Atribuir funções do Microsoft Entra

Este artigo descreve como atribuir funções do Microsoft Entra a usuários e grupos usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph. Ele também descreve como atribuir funções em escopos diferentes, como locatário, registro de aplicativo e escopos de unidade administrativa.

Você pode atribuir atribuições de função diretas e indiretas a um usuário. Se um usuário receber uma função por uma associação de grupo, adicione o usuário ao grupo para adicionar a atribuição de função. Para mais informações, confira Usar grupos do Microsoft Entra para gerenciar atribuições de função.

No Microsoft Entra ID, normalmente, as funções são atribuídas para se aplicar a todo o locatário. No entanto, você também pode atribuir funções do Microsoft Entra para recursos diferentes, como registros de aplicativo ou unidades administrativas. Por exemplo, você pode atribuir a função de Administrador de Assistência Técnica para que ela se aplique apenas a uma unidade administrativa específica e não a todo o locatário. Os recursos aos quais uma atribuição de função se aplica também são chamados de escopo. Há suporte para restringir o escopo de uma atribuição de função para funções internas e personalizadas. Para obter mais informações sobre o escopo, consulte Visão geral do RBAC (controle de acesso baseado em função) no Microsoft Entra ID.

Funções do Microsoft Entra no PIM

Se você tiver uma licença do Microsoft Entra ID P2 e o PIM (Privileged Identity Management), você terá recursos adicionais ao atribuir funções, como tornar um usuário qualificado para uma atribuição de função ou definir a hora de início e término de uma atribuição de função. Para obter informações sobre como atribuir funções do Microsoft Entra no PIM, consulte estes artigos:

Método	Informação
Centro de administração Microsoft Entra	Atribuir funções do Microsoft Entra no Privileged Identity Management
Microsoft Graph PowerShell	Tutorial: Atribuir funções do Microsoft Entra no Privileged Identity Management usando o Microsoft Graph PowerShell
Microsoft Graph API	Gerenciar atribuições de função do Microsoft Entra usando APIs do PIM Atribuir funções do Microsoft Entra no Privileged Identity Management

Pré-requisitos

• Administrador de funções com privilégios
• Módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao usar o Graph Explorer da API do Microsoft Graph

Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

Atribuir funções com escopo de locatário

Esta seção descreve como atribuir funções no escopo do locatário.

Centro de administração

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Funções e administradores.

   

3. Selecione um nome de função para abrir a função. Não adicione uma marca de seleção ao lado da função.

   

4. Selecione Adicionar atribuições e selecione os usuários ou grupos que você deseja atribuir a essa função.

   Somente grupos que podem ser atribuídos a funções são exibidos. Se um grupo não estiver listado, você precisará criar um grupo que pode ser atribuído a uma função. Para obter mais informações, confira Criar um grupo atribuível por função na ID do Microsoft Entra.

   Se sua experiência for diferente da captura de tela a seguir, você pode ter o Microsoft Entra ID P2 e/ou PIM. Para obter mais informações, confira Atribuir funções do Microsoft Entra no Privileged Identity Management.

   

5. Selecione Adicionar para atribuir a função.

PowerShell

Siga estas etapas para atribuir funções do Microsoft Entra usando o PowerShell.

1. Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o Microsoft Graph PowerShell. Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Em uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Use Get-MgUser para obter o usuário.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Use Get-MgGroup para obter o grupo com atribuição de função.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.

   Para ver a lista de IDs de definição de função para todas as funções internas, confira Funções integradas do Microsoft Entra.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Defina o locatário como escopo da atribuição de função.

   $directoryScope = '/'
   

6. Use New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Aqui está outra maneira que você pode atribuir uma função.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

API do Graph

Siga estas instruções para atribuir uma função usando a API do Microsoft Graph no Explorador do Graph.

1. Faça login no Graph Explorer.

2. Use a API Listar usuários para obter o usuário.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Utilize a API Listar grupos para obter o grupo atribuível a funções.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Use o List unifiedRoleDefinitions API para obter a função que você deseja atribuir.

