Funções e permissões privilegiadas no Microsoft Entra ID (visualização)
Importante
O rótulo para funções e permissões privilegiadas está atualmente em VISUALIZAÇÃO. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
O Microsoft Entra ID tem funções e permissões que são identificadas como privilegiadas. Essas funções e permissões podem ser usadas para delegar o gerenciamento de recursos de diretório a outros usuários, modificar credenciais, políticas de autenticação ou autorização ou acessar dados restritos. As atribuições de funções privilegiadas podem levar à elevação de privilégio se não forem usadas de forma segura e pretendida. Este artigo descreve funções e permissões privilegiadas e práticas recomendadas para como usar.
Quais funções e permissões são privilegiadas?
Para obter uma lista de funções e permissões privilegiadas, consulte Funções internas do Microsoft Entra. Você também pode usar o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph para identificar funções, permissões e atribuições de função identificadas como privilegiadas.
No centro de administração do Microsoft Entra, procure o rótulo PRIVILEGED .
Na página Funções e administradores, as funções privilegiadas são identificadas na coluna Privilegiado. A coluna Atribuições lista o número de atribuições de função. Você também pode filtrar funções privilegiadas.
Ao exibir as permissões para uma função privilegiada, você pode ver quais permissões são privilegiadas. Se você visualizar as permissões como um usuário padrão, não poderá ver quais permissões são privilegiadas.
Ao criar uma função personalizada, você pode ver quais permissões são privilegiadas e a função personalizada será rotulada como privilegiada.
Práticas recomendadas para o uso de funções privilegiadas
Aqui estão algumas práticas recomendadas para usar funções privilegiadas.
- Aplicar o princípio do menor privilégio
- Usar o Privileged Identity Management para conceder acesso just-in-time
- Ativar a autenticação multifator para todas as suas contas de administrador
- Configurar revisões de acesso recorrentes para revogar permissões desnecessárias ao longo do tempo
- Limitar o número de Administradores Globais a menos de 5
- Limitar o número de atribuições de função privilegiada a menos de 10
Para obter mais informações, consulte Práticas recomendadas para funções do Microsoft Entra.
Permissões privilegiadas versus ações protegidas
Permissões privilegiadas e ações protegidas são recursos relacionados à segurança que têm finalidades diferentes. As permissões que têm o rótulo PRIVILEGED ajudam a identificar permissões que podem levar à elevação de privilégio se não forem usadas de forma segura e pretendida. As ações protegidas são permissões de função às quais foram atribuídas políticas de Acesso Condicional para maior segurança, como a exigência de autenticação multifator. Os requisitos de acesso condicional são impostos quando um usuário executa a ação protegida. As ações protegidas estão atualmente em Pré-visualização. Para obter mais informações, consulte O que são ações protegidas no Microsoft Entra ID?.
| Funcionalidade | Permissão privilegiada | Ação protegida |
|---|---|---|
| Identificar permissões que devem ser usadas de forma segura | ✅ | |
| Exigir segurança adicional para executar uma ação | ✅ |
Terminologia
Para entender as funções e permissões privilegiadas no Microsoft Entra ID, é útil conhecer algumas das seguintes terminologias.
| Termo | Definição |
|---|---|
| action | Uma atividade que uma entidade de segurança pode executar em um tipo de objeto. Às vezes referido como uma operação. |
| permissão | Uma definição que especifica a atividade que uma entidade de segurança pode executar em um tipo de objeto. Uma permissão inclui uma ou mais ações. |
| permissão privilegiada | No Microsoft Entra ID, permissões que podem ser usadas para delegar o gerenciamento de recursos de diretório a outros usuários, modificar credenciais, políticas de autenticação ou autorização ou acessar dados restritos. |
| Papel privilegiado | Uma função interna ou personalizada que tem uma ou mais permissões privilegiadas. |
| Atribuição de função privilegiada | Uma atribuição de função que usa uma função privilegiada. |
| Elevação de privilégio | Quando uma entidade de segurança obtém mais permissões do que a função atribuída inicialmente fornecida ao representar outra função. |
| Ação protegida | Permissões com Acesso Condicional aplicadas para maior segurança. |
Como entender as permissões de função
O esquema para permissões segue vagamente o formato REST do Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Por exemplo:
microsoft.directory/applications/credentials/update
| Elemento de permissão | Description |
|---|---|
| espaço de nomes | Produto ou serviço que expõe a tarefa e é precedido de microsoft. Por exemplo, todas as tarefas no Microsoft Entra ID usam o microsoft.directory namespace. |
| entidade | Recurso lógico ou componente exposto pelo serviço no Microsoft Graph. Por exemplo, o Microsoft Entra ID expõe Usuários e Grupos, o OneNote expõe Anotações e o Exchange expõe Caixas de Correio e Calendários. Há uma palavra-chave especial allEntities para especificar todas as entidades em um namespace. Isso geralmente é usado em funções que concedem acesso a um produto inteiro. |
| propertySet | Propriedades ou aspetos específicos da entidade à qual o acesso está a ser concedido. Por exemplo, microsoft.directory/applications/authentication/read concede a capacidade de ler a URL de resposta, a URL de logout e a propriedade de fluxo implícito no objeto do aplicativo no Microsoft Entra ID.
