Funções com menos privilégios por função no Microsoft Entra ID
Neste artigo, você pode encontrar as informações necessárias para restringir as permissões de administrador de um usuário atribuindo funções menos privilegiadas no Microsoft Entra ID. Você encontrará tarefas organizadas por área de recurso e a função menos privilegiada necessária para executar cada tarefa, juntamente com funções adicionais de Administrador não Global que podem executar a tarefa.
Você pode restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para obter mais informações, consulte Atribuir funções do Microsoft Entra em escopos diferentes ou Criar e atribuir uma função personalizada na ID do Microsoft Entra.
Proxy da aplicação
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Configurar aplicativo proxy de aplicativo | Administrador de Aplicações | |
| Configurar propriedades do grupo de conectores | Administrador de Aplicações | |
| Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários | Programador de Aplicações | Administrador de Aplicações na Cloud Administrador de Aplicações |
| Criar grupo de conectores | Administrador de Aplicações | |
| Excluir grupo de conectores | Administrador de Aplicações | |
| Desativar proxy de aplicações | Administrador de Aplicações | |
| Download do serviço de conector | Administrador de Aplicações | |
| Ler todas as configurações | Administrador de Aplicações |
Identidades externas/B2C
Nota
Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se tiver privilégios de Administrador Global do Azure AD B2C, certifique-se de que está num diretório do Azure AD B2C e não num diretório do Microsoft Entra.
Imagem corporativa
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Configurar o branding da empresa | Administrador de Branding Organizacional | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Ligar
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de identidade híbrida | |
| Ler todas as configurações | Leitor Global | Administrador de identidade híbrida |
| Início de sessão único totalmente integrado | Administrador de identidade híbrida |
Conectar sincronização
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Gerenciar a sincronização de diretórios local | Administrador de identidade híbrida |
Provisionamento na nuvem
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de identidade híbrida | |
| Ler todas as configurações | Leitor Global | Administrador de identidade híbrida |
| Início de sessão único totalmente integrado | Administrador de identidade híbrida |
Connect Health
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Adicionar ou excluir serviços | Proprietário | |
| Aplicar correções ao erro de sincronização | Contribuinte | Proprietário |
| Configurar as notificações | Contribuinte | Proprietário |
| Configurar definições | Proprietário | |
| Configurar notificações de sincronização | Contribuinte | Proprietário |
| Leia os relatórios de segurança do ADFS | Leitor de Segurança | Contribuinte Proprietário |
| Ler todas as configurações | Leitor | Contribuinte Proprietário |
| Ler erros de sincronização | Leitor | Contribuinte Proprietário |
| Serviços de sincronização de leitura | Leitor | Contribuinte Proprietário |
| Ver métricas e alertas | Leitor | Contribuinte Proprietário |
| Ver métricas e alertas | Leitor | Contribuinte Proprietário |
| Exibir métricas e alertas do serviço de sincronização | Leitor | Contribuinte Proprietário |
Nomes de domínio personalizados
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Gerenciar domínios | Administrador de Nomes de Domínio | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Serviços de Domínio
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Criar instância dos Serviços de Domínio do Microsoft Entra | Administrador de Aplicações Administrador de Grupos Colaborador de Serviços de Domínio |
|
| Executar todas as tarefas dos Serviços de Domínio Microsoft Entra | Grupo Administradores de DC do AAD | |
| Ler todas as configurações | Leitor na assinatura do Azure que contém o serviço AD DS |
Dispositivos
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Eliminar dispositivo | Administrador de dispositivos na nuvem | Administrador do Intune |
| Desativar dispositivo | Administrador de dispositivos na nuvem | Administrador do Intune |
| Ativar dispositivo | Administrador de dispositivos na nuvem | Administrador do Intune |
| Ler configuração básica | Função de usuário padrão | |
| Ler chaves BitLocker | Administrador de dispositivos na nuvem | Administrador do Helpdesk Administrador do Intune Administrador de Segurança Leitor de Segurança |
Aplicações Empresariais
Gestão de direitos
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Adicionar recursos a um catálogo | Administrador de Governança de Identidade | Com o gerenciamento de direitos, você pode delegar essa tarefa ao proprietário do catálogo |
| Adicionar sites do SharePoint Online ao catálogo | Administrador do SharePoint |
Grupos
Identity Protection
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Configurar notificações de alerta | Administrador de Segurança | |
| Configurar e habilitar ou desabilitar a política de MFA | Administrador de Segurança | |
| Configurar e ativar ou desativar a política de risco de início de sessão | Administrador de Segurança | |
| Configurar e habilitar ou desabilitar a política de risco do usuário | Administrador de Segurança | |
| Configurar resumos semanais | Administrador de Segurança | |
| Dispensar todas as deteções de risco | Administrador de Segurança | |
| Corrigir ou descartar vulnerabilidade | Administrador de Segurança | |
| Ler todas as configurações | Leitor de Segurança | |
| Leia todas as deteções de risco | Leitor de Segurança | |
| Ler vulnerabilidades | Leitor de Segurança |
Licenças
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Atribuir licença | Administrador de Licenças | Administrador de Utilizadores |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
| Revogar licença | Administrador de Licenças | Administrador de Utilizadores |
| Experimente ou compre uma subscrição | Administrador de Faturação |
Monitoramento - Logs de auditoria
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Ler logs de auditoria | Leitor de relatórios | Leitor de Segurança Administrador de Segurança |
