as tarefas relacionadas com a migração de destinatários em Exchange Online

Administrador de fluxo de id externo

Os utilizadores com esta função podem criar e gerir fluxos de utilizadores (também chamados políticas "incorporadas") no portal do Azure. Estes utilizadores podem personalizar o conteúdo HTML/CSS/JavaScript, alterar os requisitos de MFA, selecionar reclamações no token, gerir conectores API e suas credenciais e configurar as definições de sessão para todos os fluxos de utilizador na organização Azure AD. Por outro lado, esta função não inclui a capacidade de rever os dados dos utilizadores ou de fazer alterações nos atributos que estão incluídos no esquema da organização. As alterações às políticas do Quadro de Experiência de Identidade (também conhecidas como políticas personalizadas) também estão fora do âmbito desta função.

Ações Descrição
microsoft.diretório/b2cUserFlow/allProperties/allTasks Leia e configuure fluxo de utilizador no Azure Ative Directory B2C

Administrador de atributo de fluxo de id de id externo

Os utilizadores com esta função adicionam ou eliminam atributos personalizados disponíveis para todos os fluxos de utilizador na organização Azure AD. Como tal, os utilizadores com esta função podem alterar ou adicionar novos elementos ao esquema do utilizador final e impactar o comportamento de todos os fluxos de utilizador e resultar indiretamente em alterações aos dados que podem ser solicitados aos utilizadores finais e, em última análise, enviados como reivindicações para aplicações. Esta função não pode editar fluxos de utilizador.

Ações Descrição
microsoft.diretório/b2cUserAttribute/allProperties/allTasks Ler e configurar o atributo do utilizador no Azure Ative Directory B2C

Administrador de fornecedor de identidade externa

Este administrador gere a federação entre organizações Azure AD e fornecedores de identidade externos. Com esta função, os utilizadores podem adicionar novos fornecedores de identidade e configurar todas as definições disponíveis (por exemplo, percurso de autenticação, ID de serviço, recipientes-chave atribuídos). Este utilizador pode permitir que a organização Azure AD confie em autenticações de fornecedores de identidade externos. O impacto resultante nas experiências do utilizador final depende do tipo de organização:

  • Azure AD organizações para colaboradores e parceiros: A adição de uma federação (por exemplo, com o Gmail) terá imediatamente impacto em todos os convites de hóspedes ainda não resgatados. Consulte a adição do Google como um fornecedor de identidade para utilizadores convidados B2B.
  • Organizações Azure Ative Directory B2C: A adição de uma federação (por exemplo, com o Facebook, ou com outra organização Azure AD) não impacta imediatamente os fluxos de utilizador final até que o fornecedor de identidade seja adicionado como uma opção num fluxo de utilizador (também chamado de política incorporada). Consulte configurar uma conta microsoft como um fornecedor de identidade , por exemplo. Para alterar os fluxos do utilizador, é necessária a função limitada de "Administrador de Fluxo de Utilizador B2C".
Ações Descrição
microsoft.diretório/domínios/federação/atualização Atualizar propriedade da federação de domínios
microsoft.diretório/identidadeProviders/allProperties/allTasks Ler e configurar fornecedores de identidade no Azure Ative Directory B2C

Administrador Global

Os utilizadores com esta função têm acesso a todas as funcionalidades administrativas no Azure Ative Directory, bem como serviços que utilizam identidades do Azure Ative Directory como o portal Microsoft 365 Defender, o Portal de Conformidade do Microsoft Purview, Exchange Online, SharePoint Online, e Skype para Empresas Online. Além disso, os Administradores Globais podem elevar o seu acesso para gerir todas as subscrições e grupos de gestão da Azure. Isto permite que os Administradores Globais tenham acesso total a todos os recursos da Azure utilizando o respetivo Azure AD Inquilino. A pessoa que se inscreve na organização Azure AD torna-se administradora global. Pode haver mais do que um Administrador Global na sua empresa. Os Administradores Globais podem redefinir a palavra-passe para qualquer utilizador e todos os outros administradores.

Nota

Como uma boa prática, a Microsoft recomenda que atribua o papel de Administrador Global a menos de cinco pessoas na sua organização. Para mais informações, consulte as melhores práticas para Azure AD papéis.

Ações Descrição
microsoft.diretório/acessoReviews/allProperties/allTasks (Depreciado) Criar e apagar comentários de acesso, ler e atualizar todas as propriedades das avaliações de acesso e gerir avaliações de acesso de grupos em Azure AD
microsoft.diretório/acessoReviews/definições/allProperties/allTasks Gerir revisões de acesso de todos os recursos reexame em Azure AD
microsoft.directy/adminConsentRequestPolicy/allProperties/allTasks Gerir políticas de pedido de consentimento administrativo em Azure AD
microsoft.diretório/administrativoSIns/allProperties/allTasks Criar e gerir unidades administrativas (incluindo membros)
microsoft.diretório/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD
microsoft.diretório/aplicações/allProperties/allTasks Criar e eliminar aplicações, e ler e atualizar todas as propriedades
microsoft.diretório/aplicações/sincronização/standard/read Leia as definições de provisionamento associadas ao objeto de aplicação
microsoft.diretório/aplicaçãoTemplates/instantiate Aplicações instantâneas de galeria a partir de modelos de aplicação
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/utilizadores/autenticaçãoMethods/criar Criar métodos de autenticação para os utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/delete Eliminar métodos de autenticação para utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/standard/read Ler propriedades padrão de métodos de autenticação para utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/basic/update Atualizar propriedades básicas dos métodos de autenticação para os utilizadores
microsoft.diretório/autorizaçãoPolícia/allProperties/allTasks Gerir todos os aspetos da política de autorização
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.directy/cloudAppSecurity/allProperties/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps
microsoft.diretório/conectores/criar Criar conectores de procuração de aplicação
microsoft.diretório/conectores/allProperties/read Leia todas as propriedades dos conectores de procuração de aplicação
microsoft.diretório/conectorGroups/criar Criar grupos de conector de procuração de aplicação
microsoft.diretório/conectorGroups/delete Eliminar grupos de conector de procuração de aplicação
microsoft.diretório/conectorGroups/allProperties/read Leia todas as propriedades dos grupos de conector de procuração de aplicação
microsoft.diretório/conectorGroups/allProperties/update Atualizar todas as propriedades dos grupos de conector de procuração de aplicação
microsoft.diretório/contactos/allProperties/allTasks Criar e eliminar contactos e ler e atualizar todas as propriedades
microsoft.diretório/contratos/allProperties/allTasks Criar e apagar contratos de parceiros, e ler e atualizar todos os imóveis
microsoft.diretório/customAuthenticationExtensions/allProperties/allTasks Criar e gerir extensões de autenticação personalizadas
microsoft.diretório/deletedItems/delete Eliminar permanentemente objetos, que já não podem ser restaurados
microsoft.diretório/deletedItems/restaurar Restaurar objetos suaves apagados para o estado original
microsoft.diretório/dispositivos/allProperties/allTasks Criar e eliminar dispositivos, e ler e atualizar todas as propriedades
microsoft.diretório/nomeadosLocações/criar Criar regras personalizadas que definem localizações de rede
microsoft.diretório/nomeadosLocações/delete Eliminar regras personalizadas que definem as localizações da rede
microsoft.diretório/nomeadosLocações/standard/read Leia propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/nomeadosLocações/básico/atualização Atualizar propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/dispositivoManagementPolicies/standard/read Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoManagementPolicies/basic/update Atualizar propriedades básicas sobre políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/standard/read Leia propriedades padrão nas políticas de registo de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/basic/update Atualizar propriedades básicas nas políticas de registo de dispositivos
microsoft.directy/directórioRoles/allProperties/allTasks Criar e apagar funções de diretório, e ler e atualizar todas as propriedades
microsoft.diretório/directórioRoleTemplates/allProperties/allTasks Criar e apagar Azure AD modelos de função, e ler e atualizar todas as propriedades
microsoft.diretório/domínios/allProperties/allTasks Criar e eliminar domínios, e ler e atualizar todas as propriedades
microsoft.diretório/direitoManagement/allProperties/allTasks Criar e eliminar recursos, e ler e atualizar todos os imóveis em Azure AD gestão de direitos
microsoft.diretório/grupos/allProperties/allTasks Criar e eliminar grupos, e ler e atualizar todas as propriedades
microsoft.diretório/gruposAssignableToRoles/create Criar grupos aos quais se pode atribuir funções
microsoft.diretório/gruposAssignableToRoles/delete Eliminar grupos atribuíveis por funções
microsoft.diretório/gruposAssignableToRoles/restauro Restaurar grupos atribuíveis por funções
microsoft.diretório/gruposAssignableToRoles/allProperties/update Atualizar grupos atribuíveis por funções
microsoft.diretório/grupoSettings/allProperties/allTasks Criar e eliminar definições de grupo e ler e atualizar todas as propriedades
microsoft.diretório/grupoSettingTemplates/allProperties/allTasks Criar e eliminar modelos de definição de grupo, e ler e atualizar todas as propriedades
microsoft.diretório/híbridoAuthenticationPolicy/allProperties/allTasks Gerir a política de autenticação híbrida em Azure AD
microsoft.diretório/identidadeProtecção/todas as Ofertas/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Azure AD Proteção de Identidade
microsoft.directy/loginOrganizationBranding/allProperties/allTasks Criar e eliminar loginTenantBranding e ler e atualizar todas as propriedades
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/organização/allProperties/allTasks Leia e atualize todas as propriedades para uma organização
microsoft.diretório/passwordHashSync/allProperties/allTasks Gerir todos os aspetos da Sincronização de Hash (PHS) de password em Azure AD
microsoft.diretório/políticas/allProperties/allTasks Criar e eliminar políticas, ler e atualizar todas as propriedades
microsoft.diretório/condicionalAccessPolicies/allProperties/allTasks Gerir todas as propriedades das políticas de acesso condicional
microsoft.diretório/crossTenantAccessPolicy/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/allowedCloudEndpoints/update Atualização permitiu pontos finais de nuvem da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/basic/update Atualizar as definições básicas da política de acesso do inquilino transversal
microsoft.diretório/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/default/b2bCollaboration/update Atualizar Azure AD definições de colaboração B2B da política de acesso ao inquilino por defeito
microsoft.directy/crossTenantAccessPolicy/default/b2bDirectConnect/update Atualizar Azure AD definições de ligação direta B2B da política de acesso ao inquilino por defeito
microsoft.diretório/crossTenantAccessPolicy/default/crossCloudMeetings/update Atualizar as equipas de reunião de nuvem cruzada da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/default/tenantRestritions/update Atualizar as restrições dos inquilinos da política de acesso ao inquilino por defeito
microsoft.diretório/crossTenantAccessPolicy/partners/create Criar política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/delete Eliminar a política de acesso dos inquilinos para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/b2bCollaboration/update Atualizar Azure AD configurações de colaboração B2B da política de acesso de inquilinos cruzados para parceiros
microsoft.directy/crossTenantAccessPolicy/partners/b2bDirectConnect/update Atualizar Azure AD definições de ligação direta B2B da política de acesso dos inquilinos para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/crossCloudMeetings/update Atualizar as equipas de nuvem cruzada reunindo definições da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/tenantRestrictions/update Atualizar as restrições de arrendamento da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/privilegiadoIdmentManagement/allProperties/read Leia todos os recursos em Privileged Identity Management
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/papelAssignments/allProperties/allTasks Criar e eliminar atribuições de funções e ler e atualizar todas as propriedades de atribuição de funções
microsoft.diretório/roleDefinitions/allProperties/allTasks Criar e eliminar definições de funções, e ler e atualizar todas as propriedades
microsoft.directy/scopedRoleMemberships/allProperties/allTasks Criar e eliminar as empresas scopedRoleMemberberships e ler e atualizar todas as propriedades
microsoft.diretório/serviçoAction/activateService Pode realizar a ação de "ativar o serviço" para um serviço
microsoft.directy/serviceAction/disableDirectDirectlFeature Pode executar a ação de serviço "desativar o diretório"
microsoft.directy/serviceAction/enableDirectoryFeature Pode executar a ação de serviço "enable directy feature"
microsoft.diretório/serviçoAction/getAvailableExtentionProperties Pode realizar a ação de serviçoAvailableExtentionProperties
microsoft.diretório/serviçoPrincipals/allProperties/allTasks Criar e apagar os principais de serviços e ler e atualizar todas as propriedades
microsoft.directiony/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Conceder consentimento para qualquer permissão a qualquer pedido
microsoft.diretório/serviçoPrincipals/sincronização/standard/read Leia as definições de provisionamento associadas ao seu principal serviço
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.diretório/subscritoSkus/allProperties/allTasks Comprar e gerir subscrições e eliminar subscrições
microsoft.diretório/utilizadores/allProperties/allTasks Criar e eliminar utilizadores, e ler e atualizar todas as propriedades
microsoft.diretório/permissãoSEstas/criar Criar políticas de concessão de permissão
microsoft.diretório/permissãoSEstas/excluir Eliminar políticas de concessão de permissões
microsoft.diretório/permissãoSpolíticas/standard/read Ler propriedades padrão das políticas de concessão de permissão
microsoft.diretório/permissãoSpolíticas/básicas/atualizações Atualizar propriedades básicas das políticas de concessão de permissão
microsoft.diretório/serviçoPrincipalCreationPolicies/create Criar políticas de criação principal de serviços
microsoft.diretório/serviçoPrincipalCreationPolicies/delete Eliminar políticas de criação principal de serviços
microsoft.diretório/serviçoPrincipalCreationPolicies/standard/read Ler propriedades padrão das principais políticas de criação de serviços
microsoft.diretório/serviçoPrincipalCreationPolicies/basic/update Atualizar propriedades básicas das políticas principais de criação de serviços
microsoft.diretório/inquilinoSManagement/inquilinos/criar Criar novos inquilinos no Azure Ative Directory
microsoft.diretório/verifiávelCredentais/configuração/contratos/cartões/allProperties/read Leia um cartão de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/cartões/revogar Revogar um cartão de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/criar Criar um contrato de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/allProperties/read Leia um contrato de credencial verificável
microsoft.diretório/verifiableCredentials/configuration/contracts/allProperties/update Atualizar um contrato de credencial verificável
microsoft.diretório/verifiableCredentis/configuration/create Criar configuração necessária para criar e gerir credenciais verificáveis
microsoft.diretório/verifiávelCredentais/configuração/delete Eliminar a configuração necessária para criar e gerir credenciais verificáveis e eliminar todas as suas credenciais verificáveis
microsoft.diretório/verifiávelCredentis/configuração/allProperties/read Leia a configuração necessária para criar e gerir credenciais verificáveis
microsoft.diretório/verifiávelCredentiss/configuração/allProperties/update Configuração de atualização necessária para criar e gerir credenciais verificáveis
microsoft.directy/lifecycleSfluds/workflows/allProperties/allTasks Gerir todos os aspetos dos fluxos de trabalho do ciclo de vida e tarefas em Azure AD
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gerir todos os aspetos da Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Gerir todos os aspetos do Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gerir todos os aspetos da Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Gerir todos os aspetos da faturação Office 365
microsoft.dynamics365/allEntities/allTasks Gerir todos os aspetos da Dinâmica 365
microsoft.edge/allEntities/allProperties/allTasks Gerir todos os aspetos do Microsoft Edge
microsoft.flow/allEntities/allTasks Gerir todos os aspetos do Microsoft Power Automamate
microsoft.insights/allEntities/allProperties/allTasks Gerir todos os aspetos da app Insights
microsoft.intune/allEntities/allTasks Gerir todos os aspetos da Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Gerir todos os aspetos do Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gerir todos os aspetos da Análise de Computadores
microsoft.office365.exchange/allEntities/basic/allTasks Gerir todos os aspetos da Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leia e atualize todas as propriedades da compreensão de conteúdos em centro de administração do Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leia relatórios de análise de compreensão de conteúdos em centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leia e atualize todas as propriedades da rede de conhecimento em centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gerir a visibilidade tópico da rede de conhecimento em centro de administração do Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gerir fontes de aprendizagem e todas as suas propriedades na Learning App.
microsoft.office365.lockbox/allEntities/allTasks Gerir todos os aspetos do Lockbox do Cliente
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Leia mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gerir todos os aspetos dos centros de Segurança e Conformidade
microsoft.office365.search/content/manage Criar e eliminar conteúdo, e ler e atualizar todas as propriedades no Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no Office 365 Security & Compliance Center
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerir todos os aspetos do Skype para Empresas Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.userCommunication/allEntities/allTasks Leia e atualize a visibilidade das novas mensagens
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gerir todos os aspetos do Yammer
microsoft.permissõesManagement/allEntities/allProperties/allTasks Gerir todos os aspetos da Gestão de Permisses de Entra
microsoft.powerApps/allEntities/allTasks Gerir todos os aspetos das Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gerir todos os aspetos do Power BI
microsoft.teams/allEntities/allProperties/allTasks Gerir todos os recursos em Equipas
microsoft.virtualVisits/allEntities/allProperties/allTasks Gerir e partilhar informações e métricas de Visitas Virtuais a partir de centros de administração ou da app Visitas Virtuais
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gerir todos os aspetos da Microsoft Defender para Endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leia e configuure todos os aspetos do Serviço Windows Update

