Funções com privilégios mínimos por tarefa no Microsoft Entra ID
Neste artigo, você poderá encontrar as informações necessárias para restringir as permissões de administrador de um usuário, atribuindo funções com privilégios mínimos no Microsoft Entra ID. Você encontrará as tarefas organizadas por área de recurso e a função com menos privilégios necessária para realizar cada uma delas, com funções adicionais de administrador não global que também podem executá-la.
É possível restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para saber mais, consulte Atribuir funções do Microsoft Entra em diferentes escopos ou Criar e atribuir uma função personalizada no Microsoft Entra ID.
Proxy de aplicativo
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar aplicativo proxy do aplicativo | Administrador de Aplicativos | |
| Configurar propriedades do grupo de conectores | Administrador de Aplicativos | |
| Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários | Desenvolvedor de Aplicativo |
Administrador de Aplicativos de Nuvem Administrador de Aplicativos |
| Criar grupo de conectores | Administrador de Aplicativos | |
| Excluir grupo de conectores | Administrador de Aplicativos | |
| Desabilitar proxy de aplicativo | Administrador de Aplicativos | |
| Baixar serviço do conector | Administrador de Aplicativos | |
| Ler todas as configurações | Administrador de Aplicativos |
Identidades externas/B2C
Observação
Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C, não em um diretório do Microsoft Entra.
Identidade visual da empresa
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar identidade visual da empresa | Administrador de Identidade Visual Organizacional | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Conectar
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de Identidade Híbrida | |
| Ler todas as configurações | Leitor global | Administrador de Identidade Híbrida |
| Logon único contínuo | Administrador de Identidade Híbrida |
Azure AD Connect
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar a sincronização de diretório no local | Administrador de Identidade Híbrida |
Provisionamento em nuvem
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de Identidade Híbrida | |
| Ler todas as configurações | Leitor global | Administrador de Identidade Híbrida |
| Logon único contínuo | Administrador de Identidade Híbrida |
Connect Health
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Adicionar ou excluir serviços | Proprietário | |
| Aplicar correções para erro de sincronização | Colaborador | Proprietário |
| Configurar notificações | Colaborador | Proprietário |
| Definir configurações | Proprietário | |
| Configurar notificações de sincronização | Colaborador | Proprietário |
| Ler os relatórios de segurança do ADFS | Leitor de segurança |
Colaborador Proprietário |
| Ler todas as configurações | Leitor |
Colaborador Proprietário |
| Ler os erros de sincronização | Leitor |
Colaborador Proprietário |
| Ler os serviços de sincronização | Leitor |
Colaborador Proprietário |
| Exibir métricas e alertas | Leitor |
Colaborador Proprietário |
| Exibir métricas e alertas | Leitor |
Colaborador Proprietário |
| Exibir métricas e alertas do serviço de sincronização | Leitor |
Colaborador Proprietário |
Nomes de domínio personalizados
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar domínios | Administrador de Nome de Domínio | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Serviços de Domínio
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Criar Microsoft Entra instância do Domain Services |
Administrador de Aplicativos Administrador de Grupos Colaborador do Serviço de Domínio |
|
| Executar todas as tarefas do Microsoft Entra Domain Services | Grupo de administradores do AAD DC | |
| Ler todas as configurações | Leitor na assinatura do Azure que contém o serviço AD DS |
Dispositivos
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Excluir um dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
| Desabilitar dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
| Habilitar dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
| Ler a configuração básica | Função de usuário padrão | |
| Ler as chaves do BitLocker | Administrador de dispositivo de nuvem |
Administrador de Assistência Técnica Administrador do Intune Administrador de segurança Leitor de segurança |
Aplicativos empresariais
Gerenciamento de direitos
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Adicionar recursos a um catálogo | Administrador de governança de identidade | Com o gerenciamento de direitos, é possível delegar essa tarefa ao proprietário do catálogo |
| Adicionar sites do SharePoint Online ao catálogo | Administrador do SharePoint |
Grupos
Licenças
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Atribuir licença | Administrador de Licenças | Administrador de usuários |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
| Revogar licença | Administrador de Licenças | Administrador de usuários |
| Experimentar ou comprar uma assinatura | Administrador de Cobrança |
Microsoft Entra Health
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Exibir sinais de monitoramento de cenário | Leitor de relatórios |
Leitor de segurança Operador de Segurança Administrador de segurança Administrador de Assistência Técnica Leitor global |
Proteção do Microsoft Entra ID
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar notificações de alerta | Administrador de segurança | |
| Configurar e habilitar ou desabilitar política de MFA | Administrador de segurança | |
| Configurar e habilitar ou desabilitar política de risco de entrada | Administrador de segurança | |
| Configurar e habilitar ou desabilitar política de risco do usuário | Administrador de segurança | |
| Configurar resumos semanais | Administrador de segurança | |
| Ignorar todas as detecções de risco | Operador de Segurança | |
| Corrigir ou ignorar vulnerabilidade | Administrador de segurança | |
| Ler todas as configurações | Leitor de segurança | |
| Ler todas as detecções de risco | Leitor de segurança | |
| Ler vulnerabilidades | Leitor de segurança |
Monitoramento e saúde - Logs de auditoria e login
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler logs de auditoria | Leitor de relatórios |
Administrador de Aplicativos Administrador de Aplicativos de Nuvem Administrador de dispositivo de nuvem Administrador de Acesso Global Seguro Administrador de Identidade Híbrida Administrador de segurança Operador de Segurança Leitor de segurança |
