Quais são as permissões de usuário padrão na ID de Microsoft Entra?
Em Microsoft Entra ID, todos os usuários recebem um conjunto de permissões padrão. Um acesso do usuário é composto por tipo de usuário, suas atribuições de função e sua posse de objetos individuais.
Este artigo descreve as permissões padrão e compara os padrões do usuário membro e convidado. As permissões de usuário padrão podem ser alteradas somente nas configurações de usuário no Microsoft Entra ID.
Usuários membros e convidados
O conjunto de permissões padrão depende de se o usuário é um membro nativo do locatário (usuário membro) ou se o usuário é trazido de outro diretório como um convidado de colaboração B2B (entre empresas) (usuário convidado). Para obter mais informações sobre como adicionar usuários convidados, veja O que é colaboração B2B do Microsoft Entra?. Aqui estão os recursos das permissões padrão:
Usuários membros podem registrar aplicativos, gerenciar seu próprio número de celular e foto de perfil, alterar sua senha e convidar pessoas B2B. Esses usuários também podem ler todas as informações de diretório (com algumas poucas exceções).
Usuários convidados têm permissões de diretório restritas. Eles podem gerenciar o próprio perfil, alterar a própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações de diretório.
Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários, grupos e outros objetos do diretório. Convidados podem ser adicionados a funções de administrador, o que lhes concedem permissões totais de leitura e gravação. Os convidados também podem convidar outras pessoas.
Comparar permissões padrão de membro e convidado
Área | Permissões de usuário membro | Permissões padrão do usuário convidado | Permissões restritas do usuário convidado |
---|---|---|---|
Usuários e contatos |
|
|
|
Grupos |
|
|
|
Aplicativos |
|
|
|
Dispositivos |
|
Nenhuma permissão | Nenhuma permissão |
Organização |
|
|
|
Funções e escopos |
|
Nenhuma permissão | Nenhuma permissão |
Assinaturas |
|
Nenhuma permissão | Nenhuma permissão |
Políticas |
|
Nenhuma permissão | Nenhuma permissão |
Restringir permissões padrão de usuários membros
É possível adicionar restrições às permissões padrão dos usuários.
Você pode restringir as permissões padrão para usuários membro das seguintes maneiras:
Cuidado
O uso da opção Restringir o acesso ao portal de administração do Microsoft EntraNÃO é uma medida de segurança. Para obter mais informações sobre a funcionalidade, veja a tabela a seguir.
Permissão | Configurar explicação |
---|---|
Registrar aplicativos | Definir essa opção como Não impede que os usuários criem registros de aplicativos. Você pode conceder a capacidade de volta a indivíduos específicos adicionando-os à função de desenvolvedor de aplicativos. |
Permitir que os usuários conectem a conta corporativa ou de estudante ao LinkedIn | Definir essa opção como Não impede que os usuários conectem sua conta corporativa ou de estudante com sua conta do LinkedIn. Para saber mais, veja Consentimento e compartilhamento de dados das conexões da conta do LinkedIn. |
Criar grupos de segurança | Definir essa opção como Não impede que os usuários criem grupos de segurança. Usários que tiverem pelo menos a função Administradores de Usuários ainda poderão criar grupos de segurança. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo. |
Criar os grupos do Microsoft 365 | Definir essa opção como Não impede que os usuários criem grupos no Microsoft 365. Definir essa opção como Alguns permite que um conjunto de usuários crie grupos do Microsoft 365. Qualquer pessoa com pelo menos a função de Administrador de Usuários ainda poderá criar grupos do Microsoft 365. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo. |
Restringir o acesso ao portal de administração do Microsoft Entra | O que essa alteração faz? Não permite que não administradores naveguem pelo portal de administração do Microsoft Entra. Sim restringe os não administradores de navegar no portal de administração do Microsoft Entra. Não administradores proprietários de grupos ou aplicativos não podem usar o portal do Azure para gerenciar seus próprios recursos. O que ela não faz? Quando devo usar essa opção? Quando não devo usar essa opção? Como conceder somente a usuários não administradores específicos a capacidade de usar o portal de administração do Microsoft Entra? Restringir o acesso ao portal de administração do Microsoft Entra |
Restringir a criação de locatários por usuários não administradores | Os usuários podem criar locatários no Microsoft Entra ID e no portal de administração do Microsoft Entra em Gerenciar locatário. A criação de um locatário é registrada no log de auditoria como categoria DirectoryManagement e atividade Criar Empresa. Qualquer pessoa que crie um locatário se torna o administrador global dele. O locatário recém-criado não herda nenhuma configuração ou configuração. O que essa opção faz? Como conceder somente a usuários não administradores específicos a capacidade de criar novos locatários? |
Impedir que usuários recuperem as chaves do BitLocker dos próprios dispositivos | Essa configuração pode ser encontrada no Centro de administração do Microsoft Entra nas configurações do dispositivo. A definição dessa opção como Sim impede os usuários de recuperar por autoatendimento as chaves do BitLocker para dispositivos próprios. Os usuários devem entrar em contato com o suporte técnico da organização para recuperar as chaves do BitLocker. A definição dessa opção como Não permite que os usuários recuperem as chaves do BitLocker. |
Ler outros usuários | Essa configuração está disponível somente no Microsoft Graph e no PowerShell. Definir esse sinalizador como $false impede que todos os não são administradores leiam informações de usuário no diretório. Esse sinalizador pode impedir a leitura de informações do usuário em outros serviços da Microsoft, como o Microsoft Teams.Essa configuração destina-se a circunstâncias especiais, portanto, não é recomendável definir o sinalizador como |
A opção Restringir usuários não administradores de criar locatários é mostrada na captura de tela a seguir.