Leitor Global

Os utilizadores desta função podem ler definições e informações administrativas em todos os serviços da Microsoft 365, mas não podem tomar ações de gestão. Global Reader é a contrapartida apenas de leitura para o Administrador Global. Atribua o Global Reader em vez de Administrador Global para planeamento, auditorias ou investigações. Use o Global Reader em combinação com outras funções de administração limitadas, como o Exchange Administrator, para facilitar o trabalho sem atribuir o papel de Administrador Global. O Global Reader trabalha com centro de administração do Microsoft 365, Centro de Administração Exchange, Centro de Administração SharePoint, Centro de Administração de Equipas, Centro de Segurança, Centro de Conformidade, centro de administração Azure AD e centro de administração Gestão de Dispositivos.

Nota

O papel do Global Reader tem algumas limitações neste momento -

Estas funcionalidades estão atualmente em desenvolvimento.

Ações Descrição
microsoft.diretório/acessoReviews/allProperties/read (Depreciado) Leia todas as propriedades dos comentários de acesso
microsoft.diretório/acessoReviews/definições/allProperties/read Leia todas as propriedades de avaliações de acesso de todos os recursos revistos em Azure AD
microsoft.directy/adminConsentRequestPolicy/allProperties/read Leia todas as propriedades das políticas de pedido de consentimento administrativo em Azure AD
microsoft.diretório/administrativoSIns/allProperties/read Leia todas as propriedades das unidades administrativas, incluindo membros
microsoft.diretório/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD
microsoft.diretório/aplicações/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em todos os tipos de aplicações
microsoft.diretório/aplicações/sincronização/standard/read Leia as definições de provisionamento associadas ao objeto de aplicação
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/utilizadores/autenticaçãoMethods/standard/restrictedRead Leia as propriedades padrão dos métodos de autenticação que não incluam informações pessoalmente identificáveis para os utilizadores
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.directy/cloudAppSecurity/allProperties/read Leia todas as propriedades para Defender para Apps Cloud
microsoft.diretório/conectores/allProperties/read Leia todas as propriedades dos conectores de procuração de aplicação
microsoft.diretório/conectorGroups/allProperties/read Leia todas as propriedades dos grupos de conector de procuração de aplicação
microsoft.diretório/contactos/allProperties/read Leia todas as propriedades para contactos
microsoft.diretório/customAuthenticationExtensions/allProperties/read Ler extensões de autenticação personalizadas
microsoft.diretório/dispositivos/allProperties/read Ler todas as propriedades dos dispositivos
microsoft.diretório/directórioRoles/allProperties/read Leia todas as propriedades das funções de diretório
microsoft.diretório/directórioRoleTemplates/allProperties/read Leia todas as propriedades dos modelos de papel de diretório
microsoft.diretório/domínios/allProperties/read Leia todas as propriedades dos domínios
microsoft.diretório/direitoManagement/allProperties/read Leia todos os imóveis em Azure AD gestão de direitos
microsoft.diretório/grupos/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupoSettings/allProperties/read Leia todas as propriedades das configurações do grupo
microsoft.diretório/grupoSettingTemplates/allProperties/read Leia todas as propriedades dos modelos de definição de grupo
microsoft.diretório/identidadeProteção/todas as ofertas/ler Leia todos os recursos na Azure AD Proteção de Identidade
microsoft.diretório/loginOrganizaçãoBranding/allProperties/read Leia todas as propriedades para a página de inscrição marcada da sua organização
microsoft.diretório/nomeadosLocações/standard/read Leia propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/oAuth2PermissionGrants/allProperties/read Leia todas as propriedades de autorizações OAuth 2.0
microsoft.diretório/organização/allProperties/read Leia todas as propriedades para uma organização
microsoft.diretório/permissãoSpolíticas/standard/read Ler propriedades padrão das políticas de concessão de permissão
microsoft.diretório/políticas/allProperties/read Ler todas as propriedades das políticas
microsoft.diretório/condicionalAccessPolicies/allProperties/read Leia todas as propriedades das políticas de acesso condicional
microsoft.diretório/crossTenantAccessPolicy/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/partners/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/dispositivoManagementPolicies/standard/read Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/standard/read Leia propriedades padrão nas políticas de registo de dispositivos
microsoft.diretório/privilegiadoIdmentManagement/allProperties/read Leia todos os recursos em Privileged Identity Management
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/papelAssignments/allProperties/read Leia todas as propriedades das atribuições de funções
microsoft.diretório/roleDefinitions/allProperties/read Leia todas as propriedades das definições de funções
microsoft.diretório/scopedRoleMemberships/allProperties/read Ver membros em unidades administrativas
microsoft.diretório/serviçoAction/getAvailableExtentionProperties Pode realizar a ação de serviçoAvailableExtentionProperties
microsoft.diretório/serviçoPrincipals/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em serviçoPrincipals
microsoft.diretório/serviçoPrincipalCreationPolicies/standard/read Ler propriedades padrão das principais políticas de criação de serviços
microsoft.diretório/serviçoPrincipals/sincronização/standard/read Leia as definições de provisionamento associadas ao seu principal serviço
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.diretório/subscritoSkus/allProperties/read Leia todas as propriedades das subscrições de produtos
microsoft.diretório/utilizadores/allProperties/read Leia todas as propriedades dos utilizadores
microsoft.diretório/verifiávelCredentais/configuração/contratos/cartões/allProperties/read Leia um cartão de credencial verificável
microsoft.diretório/verifiávelCredentiss/configuração/contratos/allProperties/read Leia um contrato de credencial verificável
microsoft.diretório/verifiávelCredentis/configuração/allProperties/read Leia a configuração necessária para criar e gerir credenciais verificáveis
microsoft.diretório/ciclo de vidaDesde-trabalho/fluxos de trabalho/allProperties/read Leia todas as propriedades dos fluxos de trabalho do ciclo de vida e tarefas em Azure AD
microsoft.cloudPC/allEntities/allProperties/read Leia todos os aspetos da Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Leia todos os recursos da faturação Office 365
microsoft.edge/allEntities/allProperties/read Leia todos os aspetos do Microsoft Edge
microsoft.insights/allEntities/allProperties/read Leia todos os aspetos da Informações Viva
microsoft.office365.exchange/allEntities/standard/read Leia todos os recursos da Exchange Online
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Leia mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Leia todas as propriedades nos centros de Segurança e Conformidade
microsoft.office365.securityComplianceCenter/allEntities/read Leia propriedades padrão no Microsoft 365 Security and Compliance Center
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Leia todos os aspetos de Yammer
microsoft.permissõesManagement/allEntities/allProperties/read Leia todos os aspetos da Gestão de Permisses de Entra
microsoft.teams/allEntities/allProperties/read Leia todas as propriedades das Equipas microsoft
microsoft.virtualVisits/allEntities/allProperties/read Leia todos os aspetos das Visitas Virtuais
microsoft.windows.updatesDeployments/allEntities/allProperties/read Leia todos os aspetos do Serviço Windows Update

Administrador de Grupos

Os utilizadores desta função podem criar/gerir grupos e as suas definições como políticas de nomeação e expiração. É importante entender que atribuir um utilizador a este papel dá-lhes a capacidade de gerir todos os grupos da organização em várias cargas de trabalho como Teams, SharePoint, Yammer além do Outlook. Também o utilizador será capaz de gerir as configurações de vários grupos em vários portais de administração, como o Microsoft admin center, portal do Azure, bem como os específicos da carga de trabalho, como os centros de administração Teams e SharePoint.

Ações Descrição
microsoft.diretório/deletedItems.groups/delete Eliminar permanentemente grupos, que já não podem ser restaurados
microsoft.diretório/deletedItems.groups/restore Restaurar grupos suaves apagados para o estado original
microsoft.diretório/grupos/assignLicense Atribuir licenças de produtos a grupos para licenciamento baseado em grupo
microsoft.diretório/grupos/criar Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/excluir Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/hiddenMembers/read Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos/reprocessLicenseAssignment Reprocessar as atribuições de licenças para licenciamento baseado em grupo
microsoft.diretório/grupos/restaurar Restaurar grupos de recipientes comvidade
microsoft.diretório/grupos/básico/atualização Atualizar propriedades básicas em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/classificação/atualização Atualizar a propriedade de classificação em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/dynamicMembershipRule/update Atualizar a regra de adesão dinâmica sobre grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/grupoType/atualização Atualizar propriedades que afetariam o tipo de grupo de grupos de grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/membros/atualização Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/onPremWriteBack/update Atualizar os grupos de Diretório Ativo Azure para serem reensitados para as instalações com Azure AD Connect
microsoft.diretório/grupos/proprietários/atualização Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/configurações/atualização Configurações de atualização de grupos
microsoft.diretório/grupos/visibilidade/atualização Atualizar a propriedade de visibilidade dos grupos de segurança e da Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Convidado Convidado

Os utilizadores desta função podem gerir convites de utilizadores do Azure Ative Directory B2B quando os Membros podem convidar a definição do utilizador está definido para Nº. Mais informações sobre a colaboração B2B na About Azure AD colaboração B2B. Não inclui quaisquer outras permissões.