|
| action | A operação que está sendo concedida, normalmente cria, lê, atualiza ou exclui (CRUD). Há uma palavra-chave especial allTasks para especificar todas as habilidades acima (criar, ler, atualizar e excluir). |
Comparar funções de autenticação
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
| Função | Gerir os métodos de autenticação do utilizador | Ativar a MFA por utilizador | Gerir as definições da MFA | Gerir a política do método de autenticação | Gerir a política de proteção de palavras-passe | Atualizar as propriedades confidenciais | Eliminar e restaurar utilizadores |
|---|---|---|---|---|---|---|---|
| Administrador de autenticação | Sim para alguns utilizadores | Sim para alguns utilizadores | No | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
| Administrador de autenticação privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores | Sim para todos os utilizadores |
| Administrador de políticas de autenticação | No | No | Sim | Sim | Sim | No | No |
| Administrador de Utilizadores | No | No | No | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Quem pode repor palavras-passe
Na tabela a seguir, as colunas listam as funções que podem redefinir senhas e invalidar tokens de atualização. As linhas listam as funções para as quais a senha pode ser redefinida. Por exemplo, um Administrador de Senha pode redefinir a senha para Leitores de Diretório, Convidado Convidado, Administrador de Senha e usuários sem função de administrador. Se um usuário receber qualquer outra função, o Administrador de Senha não poderá redefinir sua senha.
A tabela a seguir é para funções atribuídas no escopo de um locatário. Para funções atribuídas no âmbito de uma unidade administrativa, aplicam-se outras restrições.
| Função que a senha pode ser redefinida | Administrador de palavra-passe | Administrador de Suporte Técnico | Administrador de Autenticação | Administrador de usuários | Administrador de Autenticação Privilegiada | Admin Global |
|---|---|---|---|---|---|---|
| Administrador de Autenticação | ✅ | ✅ | ✅ | |||
| Leitores de Diretório | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Admin Global | ✅ | ✅* | ||||
| Administrador de Grupos | ✅ | ✅ | ✅ | |||
| Convidado Inviter | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administrador de Suporte Técnico | ✅ | ✅ | ✅ | ✅ | ||
| Leitor do Centro de Mensagens | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Administrador de palavra-passe | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administrador de Autenticação Privilegiada | ✅ | ✅ | ||||
| Administrador de função privilegiada | ✅ | ✅ | ||||
| Leitor de Relatórios | ✅ | ✅ | ✅ | ✅ | ✅ | |
| User (sem função de administrador) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| User (sem função de administrador, mas membro ou proprietário de um grupo atribuível por função) |
✅ | ✅ | ||||
| Usuário com uma função com escopo para uma unidade administrativa de gerenciamento restrito | ✅ | ✅ | ||||
| Administrador de usuários | ✅ | ✅ | ✅ | |||
| Leitor de relatórios de resumo de uso | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Todas as funções personalizadas | ✅ | ✅ |
Importante
A função de Suporte de Nível 2 do Parceiro pode redefinir senhas e invalidar tokens de atualização para todos os não-administradores e administradores (incluindo Administradores Globais). A função de Suporte de Nível de Parceiro 1 pode redefinir senhas e invalidar tokens de atualização apenas para não-administradores. Essas funções não devem ser usadas porque foram preteridas.
A capacidade de redefinir uma senha inclui a capacidade de atualizar as seguintes propriedades confidenciais necessárias para a redefinição de senha de autoatendimento:
- businessTelefones
- mobilePhone
- outrosE-mails
Quem pode executar ações sensíveis
Alguns administradores podem executar as seguintes ações confidenciais para alguns usuários. Todos os usuários podem ler as propriedades confidenciais.
| Ação sensível | Nome da propriedade sensível |
|---|---|
| Desativar ou habilitar usuários | accountEnabled |
| Atualizar telefone comercial | businessPhones |
| Atualizar telemóvel | mobilePhone |
| Atualizar ID imutável local | onPremisesImmutableId |
| Atualizar outros e-mails | otherMails |
| Atualizar perfil de senha | passwordProfile |
| Atualizar nome principal do usuário | userPrincipalName |
| Excluir ou restaurar usuários | Não aplicável |
Na tabela a seguir, as colunas listam as funções que podem executar ações confidenciais. As linhas listam as funções para as quais a ação sensível pode ser executada.
A tabela a seguir é para funções atribuídas no escopo de um locatário. Para funções atribuídas no âmbito de uma unidade administrativa, aplicam-se outras restrições.
| Papel sobre o qual uma ação sensível pode ser desempenhada | Administrador de Autenticação | Administrador de usuários | Administrador de Autenticação Privilegiada | Admin Global |
|---|---|---|---|---|
| Administrador de Autenticação | ✅ | ✅ | ✅ | |
| Leitores de Diretório | ✅ | ✅ | ✅ | ✅ |
| Admin Global | ✅ | ✅ | ||
| Administrador de Grupos | ✅ | ✅ | ✅ | |
| Convidado Inviter | ✅ | ✅ | ✅ | ✅ |
| Administrador de Suporte Técnico | ✅ | ✅ | ✅ | |
| Leitor do Centro de Mensagens | ✅ | ✅ | ✅ | ✅ |
| Administrador de palavra-passe | ✅ | ✅ | ✅ | ✅ |
| Administrador de Autenticação Privilegiada | ✅ | ✅ | ||
| Administrador de função privilegiada | ✅ | ✅ | ||
| Leitor de Relatórios | ✅ | ✅ | ✅ | ✅ |
| User (sem função de administrador) |
✅ | ✅ | ✅ | ✅ |
| User (sem função de administrador, mas membro ou proprietário de um grupo atribuível por função) |
✅ | ✅ | ||
| Usuário com uma função com escopo para uma unidade administrativa de gerenciamento restrito | ✅ | ✅ | ||
| Administrador de usuários | ✅ | ✅ | ✅ | |
| Leitor de relatórios de resumo de uso | ✅ | ✅ | ✅ | ✅ |
| Todas as funções personalizadas | ✅ | ✅ |