   Para ver a lista de IDs de definição de função para todas as funções internas, confira Funções integradas do Microsoft Entra.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Use a API Criar unifiedRoleAssignment para atribuir a função.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Resposta

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Se a definição de função ou entidade de segurança não existir, a resposta será "não encontrada".

   Resposta

   HTTP/1.1 404 Not Found
   

Atribuir funções com o escopo de registro do aplicativo

Funções integradas e funções personalizadas são atribuídas por padrão no escopo do locatário para conceder permissões de acesso a todos os registros de aplicativo em sua organização. Além disso, funções personalizadas e algumas funções internas relevantes (dependendo do tipo de recurso do Microsoft Entra) também podem ser atribuídas no escopo de um único recurso do Microsoft Entra. Isso permite que você conceda ao usuário a permissão para atualizar credenciais e propriedades básicas de um único aplicativo sem precisar criar uma segunda função personalizada.

Esta seção descreve como atribuir funções em um escopo de registro de aplicativo.

Centro de Administração

1. Entre no centro de administração do Microsoft Entra como, pelo menos, Desenvolvedor de Aplicativos.

2. Navegue até Identidade>Aplicativos>Registros de aplicativo.

3. Selecione um aplicativo. Você pode usar a caixa de pesquisa para localizar o aplicativo desejado.

   Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativo em seu locatário.

   

4. Selecione Funções e administradores no menu de navegação esquerdo para ver a lista de todas as funções disponíveis para serem atribuídas durante o registro do aplicativo.

   

5. Selecione a função desejada.

   Dica

   Você não verá a lista inteira de funções internas ou personalizadas do Microsoft Entra aqui. Isso é esperado. Mostramos as funções que têm permissões relacionadas apenas ao gerenciamento de registros de aplicativo.

6. Selecione Adicionar atribuições e selecione os usuários ou grupos aos quais você deseja atribuir essa função.

   

7. Selecione Adicionar para atribuir a função com escopo no registro de aplicativo.

PowerShell

Siga estas etapas para atribuir funções do Microsoft Entra no escopo do aplicativo usando o PowerShell.

1. Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o Microsoft Graph PowerShell. Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Em uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Use Get-MgUser para obter o usuário.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Para atribuir a função a uma entidade de serviço em vez de a um usuário, use o comando Get-MgServicePrincipal.

4. Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Use Get-MgApplication para obter o registro do aplicativo que você deseja definir como escopo da atribuição de função.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Use New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

API do Graph

Siga estas instruções para atribuir uma função no escopo da aplicação usando a API do Microsoft Graph em Graph Explorer.

1. Faça login no Graph Explorer.

2. Use a API Listar usuários para obter o usuário.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Use o List unifiedRoleDefinitions API para obter a função que você deseja atribuir.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Use a API de Listagem de Aplicativos para obter o aplicativo para o qual você deseja aplicar a atribuição de função.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Use a API Criar unifiedRoleAssignment para atribuir a função.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Resposta

   HTTP/1.1 201 Created
   

   Nota

   Neste exemplo, directoryScopeId é especificado como /<ID>, ao contrário da seção de unidade administrativa. É intencional. O escopo de /<ID> significa que a entidade de entidade pode gerenciar esse objeto do Microsoft Entra. O escopo /administrativeUnits/<ID> significa que o principal pode gerenciar os membros da unidade administrativa (baseado na função atribuída ao principal), não a unidade administrativa em si.

Atribuir funções no escopo de unidade administrativa

Na ID do Microsoft Entra, para um controle administrativo mais granular, você pode atribuir uma função do Microsoft Entra com um escopo limitado a uma ou mais unidades administrativas . Quando uma função do Microsoft Entra é atribuída no escopo de uma unidade administrativa, as permissões de função se aplicam somente ao gerenciar membros da própria unidade administrativa e não se aplicam às definições ou configurações de todos os locatários.

Por exemplo, um administrador que recebe a função administrador de grupos no escopo de uma unidade administrativa pode gerenciar grupos que são membros da unidade administrativa, mas não pode gerenciar outros grupos no locatário. Eles também não podem gerenciar configurações no nível do locatário relacionadas a grupos, como políticas de expiração ou nomenclatura de grupos.