Ações Descrição
microsoft.diretório/utilizadores/convidarGuest Convidar utilizadores
microsoft.diretório/utilizadores/standard/read Ler propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/appRoleAssignments/read Ler atribuições de funções de aplicação para utilizadores
microsoft.diretório/utilizadores/deviceForResourceAccount/read Ler dispositivoForResourceA contagem de utilizadores
microsoft.directy/users/directReports/read Leia os relatórios diretos para os utilizadores
microsoft.diretório/utilizadores/licenseDetails/read Ler detalhes da licença dos utilizadores
microsoft.diretório/utilizadores/gestor/leitura Ler gestor de utilizadores
microsoft.diretório/utilizadores/membroOf/read Leia os membros do grupo dos utilizadores
microsoft.diretório/utilizadores/oAuth2PermissionGrants/read Ler subsídios de autorização delegados aos utilizadores
microsoft.diretório/utilizadores/propriedadeDevices/ler Ler dispositivos de propriedade dos utilizadores
microsoft.diretório/utilizadores/ownedObjects/read Ler objetos de propriedade dos utilizadores
microsoft.diretório/utilizadores/foto/ler Ler foto dos utilizadores
microsoft.diretório/utilizadores/registradoDevices/read Ler dispositivos registados de utilizadores
microsoft.diretório/utilizadores/scopedRoleMemberOf/read Leia a adesão do utilizador a uma função Azure AD, que é alargada a uma unidade administrativa

Administrador helpdesk

Os utilizadores com esta função podem alterar palavras-passe, invalidar tokens de atualização, criar e gerir pedidos de suporte com a Microsoft para serviços Azure e Microsoft 365, e monitorizar a saúde do serviço. Invalidar um token de atualização obriga o utilizador a iniciar novamente o sat. Se um Administrador helpdesk pode redefinir a palavra-passe de um utilizador e invalidar tokens de atualização depende da função que o utilizador é atribuído. Para obter uma lista das funções que um Administrador helpdesk pode redefinir palavras-passe e invalidar tokens de atualização, consulte Quem pode redefinir as palavras-passe.

Importante

Os utilizadores com esta função podem alterar palavras-passe para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar a palavra-passe de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:

  • Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidos aos Administradores helpdesk. Por este caminho, um Administrador helpdesk poderá assumir a identidade de um titular da aplicação e, em seguida, assumir a identidade de um pedido privilegiado atualizando as credenciais para o pedido.
  • Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
  • Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
  • Administradores em outros serviços fora de Azure AD como Exchange Online, Office Security and Compliance Center, e sistemas de recursos humanos.
  • Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.

Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.

Delegar permissões administrativas sobre subconjuntos de utilizadores e aplicar políticas a um subconjunto de utilizadores é possível com unidades administrativas.

Esta função foi anteriormente denominada "Administrador de Password" no portal do Azure. O nome "Helpdesk Administrator" em Azure AD corresponde agora ao seu nome em Azure AD PowerShell e no Microsoft Graph API.

Ações Descrição
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de identidade híbrida

Os utilizadores desta função podem criar, gerir e implementar a configuração de configuração de provisionamento de AD para Azure AD utilizando o Cloud Provisioning, bem como gerir Azure AD Connect, A autenticação pass-through (PTA), sincronização de hash de palavras-passe (PHS), Sign-On single sem emenda (SSO sem emenda) e configurações da federação. Os utilizadores também podem resolver problemas e monitorizar registos utilizando esta função.

Ações Descrição
microsoft.diretório/aplicações/criar Criar todos os tipos de aplicações
microsoft.diretório/aplicações/delete Eliminar todos os tipos de aplicações
microsoft.diretório/aplicações/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicações
microsoft.diretório/aplicações/audiência/atualização Atualizar a propriedade do público para aplicações
microsoft.diretório/aplicações/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/básico/atualização Atualizar propriedades básicas para aplicações
microsoft.diretório/aplicações/notas/atualização Atualizações de notas de aplicações
microsoft.diretório/aplicações/proprietários/atualização Atualizar os proprietários de aplicações
microsoft.diretório/aplicações/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/aplicações/tag/update Atualização de tags de aplicações
microsoft.diretório/aplicações/sincronização/standard/read Leia as definições de provisionamento associadas ao objeto de aplicação
microsoft.diretório/aplicaçãoTemplates/instantiate Aplicações instantâneas de galeria a partir de modelos de aplicação
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/cloudProvisioning/allProperties/allTasks Leia e configuure todas as propriedades do serviço de fornecimento de Azure AD cloud.
microsoft.diretório/deletedItems.applications/delete Eliminar permanentemente as aplicações, que já não podem ser restauradas
microsoft.diretório/deletedItems.applications/restore Restaurar aplicações suaves eliminadas para o estado original
microsoft.diretório/domínios/allProperties/read Leia todas as propriedades dos domínios
microsoft.diretório/domínios/federação/atualização Atualizar propriedade da federação de domínios
microsoft.diretório/híbridoAuthenticationPolicy/allProperties/allTasks Gerir a política de autenticação híbrida em Azure AD
microsoft.diretório/organização/dirSync/update Atualizar a propriedade de sincronização de diretórios de organização
microsoft.diretório/passwordHashSync/allProperties/allTasks Gerir todos os aspetos da Sincronização de Hash (PHS) de password em Azure AD
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/serviçoPrincipals/criar Criar principais de serviço
microsoft.diretório/serviçoPrincipals/delete Eliminar os principais de serviço
microsoft.diretório/serviçoPrincipals/desativar Diretores de serviço para desativação
microsoft.diretório/serviçoPrincipals/enable Ativar os principais de serviço
microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage Gerir o fornecimento de formulários e credenciais
microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização
microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações
microsoft.diretório/serviçoPrincipals/audience/update Atualizar propriedades do público em diretores de serviço
microsoft.diretório/serviçoPrincipals/autenticação/atualização Atualizar propriedades de autenticação em principados de serviço
microsoft.diretório/serviçoPrincipals/básico/atualização Atualizar propriedades básicas em principais serviços
microsoft.diretório/serviçoPrincipals/notas/atualização Atualização de notas dos principados de serviços
microsoft.diretório/serviçoPrincipals/proprietários/atualização Atualizar os proprietários dos principados de serviços
microsoft.diretório/serviçoPrincipals/permissões/atualização Atualizar permissões dos principais serviços
microsoft.diretório/serviçoPrincipals/políticas/atualização Atualizar políticas dos principais serviços
microsoft.diretório/serviçoPrincipals/tag/update Atualizar a propriedade tag para os principados de serviço
microsoft.diretório/serviçoPrincipals/sincronização/standard/read Leia as definições de provisionamento associadas ao seu principal serviço
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Governação de Identidade

Os utilizadores com esta função podem gerir Azure AD configuração de governação de identidade, incluindo pacotes de acesso, análises de acesso, catálogos e políticas, garantindo que o acesso é aprovado e revisto e os utilizadores convidados que já não precisam de acesso são removidos.

Ações Descrição
microsoft.diretório/acessoReviews/definições.aplicações/allProperties/allTasks Gerir revisões de acesso de atribuições de funções de candidatura em Azure AD
microsoft.diretório/acessoReviews/definições.entitlementManagement/allProperties/allTasks Gerir revisões de acesso para atribuição de pacotes de acesso na gestão de direitos
microsoft.diretório/acessoReviews/definições.groups/allProperties/read Leia todas as propriedades de comentários de acesso para membros em Grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis por funções.
microsoft.diretório/acessoReviews/definitions.groups/allProperties/update Atualize todas as propriedades de avaliações de acesso para membros em grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por funções.
microsoft.diretório/acessoReviews/definitions.groups/create Crie comentários de acesso para membros em Grupos de Segurança e Microsoft 365.
microsoft.diretório/acessoReviews/definitions.groups/delete Elimine as avaliações de acesso para membros em Grupos de Segurança e Microsoft 365.
microsoft.diretório/acessoReviews/allProperties/allTasks (Depreciado) Criar e apagar comentários de acesso, ler e atualizar todas as propriedades das avaliações de acesso e gerir avaliações de acesso de grupos em Azure AD
microsoft.diretório/direitoManagement/allProperties/allTasks Criar e eliminar recursos, e ler e atualizar todos os imóveis em Azure AD gestão de direitos
microsoft.diretório/grupos/membros/atualização Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço

Administrador de Insights

Os utilizadores desta função podem aceder a todo o conjunto de capacidades administrativas na aplicação Informações Microsoft Viva. Esta função tem a capacidade de ler informações de diretórios, monitorizar a saúde do serviço, bilhetes de suporte de ficheiros e aceder aos aspetos de definição do Administrador insights.

Saiba mais

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.insights/allEntities/allProperties/allTasks Gerir todos os aspetos da app Insights
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Analista de Insights

Atribua o papel de Analista insights aos utilizadores que necessitem de fazer o seguinte:

  • Analise os dados na aplicação Informações Microsoft Viva, mas não consegue gerir quaisquer configurações de configuração
  • Criar, gerir e executar consultas
  • Ver configurações e relatórios básicos no centro de administração do Microsoft 365
  • Criar e gerir pedidos de serviço no centro de administração do Microsoft 365

Saiba mais

Ações Descrição
microsoft.insights/consultas/allProperties/allTasks Executar e gerir consultas em Informações Viva
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Insights Business Leader

Os utilizadores desta função podem aceder a um conjunto de dashboards e insights através da aplicação Informações Microsoft Viva. Isto inclui acesso total a todos os dashboards e apresenta insights e funcionalidade de exploração de dados. Os utilizadores desta função não têm acesso às definições de configuração do produto, que é da responsabilidade da função de Administrador de Insights.

Saiba mais

Ações Descrição
microsoft.insights/reports/allProperties/read Ver relatórios e dashboard na app Insights
microsoft.insights/programs/allProperties/update Implementar e gerir programas na app Insights

Administrador do Intune

Os utilizadores com esta função têm permissões globais dentro Microsoft Intune Online, quando o serviço está presente. Além disso, esta função contém a capacidade de gerir utilizadores e dispositivos de forma a associar a política, bem como criar e gerir grupos. Mais informações sobre o controlo da administração baseada em funções (RBAC) com Microsoft Intune.

Este papel pode criar e gerir todos os grupos de segurança. No entanto, Intune Administrador não tem direitos de administração sobre grupos de escritório. Isto significa que o administrador não pode atualizar proprietários ou membros de todos os grupos do Office na organização. No entanto, pode gerir o grupo de Escritório que cria, que vem como parte dos seus privilégios de utilizador final. Assim, qualquer grupo de Escritório (não grupo de segurança) que cria deve ser contabilizado contra a sua quota de 250.

Nota

No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "administrador de serviço Intune". É "administrador Intune" no portal do Azure.

Ações Descrição
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.diretório/contactos/criar Criar contactos
microsoft.diretório/contactos/excluir Eliminar contactos
microsoft.diretório/contactos/básico/atualização Atualizar propriedades básicas em contactos
microsoft.diretório/deletedItems.devices/delete Eliminar permanentemente dispositivos, que já não podem ser restaurados
microsoft.diretório/deletedItems.devices/restore Restaurar dispositivos suaves eliminados para o estado original
microsoft.diretório/dispositivos/criar Criar dispositivos (inscrever-se em Azure AD)
microsoft.diretório/dispositivos/delete Eliminar dispositivos de Azure AD
microsoft.diretório/dispositivos/desativar Desativar dispositivos em Azure AD
microsoft.diretório/dispositivos/permitir Ativar dispositivos em Azure AD
microsoft.diretório/dispositivos/básico/atualização Atualizar propriedades básicas em dispositivos
microsoft.diretório/dispositivos/extensãoAttributeSet1/update Atualizar a extensãoAttribute1 para extensão Propriedades de Atribuição de5 em dispositivos
microsoft.diretório/dispositivos/extensãoAttributeSet2/atualização Atualizar a extensãoAttribute6 para extensão Propriedades de Atribuição de 10 em dispositivos
microsoft.diretório/dispositivos/extensãoAttributeSet3/update Atualizar a extensãoAttribute11 para extensão Propriedades deAttribute15 em dispositivos
microsoft.diretório/dispositivos/registadosSowners/update Atualizar os proprietários registados de dispositivos
microsoft.diretório/dispositivos/registros/update Atualizar utilizadores registados de dispositivos
microsoft.diretório/dispositivoManagementPolicies/standard/read Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/standard/read Leia propriedades padrão nas políticas de registo de dispositivos
microsoft.diretório/grupos/hiddenMembers/read Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/create Criar grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/delete Eliminar grupos de segurança, excluindo grupos que atribuem funções
microsoft.diretório/grupos.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/classification/update Atualizar a propriedade de classificação em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.directy/groups.security/dynamicMembershipRule/update Atualizar a regra de adesão dinâmica sobre os grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.diretório/grupos.security/owners/update Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/visibility/update Atualizar a propriedade de visibilidade em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/foto/atualização Atualizar foto dos utilizadores
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gerir todos os aspetos da Windows 365
microsoft.intune/allEntities/allTasks Gerir todos os aspetos da Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador kaizala

Os utilizadores com esta função têm permissões globais para gerir as definições dentro da Microsoft Kaizala, quando o serviço está presente, bem como a capacidade de gerir bilhetes de suporte e monitorizar a saúde do serviço. Além disso, o utilizador pode aceder a relatórios relacionados com o uso de adoção & de Kaizala por membros da Organização e relatórios de negócios gerados através das ações de Kaizala.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Conhecimento

Os utilizadores desta função têm acesso total a todos os conhecimentos, aprendizagens e definições de funcionalidades inteligentes no centro de administração do Microsoft 365. Têm uma compreensão geral do conjunto de produtos, licenciamentos e têm a responsabilidade de controlar o acesso. O Administrador de Conhecimento pode criar e gerir conteúdos, como tópicos, siglas e recursos de aprendizagem. Além disso, estes utilizadores podem criar centros de conteúdo, monitorizar a saúde do serviço e criar pedidos de serviço.

