Funções menos privilegiadas por tarefa no Microsoft Entra ID
Neste artigo, você pode encontrar as informações necessárias para restringir as permissões de administrador de um usuário atribuindo funções menos privilegiadas no Microsoft Entra ID. Você encontrará tarefas organizadas por área de recurso e a função menos privilegiada necessária para executar cada tarefa, juntamente com funções adicionais de Administrador não Global que podem executar a tarefa.
Você pode restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para obter mais informações, consulte Atribuir funções do Microsoft Entra em escopos diferentes ou Criar e atribuir uma função personalizada na ID do Microsoft Entra.
Proxy de aplicativo
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Configurar aplicativo proxy de aplicativo | Administrador de aplicativos | |
| Configurar propriedades do grupo de conectores | Administrador de aplicativos | |
| Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários | Desenvolvedor de aplicativos | Administrador de aplicativos na nuvem Administrador de aplicativos |
| Criar grupo de conectores | Administrador de aplicativos | |
| Excluir grupo de conectores | Administrador de aplicativos | |
| Desativar proxy de aplicativo | Administrador de aplicativos | |
| Download do serviço de conector | Administrador de aplicativos | |
| Ler todas as configurações | Administrador de aplicativos |
Identidades externas/B2C
Observação
Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se tiver privilégios de Administrador Global do Azure AD B2C, certifique-se de que está num diretório do Azure AD B2C e não num diretório do Microsoft Entra.
Marca da empresa
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Configurar a identidade visual da empresa | Administrador de Branding Organizacional | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Ligar
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de identidade híbrida | |
| Ler todas as configurações | Leitor Global | Administrador de identidade híbrida |
| Logon único contínuo | Administrador de identidade híbrida |
Conectar sincronização
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Gerenciar a sincronização de diretórios local | Administrador de identidade híbrida |
Provisionamento na nuvem
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de identidade híbrida | |
| Ler todas as configurações | Leitor Global | Administrador de identidade híbrida |
| Logon único contínuo | Administrador de identidade híbrida |
Conecte a saúde
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Adicionar ou excluir serviços | Proprietário | |
| Aplicar correções ao erro de sincronização | Contribuidor | Proprietário |
| Configurar notificações | Contribuidor | Proprietário |
| Definir definições | Proprietário | |
| Configurar notificações de sincronização | Contribuidor | Proprietário |
| Leia os relatórios de segurança do ADFS | Leitor de Segurança | Contribuidor Proprietário |
| Ler todas as configurações | Leitor | Contribuidor Proprietário |
| Ler erros de sincronização | Leitor | Contribuidor Proprietário |
| Serviços de sincronização de leitura | Leitor | Contribuidor Proprietário |
| Ver métricas e alertas | Leitor | Contribuidor Proprietário |
| Ver métricas e alertas | Leitor | Contribuidor Proprietário |
| Exibir métricas e alertas do serviço de sincronização | Leitor | Contribuidor Proprietário |
Nomes de domínio personalizados
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Gerenciar domínios | Administrador de Nomes de Domínio | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Serviços de Domínio
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Criar instância dos Serviços de Domínio do Microsoft Entra | Administrador de aplicativos Administrador de Grupos Colaborador de Serviços de Domínio |
|
| Executar todas as tarefas dos Serviços de Domínio Microsoft Entra | Grupo Administradores de DC do AAD | |
| Ler todas as configurações | Leitor na assinatura do Azure que contém o serviço AD DS |
Dispositivos
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Excluir dispositivo | Administrador de dispositivos na nuvem | Administrador do Intune |
| Desativar dispositivo | Administrador de dispositivos na nuvem | Administrador do Intune |
| Ativar dispositivo | Administrador de dispositivos na nuvem | Administrador do Intune |
| Ler configuração básica | Função de usuário padrão | |
| Ler chaves BitLocker | Administrador de dispositivos na nuvem | Administrador do Helpdesk Administrador do Intune Administrador de Segurança Leitor de Segurança |
Aplicações empresariais
Gestão dos direitos
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Adicionar recursos a um catálogo | Administrador de Governança de Identidade | Com o gerenciamento de direitos, você pode delegar essa tarefa ao proprietário do catálogo |
| Adicionar sites do SharePoint Online ao catálogo | Administrador do SharePoint |
Publicações
Licenças
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Atribuir licença | Administrador de Licenças | Administrador de usuários |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
| Revogar licença | Administrador de Licenças | Administrador de usuários |
| Experimente ou compre uma subscrição | Administrador de Faturação |
Microsoft Entra Saúde
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Exibir sinais de monitoramento de cenário | Leitor de relatórios | Leitor de Segurança Operador de Segurança Administrador de Segurança Administrador do Helpdesk Leitor Global |
Proteção de ID do Microsoft Entra
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Configurar notificações de alerta | Administrador de Segurança | |
| Configurar e habilitar ou desabilitar a política de MFA | Administrador de Segurança | |
| Configurar e ativar ou desativar a política de risco de início de sessão | Administrador de Segurança | |
| Configurar e habilitar ou desabilitar a política de risco do usuário | Administrador de Segurança | |
| Configurar resumos semanais | Administrador de Segurança | |
| Dispensar todas as deteções de risco | Administrador de Segurança | |
| Corrigir ou descartar vulnerabilidade | Administrador de Segurança | |
| Ler todas as configurações | Leitor de Segurança | |
| Leia todas as deteções de risco | Leitor de Segurança | |
| Ler vulnerabilidades | Leitor de Segurança |
Monitoramento e integridade - Logs de auditoria
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Ler logs de auditoria | Leitor de relatórios | Leitor de Segurança Administrador de Segurança |