Restringir permissões padrão de usuários convidados
Você pode restringir as permissões padrão para usuários convidados das seguintes maneiras.
Observação
A configuração Restrições de acesso de usuários convidados substituiu a configuração As permissões de usuários convidados são limitadas. Para obter orientação sobre como usar esse recurso, veja Restringir permissões de acesso de convidado no Microsoft Entra ID.
Permissão | Configurar explicação |
---|---|
Restrições de acesso de usuários convidados | Definir dessa opção como Os usuários convidados têm o mesmo acesso que os membros concede a permissão de todos os usuários membros para usuários convidados como padrão. Definir essa opção como Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidado apenas a seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo ao pesquisar por nome principal do usuário, ID de objeto ou nome de exibição. O acesso a informações de grupos, incluindo associações de grupos, também não é mais permitido. Essa configuração não impede o acesso a grupos unidos em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, veja Acesso de convidado ao Microsoft Teams. Os usuários convidados ainda podem ter funções de administrador, independentemente dessa configuração de permissão. |
Convidados podem convidar | Definir essa opção como Sim permite que os convidados convidem outros convidados. Para saber mais, confira Definir configurações de colaboração externa. |
Propriedade do objeto
Permissões de proprietário de registro de aplicativo
Quando um usuário registra um aplicativo, ele é automaticamente adicionado como um proprietário do aplicativo. Como proprietário, ele pode gerenciar os metadados do aplicativo, como o nome e as permissões que o aplicativo solicita. Eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de logon único (SSO) e as atribuições de usuário.
Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos a pelo menos a função de Administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.
Permissões do proprietário do aplicativo empresarial
Quando um usuário adiciona um novo aplicativo empresarial, ele é adicionado automaticamente como um proprietário. Como proprietário, eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de SSO, provisionamento e as atribuições de usuário.
Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos a pelo menos a função de Administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.
Permissões de proprietário do grupo
Quando um usuário cria um grupo, ele é automaticamente adicionado como um proprietário desse grupo. Como proprietário, eles podem gerenciar as propriedades do grupo, como o nome, bem como gerenciar a associação ao grupo.
Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos a função de Administrador de Grupos, os proprietários podem gerenciar apenas os grupos que possuem e podem adicionar ou remover membros do grupo somente se o tipo de associação do grupo for Atribuído.
Para atribuir um proprietário do grupo, consulte Gerenciando proprietários para um grupo.
Para usar o Privileged Access Management (PIM) para tornar um grupo qualificado para uma atribuição de função, confira Usar grupos do Microsoft Entra para gerenciar atribuições de função.
Permissões de propriedade
As tabelas a seguir descrevem as permissões específicas que os usuários membros têm sobre objetos de sua propriedade no Microsoft Entra ID. Os usuários têm essas permissões somente em objetos que possuem.