Ações Descrição
microsoft.diretório/grupos.security/create Criar grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/createAsOwner Criar grupos de segurança, excluindo grupos atribuíveis por funções. O criador é adicionado como o primeiro proprietário.
microsoft.diretório/grupos.security/delete Eliminar grupos de segurança, excluindo grupos que atribuem funções
microsoft.diretório/grupos.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.diretório/grupos.security/owners/update Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leia e atualize todas as propriedades da compreensão de conteúdos em centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leia e atualize todas as propriedades da rede de conhecimento em centro de administração do Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gerir fontes de aprendizagem e todas as suas propriedades na Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Leia todas as propriedades dos rótulos de sensibilidade nos centros de segurança e conformidade
microsoft.office365.sharePoint/allEntities/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Gestor de Conhecimento

Os utilizadores desta função podem criar e gerir conteúdos, como tópicos, siglas e conteúdos de aprendizagem. Estes utilizadores são os principais responsáveis pela qualidade e estrutura do conhecimento. Este utilizador tem plenos direitos sobre ações de gestão de tópicos para confirmar um tópico, aprovar edições ou eliminar um tópico. Esta função também pode gerir taxonomias como parte da ferramenta de gestão de lojas e criar centros de conteúdo.

Ações Descrição
microsoft.diretório/grupos.security/create Criar grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/createAsOwner Criar grupos de segurança, excluindo grupos atribuíveis por funções. O criador é adicionado como o primeiro proprietário.
microsoft.diretório/grupos.security/delete Eliminar grupos de segurança, excluindo grupos que atribuem funções
microsoft.diretório/grupos.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.diretório/grupos.security/owners/update Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leia relatórios de análise de compreensão de conteúdos em centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gerir a visibilidade tópico da rede de conhecimento em centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Licença

Os utilizadores desta função podem adicionar, remover e atualizar as atribuições de licenças em utilizadores, grupos (usando licenças baseadas em grupo) e gerir a localização de utilização nos utilizadores. A função não concede a capacidade de comprar ou gerir subscrições, criar ou gerir grupos, ou criar ou gerir utilizadores para além da localização de utilização. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/grupos/assignLicense Atribuir licenças de produtos a grupos para licenciamento baseado em grupo
microsoft.diretório/grupos/reprocessLicenseAssignment Reprocessar as atribuições de licenças para licenciamento baseado em grupo
microsoft.diretório/utilizadores/assignLicense Gerir licenças de utilizador
microsoft.diretório/utilizadores/reprocessLicenseAssignment Reprocessar as atribuições de licenças para utilizadores
microsoft.diretório/utilizadores/usageLocation/update Atualizar a localização de utilização dos utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de fluxos de trabalho do ciclo de vida

Atribuir a função de administrador de fluxos de trabalho do ciclo de vida aos utilizadores que necessitem de fazer as seguintes tarefas:

  • Criar e gerir todos os aspetos dos fluxos de trabalho e tarefas associados aos fluxos de trabalho do ciclo de vida em Azure AD
  • Verifique a execução de fluxos de trabalho programados
  • Lançamento de fluxo de trabalho a pedido corre
  • Inspecione os registos de execução do fluxo de trabalho
Ações Descrição
microsoft.directy/lifecycleSfluds/workflows/allProperties/allTasks Gerir todos os aspetos dos fluxos de trabalho do ciclo de vida e tarefas em Azure AD

Leitor de Privacidade do Centro de Mensagens

Os utilizadores desta função podem monitorizar todas as notificações no Centro de Mensagens, incluindo mensagens de privacidade de dados. Os Leitores de Privacidade do Centro de Mensagens recebem notificações de e-mail, incluindo as relacionadas com a privacidade dos dados e podem cancelar a subscrição através das Preferências do Centro de Mensagens. Apenas o Administrador Global e o Leitor de Privacidade do Centro de Mensagens podem ler mensagens de privacidade de dados. Além disso, este papel contém a capacidade de visualizar grupos, domínios e subscrições. Esta função não tem permissão para visualizar, criar ou gerir pedidos de serviço.

Ações Descrição
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Leia mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Leitor do Centro de Mensagens

Os utilizadores desta função podem monitorizar notificações e atualizações de saúde de aconselhamento no Centro de Mensagens para a sua organização em serviços configurados como Exchange, Intune e Microsoft Teams. Os Leitores do Centro de Mensagens recebem digestão semanal de mensagens, atualizações e podem partilhar posts de centro de mensagens no Microsoft 365. Em Azure AD, os utilizadores designados para esta função só terão acesso de leitura apenas a serviços Azure AD, como utilizadores e grupos. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.

Ações Descrição
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Utilizador de Comércio Moderno

Não utilizar. Esta função é automaticamente atribuída ao Comércio, e não se destina ou é suportada para qualquer outra utilização. Veja os detalhes abaixo.

A função de Utilizador do Comércio Moderno dá a certos utilizadores permissão para aceder centro de administração do Microsoft 365 e ver as entradas de navegação esquerda para Home, Billing e Support. O conteúdo disponível nestas áreas é controlado por funções específicas do comércio atribuídas aos utilizadores para gerir produtos que compraram para si ou para a sua organização. Isto pode incluir tarefas como pagar contas ou acesso a contas de faturação e perfis de faturação.

Os utilizadores com a função de Utilizador de Comércio Moderno normalmente têm permissões administrativas em outros sistemas de compra da Microsoft, mas não têm funções de Administrador Global ou Administrador de Faturação usados para aceder ao centro de administração.

Quando é atribuída a função de Utilizador do Comércio Moderno?

  • A compra de self-service em centro de administração do Microsoft 365 – A compra self-service dá aos utilizadores a oportunidade de experimentar novos produtos comprando ou inscrevendo-se por conta própria. Estes produtos são geridos no centro de administração. Os utilizadores que fazem uma compra de self-service são atribuídos a um papel no sistema de comércio, e o papel de Utilizador de Comércio Moderno para que possam gerir as suas compras no centro de administração. Os administradores podem bloquear as compras de self-service (para Power BI, Power Apps, Power automat) através do PowerShell. Para obter mais informações, veja Self-service purchase FAQ (FAQ da compra personalizada).
  • Compras no mercado comercial da Microsoft – Semelhante à compra de self-service, quando um utilizador compra um produto ou serviço ao Microsoft AppSource ou Azure Marketplace, a função de Utilizador de Comércio Moderno é atribuída se não tiver o papel de Administrador Global ou Administrador de Faturação. Em alguns casos, os utilizadores podem estar impedidos de fazer estas compras. Para mais informações, consulte o mercado comercial da Microsoft.
  • Propostas da Microsoft – Uma proposta é uma oferta formal da Microsoft para a sua organização comprar produtos e serviços da Microsoft. Quando a pessoa que está a aceitar a proposta não tem um papel de Administrador Global ou Administrador de Faturação em Azure AD, é-lhes atribuído um papel específico do comércio para completar a proposta e a função de Utilizador do Comércio Moderno para aceder ao centro de administração. Quando acedem ao centro de administração, só podem usar funcionalidades que são autorizadas pelo seu papel específico do comércio.
  • Funções específicas do comércio – Alguns utilizadores têm funções específicas do comércio. Se um utilizador não for administrador global ou administrador de faturação, obtém a função de Utilizador de Comércio Moderno para que possa aceder ao centro de administração.

Se o papel de Utilizador do Comércio Moderno não for atribuído a um utilizador, perde o acesso a centro de administração do Microsoft 365. Se eles estavam a gerir quaisquer produtos, para si ou para a sua organização, eles não serão capazes de geri-los. Isto pode incluir a atribuição de licenças, alteração de métodos de pagamento, pagamento de contas ou outras tarefas para gerir subscrições.

Ações Descrição
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gerir todos os aspetos do Centro de Serviços de Licenciamento de Volume
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de rede

Os utilizadores desta função podem rever recomendações de arquitetura de perímetro de rede da Microsoft que são baseadas em telemetria de rede a partir das suas localizações de utilizadores. O desempenho da rede para o Microsoft 365 baseia-se numa arquitetura cuidadosa do perímetro da rede de clientes da empresa, que é geralmente específica da localização do utilizador. Esta função permite a edição das localizações do utilizador descobertas e a configuração de parâmetros de rede para esses locais para facilitar a melhoria das medições de telemetria e recomendações de design

Ações Descrição
microsoft.office365.network/locations/allProperties/allTasks Gerir todos os aspetos das localizações da rede
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Aplicações de Escritório

Os utilizadores desta função podem gerir as definições de cloud das aplicações da Microsoft 365. Isto inclui gerir políticas de nuvem, gestão de descarregamento de self-service e a capacidade de visualizar o relatório relacionado com aplicações do Office. Esta função também garante a capacidade de gerir os bilhetes de apoio e monitorizar a saúde do serviço dentro do principal centro de administração. Os utilizadores designados para esta função também podem gerir a comunicação de novas funcionalidades em aplicações do Office.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Leia e atualize a visibilidade das novas mensagens
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Suporte parceiro Tier1

Não utilizar. Este papel foi depreciado e será removido da Azure AD no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft, e não se destina a ser utilizada em geral.

Importante

Esta função pode redefinir palavras-passe e invalidar fichas de atualização apenas para não administradores. Este papel não deve ser utilizado porque é depreciado e deixará de ser devolvido na API.

Ações Descrição
microsoft.diretório/aplicações/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicações
microsoft.diretório/aplicações/audiência/atualização Atualizar a propriedade do público para aplicações
microsoft.diretório/aplicações/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/básico/atualização Atualizar propriedades básicas para aplicações
microsoft.diretório/aplicações/credenciais/atualização Atualizar credenciais de aplicação
microsoft.diretório/aplicações/notas/atualização Atualizações de notas de aplicações
microsoft.diretório/aplicações/proprietários/atualização Atualizar os proprietários de aplicações
microsoft.diretório/aplicações/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/aplicações/tag/update Atualização de tags de aplicações
microsoft.diretório/contactos/criar Criar contactos
microsoft.diretório/contactos/excluir Eliminar contactos
microsoft.diretório/contactos/básico/atualização Atualizar propriedades básicas em contactos
microsoft.diretório/deletedItems.groups/restore Restaurar grupos suaves apagados para o estado original
microsoft.diretório/deletedItems.users/restore Restaurar os utilizadores suaves eliminados para o estado original
microsoft.diretório/grupos/criar Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/excluir Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/restaurar Restaurar grupos de recipientes comvidade
microsoft.diretório/grupos/membros/atualização Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/proprietários/atualização Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/utilizadores/assignLicense Gerir licenças de utilizador
microsoft.diretório/utilizadores/criar Adicionar utilizadores
microsoft.diretório/utilizadores/delete Eliminar utilizadores
microsoft.diretório/utilizadores/desativar Desativar utilizadores
microsoft.diretório/utilizadores/enable Ativar os utilizadores
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/restaurar Restaurar utilizadores eliminados
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.diretório/utilizadores/foto/atualização Atualizar foto dos utilizadores
microsoft.directiony/users/userPrincipalName/update Atualizar o nome principal do utilizador dos utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Suporte parceiro Tier2

Não utilizar. Este papel foi depreciado e será removido da Azure AD no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft, e não se destina a ser utilizada em geral.

Importante

Esta função pode redefinir palavras-passe e invalidar fichas de atualização para todos os administradores e administradores não administradores (incluindo administradores globais). Este papel não deve ser utilizado porque é depreciado e deixará de ser devolvido na API.