Monitorização - Inícios de sessão
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Ler registos de início de sessão | Leitor de relatórios | Leitor de Segurança Administrador de Segurança Leitor Global |
Autenticação multifator
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Eliminar todas as palavras-passe de aplicação existentes geradas pelos utilizadores selecionados | Administrador de políticas de autenticação | Administrador de autenticação |
| Desabilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Habilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Gerir as definições do serviço de MFA | Administrador de políticas de autenticação | |
| Exigir que os utilizadores selecionados introduzam novamente os métodos de contacto | Administrador de autenticação | |
| Restaure a autenticação multifator em todos os dispositivos lembrados | Administrador de autenticação |
Servidor MFA
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Bloquear/desbloquear utilizadores | Administrador de políticas de autenticação | |
| Configurar bloqueio de conta | Administrador de políticas de autenticação | |
| Configurar regras de cache | Administrador de políticas de autenticação | |
| Configurar alerta de fraude | Administrador de políticas de autenticação | |
| Configurar as notificações | Administrador de políticas de autenticação | |
| Configurar bypass único | Administrador de políticas de autenticação | |
| Definir definições de chamadas telefónicas | Administrador de políticas de autenticação | |
| Configurar provedores | Administrador de políticas de autenticação | |
| Definir definições do servidor | Administrador de políticas de autenticação | |
| Leia o relatório de atividades | Leitor Global | |
| Ler todas as configurações | Leitor Global | |
| Ler o estado do servidor | Leitor Global |
Relações organizacionais
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Gerenciar provedores de identidade | Administrador de Provedor de Identidade Externo | |
| Ler todas as configurações | Leitor Global |
Repor palavra-passe
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Configurar métodos de autenticação | Administrador de políticas de autenticação | |
| Configurar personalização | Administrador de políticas de autenticação | |
| Configurar notificação | Administrador de políticas de autenticação | |
| Configurar a integração local | Administrador de políticas de autenticação | |
| Configurar propriedades de redefinição de senha | Administrador de Utilizadores | Administrador de políticas de autenticação |
| Configurar o registo | Administrador de políticas de autenticação | |
| Ler todas as configurações | Administrador de Segurança | Administrador de Utilizadores |
Gestão de permissões
O que é o Microsoft Entra Permissions Management
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Integração de inquilinos | Administrador de Gerenciamento de Permissões | |
| Ambientes de nuvem integrados | Administrador de Gerenciamento de Permissões | |
| Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra | Administrador de Gerenciamento de Permissões | |
| Inicie a avaliação e compre licenças do Microsoft Entra Permissions Management | Administrador de Faturação |
Privileged Identity Management
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Atribuir usuários a funções | Administrador de Funções com Privilégios | |
| Configurar as definições de função | Administrador de Funções com Privilégios | |
| Ver a atividade de auditoria | Leitor de Segurança | |
| Exibir associações de função | Leitor de Segurança |
Funções e administradores
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Gerir atribuições de funções | Administrador de Funções com Privilégios | |
| Leia a revisão de acesso de uma função do Microsoft Entra | Leitor de Segurança | Administrador de Segurança Administrador de Funções com Privilégios |
| Ler todas as configurações | Função de usuário padrão |
Segurança - Métodos de autenticação
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Habilitar ou desabilitar métodos de autenticação | Administrador de políticas de autenticação | |
| Exibir, provisionar em nome e gerenciar métodos de autenticação de usuário individuais | Administrador de autenticação | Administrador de autenticação privilegiada |
| Configurar a proteção por senha | Administrador de Segurança | |
| Configurar bloqueio inteligente | Administrador de Segurança | |
| Ler todas as configurações | Leitor Global |
Segurança - Acesso Condicional
Segurança - Pontuação de segurança de identidade
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de Segurança | Administrador de Segurança |
| Leia a pontuação de segurança | Leitor de Segurança | Administrador de Segurança |
| Atualizar status do evento | Administrador de Segurança |
Segurança - Entradas arriscadas
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de Segurança | |
| Ler entradas arriscadas | Leitor de Segurança |
Segurança - Utilizadores sinalizados para risco
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Dispensar todos os eventos | Administrador de Segurança | |
| Ler todas as configurações | Leitor de Segurança | |
| Ler usuários sinalizados para risco | Leitor de Segurança |
Passe de Acesso Temporário
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Criar, excluir ou exibir um Passe de Acesso Temporário para administradores ou membros (exceto eles mesmos) | Administrador de autenticação privilegiada | |
| Criar, excluir ou exibir um Passe de Acesso Temporário para membros (exceto eles mesmos) | Administrador de autenticação | |
| Exibir os detalhes de um Passe de Acesso Temporário para um usuário (sem ler o código em si) | Leitor Global | |
| Configurar ou atualizar a política de método de autenticação do Passe de Acesso Temporário | Administrador de políticas de autenticação |
Inquilino
| Tarefa | Função com menos privilégios | Funções adicionais |
|---|---|---|
| Criar ID do Microsoft Entra ou Locatário do Azure AD B2C | Criador de inquilinos | |
| Atualizar propriedades do locatário do Microsoft Entra | Administrador de Faturação | |
| Gerir a declaração de privacidade e o contacto | Administrador de Faturação |