Monitorização e estado de funcionamento - Registos de início de sessão
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Ler registos de início de sessão | Leitor de relatórios | Leitor de Segurança Administrador de Segurança Leitor Global |
Monitoramento e integridade - Provisionamento de logs
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Ler registos de início de sessão | Leitor de relatórios | Leitor de Segurança Administrador de Segurança Leitor Global Administrador de Segurança Operador de Segurança Administrador de aplicativos Administrador de aplicativos na nuvem |
Monitorização e saúde - Recomendações
Autenticação multifator
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Excluir todas as senhas de aplicativos existentes geradas pelos usuários selecionados | Administrador de políticas de autenticação | Administrador de autenticação |
| Desabilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Habilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Gerenciar configurações de serviço de MFA | Administrador de políticas de autenticação | |
| Exigir que os usuários selecionados forneçam métodos de contato novamente | Administrador de autenticação | |
| Restaure a autenticação multifator em todos os dispositivos lembrados | Administrador de autenticação |
Servidor MFA
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Bloquear/desbloquear utilizadores | Administrador de políticas de autenticação | |
| Configurar bloqueio de conta | Administrador de políticas de autenticação | |
| Configurar regras de cache | Administrador de políticas de autenticação | |
| Configurar alerta de fraude | Administrador de políticas de autenticação | |
| Configurar notificações | Administrador de políticas de autenticação | |
| Configurar bypass único | Administrador de políticas de autenticação | |
| Definir definições de chamadas telefónicas | Administrador de políticas de autenticação | |
| Configurar provedores | Administrador de políticas de autenticação | |
| Definir definições do servidor | Administrador de políticas de autenticação | |
| Leia o relatório de atividades | Leitor Global | |
| Ler todas as configurações | Leitor Global | |
| Ler o estado do servidor | Leitor Global |
Relações organizacionais
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Gerenciar provedores de identidade | Administrador de Provedor de Identidade Externo | |
| Ler todas as configurações | Leitor Global |
Redefinição de senha
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Configurar métodos de autenticação | Administrador de políticas de autenticação | |
| Configurar personalização | Administrador de políticas de autenticação | |
| Configurar notificação | Administrador de políticas de autenticação | |
| Configurar a integração local | Administrador de políticas de autenticação | |
| Configurar propriedades de redefinição de senha | Administrador de usuários | Administrador de políticas de autenticação |
| Configurar o registo | Administrador de políticas de autenticação | |
| Ler todas as configurações | Administrador de Segurança | Administrador de usuários |
Gestão de permissões
O que é o Microsoft Entra Permissions Management
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Integração de inquilinos | Administrador de Gerenciamento de Permissões | |
| Ambientes de nuvem integrados | Administrador de Gerenciamento de Permissões | |
| Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra | Administrador de Gerenciamento de Permissões | |
| Inicie a avaliação e compre licenças do Microsoft Entra Permissions Management | Administrador de Faturação |
Gerenciamento privilegiado de identidades
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Atribuir usuários a funções | Administrador de Função Privilegiada | |
| Definir definições de função | Administrador de Função Privilegiada | |
| Ver atividade de auditoria | Leitor de Segurança | |
| Exibir associações de função | Leitor de Segurança |
Funções e administradores
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Gerenciar atribuições de função | Administrador de Função Privilegiada | |
| Leia a revisão de acesso de uma função do Microsoft Entra | Leitor de Segurança | Administrador de Segurança Administrador de Função Privilegiada |
| Ler todas as configurações | Função de usuário padrão |
Segurança - Métodos de autenticação
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Habilitar ou desabilitar métodos de autenticação | Administrador de políticas de autenticação | |
| Exibir, provisionar em nome e gerenciar métodos de autenticação de usuário individuais | Administrador de autenticação | Administrador de autenticação privilegiada |
| Configurar a proteção por senha | Administrador de Segurança | |
| Configurar bloqueio inteligente | Administrador de Segurança | |
| Ler todas as configurações | Leitor Global |
Segurança - Acesso Condicional
Segurança - Pontuação de segurança de identidade
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de Segurança | Administrador de Segurança |
| Leia a pontuação de segurança | Leitor de Segurança | Administrador de Segurança |
| Atualizar status do evento | Administrador de Segurança |
Segurança - Entradas arriscadas
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de Segurança | |
| Ler entradas arriscadas | Leitor de Segurança |
Segurança - Utilizadores sinalizados para risco
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Rejeitar todos os eventos | Administrador de Segurança | |
| Ler todas as configurações | Leitor de Segurança | |
| Ler usuários sinalizados para risco | Leitor de Segurança |
Passe de Acesso Temporário
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Criar, excluir ou exibir um Passe de Acesso Temporário para administradores ou membros (exceto eles mesmos) | Administrador de autenticação privilegiada | |
| Criar, excluir ou exibir um Passe de Acesso Temporário para membros (exceto eles mesmos) | Administrador de autenticação | |
| Exibir os detalhes de um Passe de Acesso Temporário para um usuário (sem ler o código em si) | Leitor Global | |
| Configurar ou atualizar a política de método de autenticação do Passe de Acesso Temporário | Administrador de políticas de autenticação |
Inquilino
| Tarefa | Papel menos privilegiado | Funções adicionais |
|---|---|---|
| Criar ID do Microsoft Entra ou Locatário do Azure AD B2C | Criador de inquilinos | |
| Atualizar propriedades do locatário do Microsoft Entra | Administrador de Faturação | |
| Gerir a declaração de privacidade e o contacto | Administrador de Faturação |