Ações Descrição
microsoft.diretório/aplicações/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicações
microsoft.diretório/aplicações/audiência/atualização Atualizar a propriedade do público para aplicações
microsoft.diretório/aplicações/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicações
microsoft.diretório/aplicações/básico/atualização Atualizar propriedades básicas para aplicações
microsoft.diretório/aplicações/credenciais/atualização Atualizar credenciais de aplicação
microsoft.diretório/aplicações/notas/atualização Atualizações de notas de aplicações
microsoft.diretório/aplicações/proprietários/atualização Atualizar os proprietários de aplicações
microsoft.diretório/aplicações/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/aplicações/tag/update Atualização de tags de aplicações
microsoft.diretório/contactos/criar Criar contactos
microsoft.diretório/contactos/excluir Eliminar contactos
microsoft.diretório/contactos/básico/atualização Atualizar propriedades básicas em contactos
microsoft.diretório/deletedItems.groups/restore Restaurar grupos suaves apagados para o estado original
microsoft.diretório/deletedItems.users/restore Restaurar os utilizadores suaves eliminados para o estado original
microsoft.diretório/domínios/allProperties/allTasks Criar e eliminar domínios, e ler e atualizar todas as propriedades
microsoft.diretório/grupos/criar Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/excluir Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/restaurar Restaurar grupos de recipientes comvidade
microsoft.diretório/grupos/membros/atualização Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/proprietários/atualização Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/organização/básico/atualização Atualizar propriedades básicas na organização
microsoft.diretório/papelAssignments/allProperties/allTasks Criar e eliminar atribuições de funções e ler e atualizar todas as propriedades de atribuição de funções
microsoft.diretório/roleDefinitions/allProperties/allTasks Criar e eliminar definições de funções, e ler e atualizar todas as propriedades
microsoft.directy/scopedRoleMemberships/allProperties/allTasks Criar e eliminar as empresas scopedRoleMemberberships e ler e atualizar todas as propriedades
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/subscritoSkus/standard/read Ler propriedades básicas em subscrições
microsoft.diretório/utilizadores/assignLicense Gerir licenças de utilizador
microsoft.diretório/utilizadores/criar Adicionar utilizadores
microsoft.diretório/utilizadores/delete Eliminar utilizadores
microsoft.diretório/utilizadores/desativar Desativar utilizadores
microsoft.diretório/utilizadores/enable Ativar os utilizadores
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/restaurar Restaurar utilizadores eliminados
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.diretório/utilizadores/foto/atualização Atualizar foto dos utilizadores
microsoft.directiony/users/userPrincipalName/update Atualizar o nome principal do utilizador dos utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de password

Os utilizadores com esta função têm capacidade limitada para gerir senhas. Esta função não garante a capacidade de gerir pedidos de serviço ou monitorizar a saúde do serviço. Se um Administrador de Palavra-Passe pode redefinir a palavra-passe de um utilizador depende da função que o utilizador é atribuído. Para obter uma lista das funções para as quais um Administrador de Password pode redefinir palavras-passe, consulte Quem pode redefinir as palavras-passe.

Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.

Ações Descrição
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Gestão de Permisses

Atribuir a função de Administrador de Gestão de Permissões aos utilizadores que necessitem de fazer as seguintes tarefas:

  • Gerir todos os aspetos da Gestão de Permisses de Entra, quando o serviço estiver presente

Saiba mais sobre permissões Funções de Gestão e polícias na Visualização de informações sobre funções/políticas.

Ações Descrição
microsoft.permissõesManagement/allEntities/allProperties/allTasks Gerir todos os aspetos da Gestão de Permisses de Entra

Administrador de Bi de Energia

Os utilizadores com esta função têm permissões globais dentro do Microsoft Power BI, quando o serviço está presente, bem como a capacidade de gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações na Compreensão da função de Administrador de Bi De energia.

Nota

No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço de Power BI". É "Power BI Administrator" no portal do Azure.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gerir todos os aspetos do Power BI

Administrador da Plataforma de Energia

Os utilizadores desta função podem criar e gerir todos os aspetos de ambientes, Aplicações de Energia, Fluxos, Políticas de Prevenção de Perda de Dados. Além disso, os utilizadores com esta função têm a capacidade de gerir bilhetes de apoio e monitorizar a saúde do serviço.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.dynamics365/allEntities/allTasks Gerir todos os aspetos da Dinâmica 365
microsoft.flow/allEntities/allTasks Gerir todos os aspetos do Microsoft Power Automamate
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.powerApps/allEntities/allTasks Gerir todos os aspetos das Power Apps

Administrador de impressora

Os utilizadores desta função podem registar impressoras e gerir todos os aspetos de todas as configurações da impressora na solução Microsoft Universal Print, incluindo as definições do Conector de Impressão Universal. Podem consentir com todos os pedidos de autorização de impressão delegados. Os administradores da impressora também têm acesso a relatórios de impressão.

Ações Descrição
microsoft.azure.print/allEntities/allProperties/allTasks Criar e eliminar impressoras e conectores e ler e atualizar todas as propriedades no Microsoft Print

Técnico de impressora

Os utilizadores com esta função podem registar impressoras e gerir o estado da impressora na solução De Impressão Universal da Microsoft. Também podem ler todas as informações do conector. A tarefa chave que um Técnico de Impressora não pode fazer é definir permissões do utilizador em impressoras e partilhar impressoras.

Ações Descrição
microsoft.azure.print/connectors/allProperties/read Leia todas as propriedades dos conectores na Microsoft Print
microsoft.azure.print/printers/allProperties/read Leia todas as propriedades das impressoras na Microsoft Print
microsoft.azure.print/printers/register Registar impressoras na Microsoft Print
microsoft.azure.print/printers/unregister Impressoras não registadas na Microsoft Print
microsoft.azure.print/printers/basic/update Atualizar propriedades básicas de impressoras na Microsoft Print

Administrador de Autenticação Privilegiada

Os utilizadores com esta função podem definir ou redefinir qualquer método de autenticação (incluindo palavras-passe) para qualquer utilizador, incluindo Administradores Globais. Os Administradores de Autenticação Privilegiada podem obrigar os utilizadores a re-registarem-se contra a credencial não-senha existente (como MFA ou FIDO) e revogar "lembrem-se de MFA no dispositivo", solicitando para MFA na próxima entrada de todos os utilizadores. Os Administradores de Autenticação Privilegiada podem atualizar atributos sensíveis para todos os utilizadores.

A função de Administrador de Autenticação tem permissão para forçar o reencamédido e a autenticação multifactor para utilizadores padrão e utilizadores com algumas funções de administração.

A função de Administrador de Política de Autenticação tem permissões para definir a política de método de autenticação do arrendatário que determina quais os métodos que cada utilizador pode registar e utilizar.

Função Gerir os métodos de auth do utilizador Gerir por utilizador MFA Gerir as definições de MFA Gerir a política do método auth Gerir a política de proteção de palavras-passe Atualizar atributos sensíveis
Administrador de Autenticação Sim para alguns utilizadores (ver acima) Sim para alguns utilizadores (ver acima) No No No Sim para alguns utilizadores (ver acima)
Administrador de Autenticação Privilegiada Sim para todos os utilizadores Sim para todos os utilizadores No No No Sim para todos os utilizadores
Administrador de Política de Autenticação No No Yes Yes Yes No

Importante

Os utilizadores com esta função podem alterar credenciais para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar as credenciais de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:

  • Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidas a Administradores de Autenticação. Por este caminho um Administrador de Autenticação pode assumir a identidade de titular de uma candidatura e, em seguida, assumir a identidade de uma aplicação privilegiada atualizando as credenciais para a aplicação.
  • Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
  • Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
  • Administradores em outros serviços fora de Azure AD como Exchange Online, Office Security and Compliance Center, e sistemas de recursos humanos.
  • Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.

Importante

Esta função não é atualmente capaz de gerir o MFA por utilizador no antigo portal de gestão de MFA. As mesmas funções podem ser realizadas utilizando o comando Set-MsolUser Azure AD módulo PowerShell.

Ações Descrição
microsoft.diretório/utilizadores/autenticaçãoMethods/criar Criar métodos de autenticação para os utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/delete Eliminar métodos de autenticação para utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/standard/read Ler propriedades padrão de métodos de autenticação para utilizadores
microsoft.diretório/utilizadores/autenticaçãoMethods/basic/update Atualizar propriedades básicas dos métodos de autenticação para os utilizadores
microsoft.diretório/deletedItems.users/restore Restaurar os utilizadores suaves eliminados para o estado original
microsoft.diretório/utilizadores/delete Eliminar utilizadores
microsoft.diretório/utilizadores/desativar Desativar utilizadores
microsoft.diretório/utilizadores/enable Ativar os utilizadores
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/restaurar Restaurar utilizadores eliminados
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.directiony/users/userPrincipalName/update Atualizar o nome principal do utilizador dos utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Funções com Privilégios

Os utilizadores com esta função podem gerir atribuições de funções no Azure Ative Directory, bem como dentro de Azure AD Privileged Identity Management. Podem criar e gerir grupos que podem ser atribuídos a Azure AD funções. Além disso, esta função permite a gestão de todos os aspetos das Privileged Identity Management e unidades administrativas.

Importante

Esta função confere a capacidade de gerir atribuições para todas as funções Azure AD, incluindo o papel de Administrador Global. Esta função não inclui quaisquer outras habilidades privilegiadas em Azure AD como criar ou atualizar utilizadores. No entanto, os utilizadores destacados para esta função podem conceder a si mesmos ou a outros privilégios adicionais atribuindo funções adicionais.

Ações Descrição
microsoft.diretório/acessoReviews/definições.aplicações/allProperties/read Leia todas as propriedades de revisões de acesso de atribuições de funções de candidatura em Azure AD
microsoft.diretório/acessoReviews/definições.directyRoles/allProperties/allTasks Gerir revisões de acesso para atribuições de funções Azure AD
microsoft.diretório/acessoReviews/definições.groupsAssignableToRoles/allProperties/update Atualizar todas as propriedades de comentários de acesso para membros em grupos que são atribuíveis a funções Azure AD
microsoft.diretório/acessoReviews/definições.groupsAssignableToRoles/create Criar revisões de acesso para membros em grupos que sejam atribuíveis a funções Azure AD
microsoft.diretório/acessoReviews/definições.groupsAssignableToRoles/delete Eliminar comentários de acesso para adesão em grupos que sejam atribuíveis a funções Azure AD
microsoft.diretório/acessoReviews/definições.groups/allProperties/read Leia todas as propriedades de comentários de acesso para membros em Grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis por funções.
microsoft.diretório/administrativoSIns/allProperties/allTasks Criar e gerir unidades administrativas (incluindo membros)
microsoft.diretório/autorizaçãoPolícia/allProperties/allTasks Gerir todos os aspetos da política de autorização
microsoft.directy/directórioRoles/allProperties/allTasks Criar e apagar funções de diretório, e ler e atualizar todas as propriedades
microsoft.diretório/gruposAssignableToRoles/create Criar grupos aos quais se pode atribuir funções
microsoft.diretório/gruposAssignableToRoles/delete Eliminar grupos atribuíveis por funções
microsoft.diretório/gruposAssignableToRoles/restauro Restaurar grupos atribuíveis por funções
microsoft.diretório/gruposAssignableToRoles/allProperties/update Atualizar grupos atribuíveis por funções
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/privilegiadoIdmentManagement/allProperties/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Privileged Identity Management
microsoft.diretório/papelAssignments/allProperties/allTasks Criar e eliminar atribuições de funções e ler e atualizar todas as propriedades de atribuição de funções
microsoft.diretório/roleDefinitions/allProperties/allTasks Criar e eliminar definições de funções, e ler e atualizar todas as propriedades
microsoft.directy/scopedRoleMemberships/allProperties/allTasks Criar e eliminar as empresas scopedRoleMemberberships e ler e atualizar todas as propriedades
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/serviçoPrincipals/permissões/atualização Atualizar permissões dos principais serviços
microsoft.directiony/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Conceder consentimento para qualquer permissão a qualquer pedido
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Leitor de Relatórios

Os utilizadores com esta função podem visualizar os dados de reporte de utilização e o painel de relatórios em centro de administração do Microsoft 365 e o pacote de contexto de adoção no Power BI. Além disso, a função fornece acesso a todos os registos de login, registos de auditoria e relatórios de atividade em Azure AD e dados devolvidos pela API de relatório do Microsoft Graph. Um utilizador atribuído à função 'Leitor de Relatórios' só pode aceder às métricas de utilização e adoção relevantes. Não têm permissões de administração para configurar definições ou aceder aos centros de administração específicos do produto, como o Exchange. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.

Ações Descrição
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Pesquisa

Os utilizadores desta função têm acesso total a todas as funcionalidades de gestão do Microsoft Search no centro de administração do Microsoft 365. Além disso, estes utilizadores podem ver o centro de mensagens, monitorizar a saúde do serviço e criar pedidos de serviço.

Ações Descrição
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.search/content/manage Criar e eliminar conteúdo, e ler e atualizar todas as propriedades no Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Editor de Pesquisa

Os utilizadores desta função podem criar, gerir e eliminar conteúdo para a Pesquisa do Microsoft no centro de administração do Microsoft 365, incluindo marcadores, Q&As e localizações.

Ações Descrição
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.search/content/manage Criar e eliminar conteúdo, e ler e atualizar todas as propriedades no Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Segurança

Os utilizadores com esta função têm permissões para gerir funcionalidades relacionadas com a segurança no portal Microsoft 365 Defender, Azure Ative Directory Identity Protection, Azure Ative Directory Authentication, Azure Information Protection e Office 365 Security & Compliance Center. Mais informações sobre permissões Office 365 estão disponíveis nas Permissões no Centro de Conformidade de Segurança&.