Esta seção descreve como atribuir funções do Microsoft Entra com escopo de unidade administrativa.

Pré-requisitos

• Licença P1 ou P2 do Microsoft Entra ID para cada administrador de unidade administrativa
• Licenças gratuitas do Microsoft Entra ID para membros da unidade administrativa
• Administrador de funções privilegiadas
• Módulo do Microsoft Graph PowerShell quando usando o PowerShell
• Consentimento do administrador ao usar o Graph Explorer para a API do Microsoft Graph

Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

Funções que podem ser atribuídas no escopo de unidade administrativa

As seguintes funções do Microsoft Entra podem ser atribuídas no escopo da unidade administrativa. Além disso, qualquer função personalizada pode ser atribuída com escopo de unidade administrativa, desde que as permissões da função personalizada incluam pelo menos uma permissão relevante para usuários, grupos ou dispositivos.

Função	Descrição
Administrador de Autenticação	Tem acesso para exibir, definir e redefinir informações do método de autenticação para qualquer usuário não administrador apenas na unidade administrativa atribuída.
Administrador de Dispositivos de Nuvem	Acesso limitado para gerenciar dispositivos na ID do Microsoft Entra.
Administrador de grupos	Pode gerenciar todos os aspectos dos grupos somente na unidade administrativa atribuída.
Administrador de Helpdesk	Pode redefinir senhas para não administradores somente na unidade administrativa atribuída.
Administrador de Licenças	Pode atribuir, remover e atualizar atribuições de licença somente na unidade administrativa.
administrador de senhas	Pode redefinir senhas para não administradores somente na unidade administrativa atribuída.
Administrador da Impressora	Pode gerenciar impressoras e conectores de impressora. Para obter mais informações, confira Delegar administração de impressoras na Impressão Universal.
administrador de autenticação com privilégios	Pode acessar para exibir, definir e redefinir informações do método de autenticação para qualquer usuário (administrador ou não administrador).
administrador do SharePoint	Pode gerenciar grupos do Microsoft 365 somente na unidade administrativa atribuída. Para sites do SharePoint associados a grupos do Microsoft 365 em uma unidade administrativa, também é possível atualizar as propriedades do site (nome do site, URL e política de compartilhamento externo) usando o Centro de administração do Microsoft 365. Não é possível usar o Centro de administração do SharePoint ou as APIs do SharePoint para gerenciar sites.
Administrador do Teams	Pode gerenciar grupos do Microsoft 365 somente na unidade administrativa atribuída. Pode gerenciar membros da equipe no centro de administração do Microsoft 365 apenas para equipes associadas a grupos na unidade administrativa atribuída. Não é possível usar o centro de administração do Teams.
Administrador de dispositivos do Teams	Pode executar tarefas relacionadas ao gerenciamento em dispositivos certificados pelo Teams.
Administrador de Usuário	Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados somente na unidade administrativa atribuída. No momento, não é possível gerenciar as fotografias de perfil dos usuários.
<função personalizada>	Pode executar ações que se aplicam a usuários, grupos ou dispositivos, de acordo com a definição da função personalizada.

Determinadas permissões de função se aplicam somente a usuários não administradores quando atribuídas com o escopo de uma unidade administrativa. Em outras palavras, a unidade administrativa com escopo Administradores do Helpdesk poderá redefinir senhas para usuários na unidade administrativa somente se esses usuários não tiverem funções de administrador. A lista de permissões a seguir é restrita quando o destino de uma ação é outro administrador:

• Ler e modificar métodos de autenticação de usuário ou redefinir senhas de usuário
• Modificar propriedades confidenciais do usuário, como números de telefone, endereços de email alternativos ou chaves secretas OAuth (Autorização Aberta)
• Excluir ou restaurar contas de usuário

Entidades de segurança que podem ser atribuídas com escopo da unidade administrativa