Monitoramento e integridade – Logs de provisionamento
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler logs de entrada | Leitor de relatórios |
Administrador de Aplicativos Administrador de Aplicativos de Nuvem Administrador de dispositivo de nuvem Administrador de Identidade Híbrida Administrador de segurança Operador de Segurança Leitor de segurança |
Monitoramento e integridade – Recomendações
Autenticação multifator
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Excluir todas as senhas de aplicativos existentes geradas pelos usuários selecionados | Administrador de política de autenticação | Administrador de autenticação |
| Desabilitar a MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Habilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Gerenciar configurações do serviço de MFA | Administrador de política de autenticação | |
| Exigir que os usuários selecionados forneçam métodos de contato novamente | Administrador de autenticação | |
| Restaurar a autenticação multifator em todos os dispositivos lembrados | Administrador de autenticação |
Servidor MFA
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Bloquear/desbloquear usuários | Administrador de política de autenticação | |
| Configurar bloqueio de conta | Administrador de política de autenticação | |
| Configurar regras de cache | Administrador de política de autenticação | |
| Configurar alerta de fraude | Administrador de política de autenticação | |
| Configurar notificações | Administrador de política de autenticação | |
| Configurar bypass avulso | Administrador de política de autenticação | |
| Definir configurações de chamada telefônica | Administrador de política de autenticação | |
| Configurar provedores | Administrador de política de autenticação | |
| Definir configurações do servidor | Administrador de política de autenticação | |
| Ler relatório de atividades | Leitor global | |
| Ler todas as configurações | Leitor global | |
| Ler o status do servidor | Leitor global |
Relações organizacionais
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar provedores de identidade | Administrador do provedor de identidade externa | |
| Ler todas as configurações | Leitor global |
Redefinição de senha
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar métodos de autenticação | Administrador de política de autenticação | |
| Configurar personalização | Administrador de política de autenticação | |
| Configurar notificação | Administrador de política de autenticação | |
| Configurar integração local | Administrador de política de autenticação | |
| Configurar propriedades de redefinição de senha | Administrador de usuários | Administrador de política de autenticação |
| Configurar registro | Administrador de política de autenticação | |
| Ler todas as configurações | Administrador de segurança | Administrador de usuários |
Gerenciamento de permissões
O que é o gerenciamento de permissões Microsoft Entra
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Integração do locatário | Administrador de Gerenciamento de Permissões | |
| Ambientes de nuvem integrados | Administrador de Gerenciamento de Permissões | |
| Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra | Administrador de Gerenciamento de Permissões | |
| Comece a avaliação e compre licenças do Microsoft Entra Permissions Management | Administrador de Cobrança |
Privileged Identity Management
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Atribuir usuários a funções | Administrador de Função com Privilégios | |
| Definir configurações de função | Administrador de Função com Privilégios | |
| Exibir atividade de auditoria | Leitor de segurança | |
| Exibir associações de função | Leitor de segurança |
Funções e administradores
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar atribuições de função | Administrador de Função com Privilégios | |
| Revisão de acesso de leitura de uma função de Microsoft Entra | Leitor de segurança |
Administrador de segurança Administrador de Função com Privilégios |
| Ler todas as configurações | Função de usuário padrão |
Segurança - Métodos de Autenticação
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Habilitar ou desabilitar os métodos de autenticação | Administrador de política de autenticação | |
| Exibir, provisionar em nome de e gerenciar métodos de autenticação de usuários individuais | Administrador de autenticação | Administrador de autenticação privilegiada |
| Configurar a proteção de senha | Administrador de segurança | |
| Configurar o bloqueio inteligente | Administrador de segurança | |
| Ler todas as configurações | Leitor global |
Segurança - Acesso condicional
Segurança - Pontuação de segurança de identidade
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de segurança | Administrador de segurança |
| Ler pontuação de segurança | Leitor de segurança | Administrador de segurança |
| Atualizar status do evento | Administrador de segurança |
Segurança - Entradas arriscadas
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de segurança | |
| Ler as entradas arriscadas | Leitor de segurança |
Segurança - Usuários sinalizados para risco
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Descartar todos os eventos | Administrador de segurança | |
| Ler todas as configurações | Leitor de segurança | |
| Ler usuários sinalizados para risco | Leitor de segurança |
Senha de Acesso Temporária
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Criar, excluir ou ver uma senha de acesso temporária de administradores ou membros (exceto eles mesmos) | Administrador de autenticação privilegiada | |
| Criar, excluir ou ver uma senha de acesso temporária de membros (exceto eles mesmos) | Administrador de autenticação | |
| Ver os detalhes de uma senha de acesso temporária de um usuário (sem ler o próprio código) | Leitor global | |
| Configurar ou atualizar a política de método de autenticação da senha de acesso temporária | Administrador de política de autenticação |
Locatário
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Crie novos locatários do Microsoft Entra ID ou Azure AD B2C | Criador de Locatários | |
| Atualizar as propriedades do locatário do Microsoft Entra | Administrador de Cobrança | |
| Gerenciar a declaração de privacidade e o contato | Administrador de Cobrança |