Em Pode fazer
Centro de Segurança do Microsoft 365 Monitorize políticas relacionadas com a segurança em todos os serviços da Microsoft 365
Gerir ameaças e alertas de segurança
Ver relatórios
Centro de Proteção de Identidade Todas as permissões do papel do Leitor de Segurança
Além disso, a capacidade de realizar todas as operações do Centro de Proteção de Identidade, exceto para repor palavras-passe
Privileged Identity Management Todas as permissões do papel do Leitor de Segurança
Não é possível gerir Azure AD atribuições ou configurações de funções
Segurança & Office 365 Centro de Conformidade Manage security policies (Gerir políticas de segurança)
Ver, investigar e responder a ameaças de segurança
Ver relatórios
Proteção Avançada Contra Ameaças do Azure Monitorize e responda a atividades de segurança suspeitas
Microsoft Defender para Ponto Final Atribuir funções
Gerir grupos de máquinas
Configure a deteção de ameaças de ponto final e a remediação automatizada
Ver, investigar e responder a alertas
Ver máquinas/inventário de dispositivos
Intune Visualizações de informações do utilizador, dispositivo, inscrição, configuração e aplicação
Não é possível fazer alterações ao Intune
Microsoft Defender for Cloud Apps Adicionar administradores, adicionar políticas e configurações, carregar registos e executar ações de governação
Saúde do serviço Microsoft 365 Ver a saúde dos serviços microsoft 365
Bloqueio inteligente Defina o limiar e a duração dos bloqueios quando ocorrerem eventos de inscrição falhados.
Proteção de palavras-passe Configurar a lista de senhas proibidas personalizadas ou a proteção da palavra-passe no local.
Ações Descrição
microsoft.diretório/aplicações/políticas/atualização Atualizar políticas de aplicações
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.diretório/crossTenantAccessPolicy/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/allowedCloudEndpoints/update Atualização permitiu pontos finais de nuvem da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/basic/update Atualizar as definições básicas da política de acesso do inquilino transversal
microsoft.diretório/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/default/b2bCollaboration/update Atualizar Azure AD definições de colaboração B2B da política de acesso ao inquilino por defeito
microsoft.directy/crossTenantAccessPolicy/default/b2bDirectConnect/update Atualizar Azure AD definições de ligação direta B2B da política de acesso ao inquilino por defeito
microsoft.diretório/crossTenantAccessPolicy/default/crossCloudMeetings/update Atualizar as equipas de reunião de nuvem cruzada da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/default/tenantRestritions/update Atualizar as restrições dos inquilinos da política de acesso ao inquilino por defeito
microsoft.diretório/crossTenantAccessPolicy/partners/create Criar política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/delete Eliminar a política de acesso dos inquilinos para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/b2bCollaboration/update Atualizar Azure AD configurações de colaboração B2B da política de acesso de inquilinos cruzados para parceiros
microsoft.directy/crossTenantAccessPolicy/partners/b2bDirectConnect/update Atualizar Azure AD definições de ligação direta B2B da política de acesso dos inquilinos para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/crossCloudMeetings/update Atualizar as equipas de nuvem cruzada reunindo definições da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/tenantRestrictions/update Atualizar as restrições de arrendamento da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/domínios/federação/atualização Atualizar propriedade da federação de domínios
microsoft.diretório/direitoManagement/allProperties/read Leia todos os imóveis em Azure AD gestão de direitos
microsoft.diretório/identidadeProteção/todas as ofertas/ler Leia todos os recursos na Azure AD Proteção de Identidade
microsoft.diretório/identidadeProteção/todas as ofertas/atualização Atualizar todos os recursos na Azure AD Proteção de Identidade
microsoft.diretório/nomeadosLocações/criar Criar regras personalizadas que definem localizações de rede
microsoft.diretório/nomeadosLocações/delete Eliminar regras personalizadas que definem as localizações da rede
microsoft.diretório/nomeadosLocações/standard/read Leia propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/nomeadosLocações/básico/atualização Atualizar propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/políticas/criar Criar políticas em Azure AD
microsoft.diretório/políticas/excluir Eliminar políticas em Azure AD
microsoft.diretório/políticas/básico/atualização Atualizar propriedades básicas sobre políticas
microsoft.diretório/políticas/proprietários/atualização Atualizar os proprietários de políticas
microsoft.diretório/políticas/tenantDefault/update Atualizar políticas de organização padrão
microsoft.diretório/condicionalAccessPolicies/create Criar políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/delete Eliminar políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/standard/read Ler acesso condicional para políticas
microsoft.diretório/condicionalAccessPolicies/owners/read Leia os proprietários de políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/policyAppliedTo/read Leia a propriedade "aplicada" para políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/basic/update Atualizar propriedades básicas para políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/proprietários/update Atualizar os proprietários para políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/tenantDefault/update Atualizar o inquilino predefinido para políticas de acesso condicional
microsoft.diretório/privilegiadoIdmentManagement/allProperties/read Leia todos os recursos em Privileged Identity Management
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/serviçoPrincipals/políticas/atualização Atualizar políticas dos principais serviços
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.protectionCenter/allEntities/standard/read Ler propriedades padrão de todos os recursos nos centros de Segurança e Conformidade
microsoft.office365.protectionCenter/allEntities/basic/update Atualizar propriedades básicas de todos os recursos nos centros de Segurança e Conformidade
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Criar e gerir cargas de ataque no Simulador de Ataque
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatos de respostas de simulação de ataque e treino associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Criar e gerir modelos de simulação de ataque no Simulador de Ataque
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Operador de Segurança

Os utilizadores com esta função podem gerir alertas e ter acesso global apenas de leitura sobre funcionalidades relacionadas com a segurança, incluindo todas as informações em Centro de Segurança do Microsoft 365, Diretório Ativo Azure, Proteção de Identidade, Privileged Identity Management e segurança & Office 365 Centro de Conformidade. Mais informações sobre permissões Office 365 estão disponíveis nas Permissões no Centro de Conformidade de Segurança&.

Em Pode fazer
Centro de Segurança do Microsoft 365 Todas as permissões do papel do Leitor de Segurança
Ver, investigar e responder a alertas de ameaças à segurança
Gerir as definições de segurança no centro de segurança
Azure AD Identity Protection Todas as permissões do papel do Leitor de Segurança
Além disso, a capacidade de realizar todas as operações do Centro de Proteção de Identidade, exceto para redefinir palavras-passe e configurar e-mails de alerta.
Privileged Identity Management Todas as permissões do papel do Leitor de Segurança
Segurança & Office 365 Centro de Conformidade Todas as permissões do papel do Leitor de Segurança
Ver, investigar e responder a alertas de segurança
Microsoft Defender para Ponto Final Todas as permissões do papel do Leitor de Segurança
Ver, investigar e responder a alertas de segurança
Intune Todas as permissões do papel do Leitor de Segurança
Microsoft Defender for Cloud Apps Todas as permissões do papel do Leitor de Segurança
Ver, investigar e responder a alertas de segurança
Saúde do serviço Microsoft 365 Ver a saúde dos serviços microsoft 365
Ações Descrição
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.directy/cloudAppSecurity/allProperties/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps
microsoft.diretório/identidadeProtecção/todas as Ofertas/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Azure AD Proteção de Identidade
microsoft.diretório/privilegiadoIdmentManagement/allProperties/read Leia todos os recursos em Privileged Identity Management
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gerir todos os aspetos da Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.intune/allEntities/read Leia todos os recursos em Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no Office 365 Security & Compliance Center
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gerir todos os aspetos da Microsoft Defender para Endpoint

Leitor de Segurança

Os utilizadores com esta função têm acesso global apenas de leitura sobre funcionalidades relacionadas com a segurança, incluindo todas as informações em Centro de Segurança do Microsoft 365, Diretório Ativo Azure, Proteção de Identidade, Privileged Identity Management, bem como a capacidade de ler relatórios de login do Azure Ative Directory e registos de auditoria, e em Segurança & Office 365 Centro de Conformidade. Mais informações sobre permissões Office 365 estão disponíveis nas Permissões no Centro de Conformidade de Segurança&.

Em Pode fazer
Centro de Segurança do Microsoft 365 Ver políticas relacionadas com segurança em todos os serviços da Microsoft 365
Ver ameaças de segurança e alertas
Ver relatórios
Centro de Proteção de Identidade Leia todos os relatórios de segurança e definições de informações para funcionalidades de segurança
  • Anti-correio publicitário não-correio publicitário não-correio publicitário não-
  • Encriptação
  • Prevenção de perda de dados
  • Anti-malware
  • Proteção avançada contra ameaças
  • Anti-phishing
  • Regras de fluxo de correio
Privileged Identity Management Tem acesso apenas de leitura a todas as informações surgidas em Azure AD Privileged Identity Management: Políticas e relatórios para atribuições de funções Azure AD e revisões de segurança.
Não pode inscrever-se para Azure AD Privileged Identity Management ou fazer quaisquer alterações. No portal Privileged Identity Management ou via PowerShell, alguém nesta função pode ativar funções adicionais (por exemplo, Administrador Global ou Administrador de Função Privilegiada), se o utilizador for elegível para eles.
Segurança & Office 365 Centro de Conformidade Ver as políticas de segurança
Ver e investigar ameaças à segurança
Ver relatórios
Microsoft Defender para Ponto Final Veja e investigue alertas. Quando liga o controlo de acesso baseado em funções em Microsoft Defender para Endpoint, os utilizadores com permissões apenas de leitura, como a função Azure AD Security Reader, perdem o acesso até que sejam atribuídos a um papel Microsoft Defender para Endpoint.
Intune Visualiza informações do utilizador, dispositivo, inscrição, configuração e aplicação. Não pode fazer alterações ao Intune.
Microsoft Defender for Cloud Apps Leu permissões.
Saúde do serviço Microsoft 365 Ver a saúde dos serviços microsoft 365
Ações Descrição
microsoft.diretório/acessoReviews/definições/allProperties/read Leia todas as propriedades de avaliações de acesso de todos os recursos revistos em Azure AD
microsoft.diretório/auditoriaLogs/allProperties/read Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/bitlockerKeys/chave/ler Leia metadados bitlocker e chave em dispositivos
microsoft.diretório/direitoManagement/allProperties/read Leia todos os imóveis em Azure AD gestão de direitos
microsoft.diretório/identidadeProteção/todas as ofertas/ler Leia todos os recursos na Azure AD Proteção de Identidade
microsoft.diretório/nomeadosLocações/standard/read Leia propriedades básicas de regras personalizadas que definem localizações de rede
microsoft.diretório/políticas/standard/read Ler propriedades básicas sobre políticas
microsoft.diretório/políticas/proprietários/ler Ler os proprietários de políticas
microsoft.diretório/políticas/policyAppliedTo/read Ler políticas.policyAppliedTo propriedade
microsoft.diretório/condicionalAccessPolicies/standard/read Ler acesso condicional para políticas
microsoft.diretório/condicionalAccessPolicies/owners/read Leia os proprietários de políticas de acesso condicional
microsoft.diretório/condicionalAccessPolicies/policyAppliedTo/read Leia a propriedade "aplicada" para políticas de acesso condicional
microsoft.diretório/privilegiadoIdmentManagement/allProperties/read Leia todos os recursos em Privileged Identity Management
microsoft.diretório/provisioningLogs/allProperties/read Leia todas as propriedades dos registos de provisionamento
microsoft.diretório/signInReports/allProperties/read Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.office365.protectionCenter/allEntities/standard/read Ler propriedades padrão de todos os recursos nos centros de Segurança e Conformidade
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Leia todas as propriedades das cargas de ataque no Simulador de Ataque
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatos de respostas de simulação de ataque e treino associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Leia todas as propriedades dos modelos de simulação de ataque no Simulador de Ataque
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Suporte de Serviço

Os utilizadores com esta função podem criar e gerir pedidos de suporte com os serviços da Microsoft para os serviços Azure e Microsoft 365, e ver o painel de serviço e o centro de mensagens no portal do Azure e centro de administração do Microsoft 365. Mais informações sobre funções de administração.

Nota

Anteriormente, esta função chamava-se "Administrador de Serviço" em portal do Azure e centro de administração do Microsoft 365. Rebatizámo-lo para "Administrador de Suporte de Serviço" para alinhar com o nome existente na Microsoft Graph API e Azure AD PowerShell.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador do SharePoint

Os utilizadores com esta função têm permissões globais dentro de Microsoft Office SharePoint Online, quando o serviço está presente, bem como a capacidade de criar e gerir todos os grupos microsoft 365, gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações sobre funções de administração.

Nota

No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "SharePoint Service Administrator". É "SharePoint Administrator" no portal do Azure.

Nota

Esta função também concede permissões de âmbito ao Microsoft Graph API para Microsoft Intune, permitindo a gestão e configuração de políticas relacionadas com os recursos SharePoint e OneDrive.