As seguintes entidades de segurança podem ser atribuídas a uma função com um escopo de unidade administrativa:

• Usuários
• Grupos atribuíveis a funções do Microsoft Entra
• Entidades de serviço

Entidades de serviço e usuários convidados

As entidades de serviço e os usuários convidados não poderão usar uma atribuição de função no escopo de uma unidade administrativa, a menos que também sejam atribuídas permissões correspondentes para ler os objetos. Isso ocorre porque entidades de serviço e usuários convidados não recebem permissões de leitura de diretório por padrão, que são necessárias para executar ações administrativas. Para permitir que uma entidade de serviço ou um usuário convidado use uma atribuição de função no escopo de uma unidade administrativa, você deve atribuir a função Leitores de diretório (ou outra função que inclua permissões de leitura) em um escopo de locatário.

No momento, não é possível atribuir permissões de leitura de diretório delimitadas a uma unidade administrativa. Para obter mais informações sobre permissões padrão para usuários, consulte permissões de usuário padrão.

Atribuir funções no escopo de unidade administrativa

Esta seção descreve como atribuir funções no escopo da unidade administrativa.

Centro de Administração

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

3. Selecione uma unidade administrativa.

   

4. Selecione Funções e administradores no menu de navegação à esquerda para ver a lista de todas as funções disponíveis para serem atribuídas em uma unidade administrativa.

   

5. Selecione a função desejada.

   Dica

   Você não verá a lista inteira de funções internas ou personalizadas do Microsoft Entra aqui. Isso é esperado. Mostramos as funções que têm permissões relacionadas aos objetos que têm suporte na unidade administrativa. Para ver a lista de objetos com suporte em uma unidade administrativa, consulte Unidades administrativas no Microsoft Entra ID.

6. Selecione Adicionar atribuições e selecione os usuários ou grupos aos quais você deseja atribuir essa função.

7. Selecione Adicionar para atribuir a função com escopo na unidade administrativa.

PowerShell

Siga estas etapas para atribuir funções do Microsoft Entra no escopo da unidade administrativa usando o PowerShell.

1. Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o Microsoft Graph PowerShell. Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Em uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Use Get-MgUser para obter o usuário.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Use Get-MgDirectoryAdministrativeUnit para obter a unidade administrativa que você deseja definir como o escopo da atribuição de função.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Use New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

API do Graph

Siga estas instruções para atribuir um papel no escopo da unidade administrativa usando a Microsoft Graph API em Graph Explorer.

Atribuir função usando a API Create unifiedRoleAssignment

1. Faça login no Graph Explorer .

2. Use a API Listar usuários para obter o usuário.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Use o List unifiedRoleDefinitions API para obter a função que você deseja atribuir.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Use o List administrativeUnits API para obter a unidade administrativa para a qual você deseja que a atribuição de função seja definida.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Use a API Criar unifiedRoleAssignment para atribuir a função.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Resposta

   HTTP/1.1 201 Created
   

   Se a função não tiver suporte, a resposta será uma solicitação incorreta.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Nota

   Neste exemplo, directoryScopeId é especificado como /administrativeUnits/<ID>, em vez de /<ID>. É intencional. O escopo /administrativeUnits/<ID> significa que o principal pode gerenciar os membros da unidade administrativa (com base na função atribuída ao principal), não a unidade administrativa em si. O escopo de /<ID> significa que a entidade de entidade pode gerenciar o objeto do Microsoft Entra em si. Na seção de registro do aplicativo, você verá que o escopo é /<ID> porque uma função com escopo sobre um registro de aplicativo concede o privilégio de gerenciar o objeto em si.

Atribuir função usando a API scopedRoleMember

Como alternativa, use a API Adicionar scopedRoleMember para atribuir uma função com escopo de unidade administrativa.

Solicitação

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corpo

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Próximas etapas

• Listar atribuições de função do Microsoft Entra
• Atribuir funções do Microsoft Entra no Privileged Identity Management
• Usar grupos do Microsoft Entra para gerenciar atribuições de função
• Solucionar problemas de funções do Microsoft Entra atribuídas a grupos