Registros de aplicativo de sua propriedade
Os usuários podem executar as seguintes ações em registros de aplicativo de sua propriedade:
Ação | Descrição |
---|---|
microsoft.directory/applications/audience/update | Atualize a applications.audience propriedade em Microsoft Entra ID. |
microsoft.directory/applications/authentication/update | Atualize a applications.authentication propriedade em Microsoft Entra ID. |
microsoft.directory/applications/basic/update | Atualize as propriedades básicas em aplicativos em Microsoft Entra ID. |
microsoft.directory/applications/credentials/update | Atualize a applications.credentials propriedade em Microsoft Entra ID. |
microsoft.directory/applications/delete | Excluir aplicativos em Microsoft Entra ID. |
microsoft.directory/applications/owners/update | Atualize a applications.owners propriedade em Microsoft Entra ID. |
microsoft.directory/applications/permissions/update | Atualize a applications.permissions propriedade em Microsoft Entra ID. |
microsoft.directory/applications/policies/update | Atualize a applications.policies propriedade em Microsoft Entra ID. |
microsoft.directory/applications/restore | Restaurar aplicativos em Microsoft Entra ID. |
Aplicativos empresariais de sua propriedade
Os usuários podem executar as seguintes ações em aplicativos empresariais de sua propriedade. Um aplicativo empresarial consiste em uma entidade de serviço, uma ou mais políticas de aplicativo e, às vezes, um objeto de aplicativo no mesmo locatário que a entidade de serviço.
Ação | Descrição |
---|---|
microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades (incluindo as propriedades privilegiadas) nos logs de auditoria no Microsoft Entra ID. |
microsoft.directory/policies/basic/update | Atualize as propriedades básicas em políticas em Microsoft Entra ID. |
microsoft.directory/policies/delete | Excluir políticas no Microsoft Entra ID. |
microsoft.directory/policies/owners/update | Atualize a policies.owners propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualize a servicePrincipals.appRoleAssignedTo propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/appRoleAssignments/update | Atualize a users.appRoleAssignments propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/audience/update | Atualize a servicePrincipals.audience propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/authentication/update | Atualize a servicePrincipals.authentication propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/basic/update | Atualize as propriedades básicas em entidades de serviço no Microsoft Entra ID. |
microsoft.directory/servicePrincipals/credentials/update | Atualize a servicePrincipals.credentials propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/delete | Excluir entidades de serviço em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/owners/update | Atualize a servicePrincipals.owners propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/permissions/update | Atualize a servicePrincipals.permissions propriedade em Microsoft Entra ID. |
microsoft.directory/servicePrincipals/policies/update | Atualize a servicePrincipals.policies propriedade em Microsoft Entra ID. |
microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades (incluindo as propriedades privilegiadas) nos relatórios de entrada no Microsoft Entra ID. |
microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gerencie credenciais e segredos de provisionamento de aplicativo |
microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo |
microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo |
microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
Dispositivos de sua propriedade
Os usuários podem executar as seguintes ações em dispositivos de sua propriedade:
Ação | Descrição |
---|---|
microsoft.directory/devices/bitLockerRecoveryKeys/read | Leia a devices.bitLockerRecoveryKeys propriedade em Microsoft Entra ID. |
microsoft.directory/devices/disable | Desabilitar dispositivos no ID Microsoft Entra ID. |
Grupos de sua propriedade
Os usuários podem executar as seguintes ações em grupos de sua propriedade.
Observação
Os proprietários de grupos de associação dinâmica devem ter uma função de Administrador de grupos, Administrador do Intune ou Administrador de usuários para editar regras de grupos de associação dinâmica. Para mais informações, confira Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID.
Ação | Descrição |
---|---|
microsoft.directory/groups/appRoleAssignments/update | Atualize a groups.appRoleAssignments propriedade em Microsoft Entra ID. |
microsoft.directory/groups/basic/update | Atualize as propriedades básicas em grupos em Microsoft Entra ID. |
microsoft.directory/groups/delete | Excluir grupos em Microsoft Entra ID. |
microsoft.directory/groups/members/update | Atualize a groups.members propriedade em Microsoft Entra ID. |
microsoft.directory/groups/owners/update | Atualize a groups.owners propriedade em Microsoft Entra ID. |
microsoft.directory/groups/restore | Restaurar grupos em Microsoft Entra ID. |
microsoft.directory/groups/settings/update | Atualize a groups.settings propriedade em Microsoft Entra ID. |
Próximas etapas
Para saber mais sobre a configuração Restrições de acesso do usuário de convidados, confira Restringir permissões de acesso de convidado no Microsoft Entra ID.
Para saber mais sobre como atribuir funções de administrador do Microsoft Entra consulte Atribuir um usuário a funções de administrador no Microsoft Entra ID.
Para saber mais sobre como o acesso aos recursos é controlado no Microsoft Azure, consulte Noções básicas sobre o acesso aos recursos do Azure.