Ações Descrição
microsoft.diretório/grupos.unificado/criar Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/delete Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/restaurar Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/básico/atualização Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/membros/atualização Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/proprietários/atualização Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador Skype para Empresas

Os utilizadores com esta função têm permissões globais dentro da Microsoft Skype para Empresas, quando o serviço está presente, bem como gerir atributos de utilizador específicos do Skype no Azure Ative Directory. Além disso, esta função garante a capacidade de gerir bilhetes de apoio e monitorizar a saúde do serviço, e aceder às Equipas e Skype para Empresas centro de administração. A conta também deve ser licenciada para equipas ou não pode executar os cmdlets da Teams PowerShell. Mais informações sobre o papel de administrador Skype para Empresas e as equipas que licenciam informações em Skype para Empresas e no licenciamento de complemento da Microsoft Teams

Nota

No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço Lync". É "administrador Skype para Empresas" no portal do Azure.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerir todos os aspetos do Skype para Empresas Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Equipas

Os utilizadores desta função podem gerir todos os aspetos da carga de trabalho das Equipas Microsoft através do Microsoft Teams & Skype para Empresas centro de administração e os respetivos módulos PowerShell. Isto inclui, entre outras áreas, todas as ferramentas de gestão relacionadas com a telefonia, mensagens, reuniões e as próprias equipas. Este papel também oferece a capacidade de criar e gerir todos os grupos Microsoft 365, gerir bilhetes de apoio e monitorizar a saúde do serviço.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.diretório/grupos/hiddenMembers/read Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/criar Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/delete Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/restaurar Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/básico/atualização Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/membros/atualização Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/proprietários/atualização Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerir todos os aspetos do Skype para Empresas Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gerir todos os recursos em Equipas
microsoft.diretório/crossTenantAccessPolicy/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/allowedCloudEndpoints/update Atualização permitiu pontos finais de nuvem da política de acesso de inquilinos cruzados
microsoft.diretório/crossTenantAccessPolicy/basic/update Atualizar as definições básicas da política de acesso do inquilino transversal
microsoft.diretório/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/default/b2bCollaboration/update Atualizar Azure AD definições de colaboração B2B da política de acesso ao inquilino por defeito
microsoft.directy/crossTenantAccessPolicy/default/b2bDirectConnect/update Atualizar Azure AD definições de ligação direta B2B da política de acesso ao inquilino por defeito
microsoft.diretório/crossTenantAccessPolicy/default/crossCloudMeetings/update Atualizar as equipas de reunião de nuvem cruzada da política de acesso ao inquilino padrão
microsoft.diretório/crossTenantAccessPolicy/default/tenantRestritions/update Atualizar as restrições dos inquilinos da política de acesso ao inquilino por defeito
microsoft.diretório/crossTenantAccessPolicy/partners/create Criar política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/delete Eliminar a política de acesso dos inquilinos para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/standard/read Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/b2bCollaboration/update Atualizar Azure AD configurações de colaboração B2B da política de acesso de inquilinos cruzados para parceiros
microsoft.directy/crossTenantAccessPolicy/partners/b2bDirectConnect/update Atualizar Azure AD definições de ligação direta B2B da política de acesso dos inquilinos para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/crossCloudMeetings/update Atualizar as equipas de nuvem cruzada reunindo definições da política de acesso de inquilinos cruzados para parceiros
microsoft.diretório/crossTenantAccessPolicy/partners/tenantRestrictions/update Atualizar as restrições de arrendamento da política de acesso de inquilinos cruzados para parceiros

Administrador de Comunicações de Equipas

Os utilizadores desta função podem gerir aspetos da carga de trabalho das Equipas Microsoft relacionadas com a & telefonia vocal. Isto inclui as ferramentas de gestão para atribuição de números de telefone, políticas de voz e reunião, e acesso total ao conjunto de ferramentas de análise de chamadas.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerir todos os aspetos do Skype para Empresas Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Leia todos os dados no Painel de Qualidade de Chamada (CQD)
microsoft.teams/meetings/allProperties/allTasks Gerir reuniões, incluindo políticas de reuniões, configurações e pontes de conferências
microsoft.teams/voice/allProperties/allTasks Gerir políticas de voz, incluindo políticas de chamadas e inventário de números de telefone e atribuição

Engenheiro de Suporte de Comunicações de Equipas

Os utilizadores desta função podem resolver problemas de comunicação dentro do Microsoft Teams & Skype para Empresas utilizando as ferramentas de resolução de problemas de chamada do utilizador no centro de administração Skype para Empresas Microsoft Teams & . Os utilizadores desta função podem visualizar informações completas do registo de chamadas para todos os participantes envolvidos. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerir todos os aspetos do Skype para Empresas Online
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Leia todos os dados no Painel de Qualidade de Chamada (CQD)

Especialista em Apoio às Comunicações das Equipas

Os utilizadores desta função podem resolver problemas de comunicação dentro do Microsoft Teams & Skype para Empresas utilizando as ferramentas de resolução de problemas de chamada do utilizador no centro de administração Skype para Empresas Microsoft Teams & . Os utilizadores desta função só podem ver os dados do utilizador na chamada para o utilizador específico que procuraram. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.

Ações Descrição
microsoft.diretório/autorizaçãoPolícia/standard/read Ler propriedades padrão da política de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerir todos os aspetos do Skype para Empresas Online
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.teams/callQuality/standard/read Leia os dados básicos no Painel de Qualidade de Chamada (CQD)

Administrador de Dispositivos de Equipas

Os utilizadores com esta função podem gerir dispositivos certificados por Equipas a partir do centro de administração das Equipas. Esta função permite visualizar todos os dispositivos num só olhar, com capacidade de pesquisar e filtrar dispositivos. O utilizador pode verificar detalhes de cada dispositivo, incluindo conta iniciada, e modelo do dispositivo. O utilizador pode alterar as definições do dispositivo e atualizar as versões do software. Esta função não concede permissões para verificar a atividade das Equipas e chamar a qualidade do dispositivo.

Ações Descrição
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.teams/devices/standard/read Gerir todos os aspetos dos dispositivos certificados por Equipas, incluindo políticas de configuração

Leitor de Relatórios de Resumo de Utilização

Os utilizadores com esta função podem aceder a dados agregados ao nível do inquilino e insights associados em centro de administração do Microsoft 365 para a Pontuação de Utilização e Produtividade, mas não podem aceder a quaisquer detalhes ou insights de nível de utilizador. Em centro de administração do Microsoft 365 para os dois relatórios, diferenciamos entre os dados agregados ao nível do inquilino e os detalhes do nível de utilizador. Esta função confere uma camada extra de proteção aos dados identificáveis de cada utilizador, que foi solicitado tanto por clientes como por equipas legais.

Ações Descrição
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leia relatórios agregados de Office 365 de utilização ao nível do inquilino
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Utilizadores

Os utilizadores com esta função podem criar utilizadores e gerir todos os aspetos dos utilizadores com algumas restrições (ver tabela), e podem atualizar as políticas de validade da palavra-passe. Além disso, os utilizadores com esta função podem criar e gerir todos os grupos. Esta função inclui também a capacidade de criar e gerir as vistas dos utilizadores, gerir bilhetes de apoio e monitorizar a saúde do serviço. Os Administradores de Utilizadores não têm permissão para gerir algumas propriedades do utilizador para os utilizadores na maioria das funções de administrador. Os administradores com esta função não têm permissões para gerir MFA ou gerir caixas de correio partilhadas. As funções que são exceções a esta restrição estão listadas no quadro seguinte.

Permissão do administrador do utilizador Notas
Criar utilizadores e grupos
Criar e gerir vistas de utilizador
Gerir bilhetes de apoio ao Escritório
Atualizar políticas de expiração da palavra-passe
Gerir licenças
Gerir todas as propriedades do utilizador, exceto o nome principal do utilizador
Aplica-se a todos os utilizadores, incluindo todos os administradores
Eliminar e restaurar
Desativar e ativar
Gerir todas as propriedades do utilizador, incluindo o nome principal do utilizador
Teclas de dispositivo de atualização (FIDO)
Aplica-se a utilizadores que não sejam administradores ou em qualquer uma das seguintes funções:
  • Administrador helpdesk
  • Utilizador sem papel
  • Administrador de Utilizadores
Tokens de atualização invalidado
Repor palavra-passe
Para obter uma lista das funções para as quais um Administrador de Utilizador pode redefinir palavras-passe e invalidar fichas de atualização, consulte Quem pode redefinir as palavras-passe.
Atualizar atributos sensíveis Para obter uma lista das funções para as quais um Administrador de Utilizador pode atualizar atributos sensíveis, consulte Quem pode atualizar atributos sensíveis.

Importante

Os utilizadores com esta função podem alterar palavras-passe para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar a palavra-passe de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:

  • Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidas aos Administradores de Utilizadores. Através deste caminho um Administrador de Utilizador poderá assumir a identidade de um titular da aplicação e, em seguida, assumir a identidade de uma aplicação privilegiada atualizando as credenciais para a aplicação.
  • Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
  • Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
  • Administradores em outros serviços fora de Azure AD como Exchange Online, Office Security and Compliance Center, e sistemas de recursos humanos.
  • Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.

Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.

Ações Descrição
microsoft.diretório/acessoReviews/definições.aplicações/allProperties/allTasks Gerir revisões de acesso de atribuições de funções de candidatura em Azure AD
microsoft.diretório/acessoReviews/definitions.directyRoles/allProperties/read Leia todas as propriedades de avaliações de acesso para atribuições de funções Azure AD
microsoft.diretório/acessoReviews/definições.entitlementManagement/allProperties/allTasks Gerir revisões de acesso para atribuição de pacotes de acesso na gestão de direitos
microsoft.diretório/acessoReviews/definitions.groups/allProperties/update Atualize todas as propriedades de avaliações de acesso para membros em grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por funções.
microsoft.diretório/acessoReviews/definitions.groups/create Crie comentários de acesso para membros em Grupos de Segurança e Microsoft 365.
microsoft.diretório/acessoReviews/definitions.groups/delete Elimine as avaliações de acesso para membros em Grupos de Segurança e Microsoft 365.
microsoft.diretório/acessoReviews/definições.groups/allProperties/read Leia todas as propriedades de comentários de acesso para membros em Grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis por funções.
microsoft.diretório/contactos/criar Criar contactos
microsoft.diretório/contactos/excluir Eliminar contactos
microsoft.diretório/contactos/básico/atualização Atualizar propriedades básicas em contactos
microsoft.diretório/deletedItems.groups/restore Restaurar grupos suaves apagados para o estado original
microsoft.diretório/deletedItems.users/restore Restaurar os utilizadores suaves eliminados para o estado original
microsoft.diretório/direitoManagement/allProperties/allTasks Criar e eliminar recursos, e ler e atualizar todos os imóveis em Azure AD gestão de direitos
microsoft.diretório/grupos/assignLicense Atribuir licenças de produtos a grupos para licenciamento baseado em grupo
microsoft.diretório/grupos/criar Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/excluir Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/hiddenMembers/read Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos/reprocessLicenseAssignment Reprocessar as atribuições de licenças para licenciamento baseado em grupo
microsoft.diretório/grupos/restaurar Restaurar grupos de recipientes comvidade
microsoft.diretório/grupos/básico/atualização Atualizar propriedades básicas em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/classificação/atualização Atualizar a propriedade de classificação em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/dynamicMembershipRule/update Atualizar a regra de adesão dinâmica sobre grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/grupoType/atualização Atualizar propriedades que afetariam o tipo de grupo de grupos de grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/membros/atualização Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/onPremWriteBack/update Atualizar os grupos de Diretório Ativo Azure para serem reensitados para as instalações com Azure AD Connect
microsoft.diretório/grupos/proprietários/atualização Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos/configurações/atualização Configurações de atualização de grupos
microsoft.diretório/grupos/visibilidade/atualização Atualizar a propriedade de visibilidade dos grupos de segurança e da Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades
microsoft.diretório/políticas/standard/read Ler propriedades básicas sobre políticas
microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update Atualizar atribuições de funções principais de serviço
microsoft.diretório/utilizadores/assignLicense Gerir licenças de utilizador
microsoft.diretório/utilizadores/criar Adicionar utilizadores
microsoft.diretório/utilizadores/delete Eliminar utilizadores
microsoft.diretório/utilizadores/desativar Desativar utilizadores
microsoft.diretório/utilizadores/enable Ativar os utilizadores
microsoft.diretório/utilizadores/convidarGuest Convidar utilizadores
microsoft.diretório/utilizadores/invalidadoAllRefreshTokens Forçar a aprovação invalidando tokens de atualização do utilizador
microsoft.diretório/utilizadores/reprocessLicenseAssignment Reprocessar as atribuições de licenças para utilizadores
microsoft.diretório/utilizadores/restaurar Restaurar utilizadores eliminados
microsoft.diretório/utilizadores/básico/atualização Atualizar propriedades básicas nos utilizadores
microsoft.diretório/utilizadores/gestor/atualização Gestor de atualização para utilizadores
microsoft.diretório/utilizadores/password/atualização Redefinir palavras-passe para todos os utilizadores
microsoft.diretório/utilizadores/foto/atualização Atualizar foto dos utilizadores
microsoft.directiony/users/userPrincipalName/update Atualizar o nome principal do utilizador dos utilizadores
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Visitas Virtuais

Os utilizadores com esta função podem fazer as seguintes tarefas:

  • Gerir e configurar todos os aspetos das Visitas Virtuais em Reservas no centro de administração do Microsoft 365, e no conector EHR das equipas
  • Ver relatórios de utilização de Visitas Virtuais no centro de administração de equipas, centro de administração do Microsoft 365 e PowerBI
  • Ver funcionalidades e configurações no centro de administração do Microsoft 365, mas não pode editar quaisquer definições

As Visitas Virtuais são uma forma simples de agendar e gerir consultas online e de vídeo para funcionários e participantes. Por exemplo, o relatório de utilização pode mostrar como o envio de mensagens de texto SMS antes das nomeações pode reduzir o número de pessoas que não aparecem para marcações.

Ações Descrição
microsoft.virtualVisits/allEntities/allProperties/allTasks Gerir e partilhar informações e métricas de Visitas Virtuais a partir de centros de administração ou da app Visitas Virtuais
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador Windows 365

Os utilizadores com esta função têm permissões globais sobre Windows 365 recursos, quando o serviço está presente. Além disso, esta função contém a capacidade de gerir utilizadores e dispositivos de forma a associar a política, bem como criar e gerir grupos.

Esta função pode criar e gerir grupos de segurança, mas não tem direitos de administrador sobre os grupos Microsoft 365. Isto significa que os administradores não podem atualizar proprietários ou membros de grupos microsoft 365 na organização. No entanto, podem gerir o grupo Microsoft 365 que criam, que faz parte dos seus privilégios de utilizador final. Assim, qualquer grupo Microsoft 365 (não grupo de segurança) que criam é contado contra a sua quota de 250.

Atribuir a função de Administrador Windows 365 aos utilizadores que necessitem de fazer as seguintes tarefas:

  • Gerir PCs cloud Windows 365 em Endpoint Manager Microsoft
  • Inscrever e gerir dispositivos em Azure AD, incluindo a atribuição de utilizadores e políticas
  • Criar e gerir grupos de segurança, mas não grupos atribuíveis por funções
  • Ver propriedades básicas no centro de administração do Microsoft 365
  • Leia relatórios de utilização no centro de administração do Microsoft 365
  • Criar e gerir bilhetes de apoio em Azure AD e na centro de administração do Microsoft 365
Ações Descrição
microsoft.diretório/deletedItems.devices/delete Eliminar permanentemente dispositivos, que já não podem ser restaurados
microsoft.diretório/deletedItems.devices/restore Restaurar dispositivos suaves eliminados para o estado original
microsoft.diretório/dispositivos/criar Criar dispositivos (inscrever-se em Azure AD)
microsoft.diretório/dispositivos/delete Eliminar dispositivos de Azure AD
microsoft.diretório/dispositivos/desativar Desativar dispositivos em Azure AD
microsoft.diretório/dispositivos/permitir Ativar dispositivos em Azure AD
microsoft.diretório/dispositivos/básico/atualização Atualizar propriedades básicas em dispositivos
microsoft.diretório/dispositivos/extensãoAttributeSet1/update Atualizar a extensãoAttribute1 para extensão Propriedades de Atribuição de5 em dispositivos
microsoft.diretório/dispositivos/extensãoAttributeSet2/atualização Atualizar a extensãoAttribute6 para extensão Propriedades de Atribuição de 10 em dispositivos
microsoft.diretório/dispositivos/extensãoAttributeSet3/update Atualizar a extensãoAttribute11 para extensão Propriedades deAttribute15 em dispositivos
microsoft.diretório/dispositivos/registadosSowners/update Atualizar os proprietários registados de dispositivos
microsoft.diretório/dispositivos/registros/update Atualizar utilizadores registados de dispositivos
microsoft.diretório/grupos.security/create Criar grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/delete Eliminar grupos de segurança, excluindo grupos que atribuem funções
microsoft.diretório/grupos.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/classification/update Atualizar a propriedade de classificação em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.directy/groups.security/dynamicMembershipRule/update Atualizar a regra de adesão dinâmica sobre os grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.diretório/grupos.security/owners/update Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.security/visibility/update Atualizar a propriedade de visibilidade em grupos de segurança, excluindo grupos atribuíveis por funções
microsoft.diretório/dispositivoManagementPolicies/standard/read Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos
microsoft.diretório/dispositivoRegistrationPolicy/standard/read Leia propriedades padrão nas políticas de registo de dispositivos
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerir bilhetes de suporte do Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gerir todos os aspetos da Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365

Administrador de Windows Update De implementação

Os utilizadores desta função podem criar e gerir todos os aspetos das implementações Windows Update através do Windows Update para o serviço de implementação de negócios. O serviço de implementação permite que os utilizadores definam definições para quando e como as atualizações são implementadas, e especifica quais as atualizações que são oferecidas a grupos de dispositivos no seu inquilino. Também permite que os utilizadores monitorizem o progresso da atualização.

Ações Descrição
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leia e configuure todos os aspetos do Serviço Windows Update

Administrador yammer

Atribua a função de Administrador Yammer aos utilizadores que necessitem de fazer as seguintes tarefas:

  • Gerir todos os aspetos do Yammer
  • Criar, gerir e restaurar Grupos do Microsoft 365, mas não grupos atribuíveis por funções
  • Ver os membros ocultos dos grupos de Segurança e da Microsoft 365, incluindo grupos atribuíveis de funções
  • Leia relatórios de utilização no centro de administração do Microsoft 365
  • Criar e gerir pedidos de serviço no centro de administração do Microsoft 365
  • Ver anúncios no centro de mensagens, mas não anúncios de segurança
  • Ver estado de funcionamento do serviço

Saiba mais

Ações Descrição
microsoft.diretório/grupos/hiddenMembers/read Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/criar Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/delete Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/restaurar Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/básico/atualização Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/membros/atualização Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.diretório/grupos.unificado/proprietários/atualização Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções
microsoft.office365.messageCenter/messages/read Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar serviço de saúde no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerir pedidos de serviço microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leia relatórios de utilização Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gerir todos os aspetos do Yammer

Como entender permissões de função

O esquema para permissões segue vagamente o formato REST do Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Por exemplo:

microsoft.directory/applications/credentials/update

Elemento de permissão Description
espaço de nomes Produto ou serviço que expõe a tarefa e está preparado com microsoft. Por exemplo, todas as tarefas em Azure AD utilizar o espaço de microsoft.directory nome.
entidade Característica lógica ou componente exposto pelo serviço no Microsoft Graph. Por exemplo, Azure AD expõe Utilizador e Grupos, o OneNote expõe notas e a Exchange expõe caixas de correio e calendários. Existe uma palavra-chave especial allEntities para especificar todas as entidades num espaço de nome. Isto é frequentemente usado em papéis que concedem acesso a um produto inteiro.
conjunto de propriedades Propriedades ou aspetos específicos da entidade para a qual o acesso está a ser concedido. Por exemplo, microsoft.directory/applications/authentication/read concede a capacidade de ler o URL de resposta, URL de logout e propriedade de fluxo implícito no objeto de aplicação em Azure AD.
  • allProperties designa todas as propriedades da entidade, incluindo propriedades privilegiadas.
  • standard designa propriedades comuns, mas exclui as privilegiadas relacionadas com a ação read . Por exemplo, microsoft.directory/user/standard/read inclui a capacidade de ler propriedades padrão como número de telefone público e endereço de e-mail, mas não o número de telefone secundário privado ou endereço de e-mail usado para a autenticação multifactor.
  • basic designa propriedades comuns, mas exclui as privilegiadas relacionadas com a ação update . O conjunto de propriedades que pode ler pode ser diferente do que pode atualizar. É por isso que há standard e basic palavras-chave para refletir isso.
action Operação sendo concedida, normalmente criar, ler, atualizar ou eliminar (CRUD). Existe uma palavra-chave especial allTasks para especificar todas as capacidades acima (criar, ler, atualizar e eliminar).

Papéis preprecados

As seguintes funções não devem ser utilizadas. Foram depreciadas e serão retiradas de Azure AD no futuro.

  • Administrador de Licença AdHoc
  • Aderir ao dispositivo
  • Gestores de Dispositivos
  • Utilizadores de Dispositivos
  • criador de utilizador Email verificado
  • Administrador da caixa de correio
  • Aderir ao dispositivo de trabalho

Funções não mostradas no portal

Nem todos os papéis devolvidos pela PowerShell ou pela MS Graph API são visíveis em portal do Azure. A tabela seguinte organiza essas diferenças.

Nome da API portal do Azure nome Notas
Aderir ao dispositivo Preterido Documentação de papéis precotados
Gestores de Dispositivos Preterido Documentação de papéis precotados
Utilizadores de Dispositivos Preterido Documentação de papéis precotados
Contas de Sincronização do Diretório Não mostrado porque não deve ser usado Documentação de Contas de Sincronização do Diretório
Utilizador Convidado Não mostrado porque não pode ser usado ND
Suporte parceiro tier 1 Não mostrado porque não deve ser usado Documentação de suporte do Parceiro Tier1
Suporte parceiro Tier 2 Não mostrado porque não deve ser usado Documentação de suporte de parceiro Tier2
Utilizador restrito de hóspedes Não mostrado porque não pode ser usado ND
Utilizador Não mostrado porque não pode ser usado ND
Aderir ao dispositivo de trabalho Preterido Documentação de papéis precotados

Quem pode redefinir palavras-passe

Na tabela seguinte, as colunas listam as funções que podem redefinir palavras-passe. As linhas listam as funções para as quais a sua palavra-passe pode ser reposta.

A tabela seguinte é para funções atribuídas no âmbito de um inquilino. Para as funções atribuídas no âmbito de uma unidade administrativa, aplicam-se novas restrições.

Função que a palavra-passe pode ser reposta Administração de palavra-passe Helpdesk Administração Auth Administração Administração de utilizador Auth privilegiado Administração Admin Global
Auth Administração     ✔️   ✔️ ✔️
Leitores de Diretório ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Admin Global         ✔️ ✔️*
Grupos Administração       ✔️ ✔️ ✔️
Convidado Convidado ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Helpdesk Administração   ✔️   ✔️ ✔️ ✔️
Leitor do Centro de Mensagens   ✔️ ✔️ ✔️ ✔️ ✔️
Administração de palavra-passe ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Auth privilegiado Administração         ✔️ ✔️
Administração de função privilegiada         ✔️ ✔️
Leitor de Relatórios   ✔️ ✔️ ✔️ ✔️ ✔️
Utilizador
(sem papel administrativo)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Utilizador
(sem função de administrador, mas membro ou proprietário de um grupo que atribua funções)
        ✔️ ✔️
Administração de utilizador       ✔️ ✔️ ✔️
Leitor de Relatórios de Resumo de Utilização   ✔️ ✔️ ✔️ ✔️ ✔️

* Um Administrador Global não pode remover a sua própria atribuição de Administrador Global. Isto é para evitar uma situação em que uma organização tem 0 Administradores Globais.

Nota

A capacidade de redefinir uma palavra-passe inclui a capacidade de atualizar os seguintes atributos sensíveis necessários para reiniciar a palavra-passe de autosserviço:

  • businessPhones
  • mobilePhone
  • outras Mensagens

Quem pode atualizar atributos sensíveis

Alguns administradores podem atualizar os seguintes atributos sensíveis para alguns utilizadores. Todos os utilizadores podem ler estes atributos sensíveis.

  • accountEnabled
  • businessPhones
  • mobilePhone
  • onPremisesImmutableId
  • outras Mensagens
  • passwordProfile
  • userPrincipalName

Na tabela seguinte, as colunas listam as funções que podem atualizar os atributos sensíveis. As linhas listam as funções para as quais os seus atributos sensíveis podem ser atualizados.

A tabela seguinte é para funções atribuídas no âmbito de um inquilino. Para as funções atribuídas no âmbito de uma unidade administrativa, aplicam-se novas restrições.

Função que os atributos sensíveis podem ser atualizados Auth Administração Administração de utilizador Auth privilegiado Administração Admin Global
Auth Administração ✔️   ✔️ ✔️
Leitores de Diretório ✔️ ✔️ ✔️ ✔️
Admin Global     ✔️ ✔️
Grupos Administração   ✔️ ✔️ ✔️
Convidado Convidado ✔️ ✔️ ✔️ ✔️
Helpdesk Administração   ✔️ ✔️ ✔️
Leitor do Centro de Mensagens ✔️ ✔️ ✔️ ✔️
Administração de palavra-passe ✔️ ✔️ ✔️ ✔️
Auth privilegiado Administração     ✔️ ✔️
Administração de função privilegiada     ✔️ ✔️
Leitor de Relatórios ✔️ ✔️ ✔️ ✔️
Utilizador
(sem papel administrativo)
✔️ ✔️ ✔️ ✔️
Utilizador
(sem função de administrador, mas membro ou proprietário de um grupo que atribua funções)
    ✔️ ✔️
Administração de utilizador   ✔️ ✔️ ✔️
Leitor de Relatórios de Resumo de Utilização ✔️ ✔️ ✔️ ✔️

Passos seguintes