Partilhar via


Funções incorporadas do Microsoft Entra

Na ID do Microsoft Entra, se outro administrador ou não administrador precisar gerenciar os recursos do Microsoft Entra, atribua-lhes uma função do Microsoft Entra que forneça as permissões necessárias. Por exemplo, você pode atribuir funções para permitir adicionar ou alterar usuários, redefinir senhas de usuário, gerenciar licenças de usuário ou gerenciar nomes de domínio.

Este artigo lista as funções internas do Microsoft Entra que você pode atribuir para permitir o gerenciamento de recursos do Microsoft Entra. Para obter informações sobre a atribuição de funções, veja Atribuir funções do Microsoft Entra aos utilizadores. Se você estiver procurando funções para gerenciar recursos do Azure, consulte Funções internas do Azure.

Todas as funções

Função Description ID do Modelo
Administrador de IA Gerencie todos os aspetos do Microsoft 365 Copilot e serviços empresariais relacionados à IA no Microsoft 365. d2562ede-74db-457e-a7b6-544e236ebb61
Administrador de Aplicações Pode criar e gerir todos os aspetos de registos de aplicações e aplicações empresariais.
Ícone de rótulo privilegiado.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Programador de Aplicações Pode criar registos de aplicações independentemente da definição 'Os utilizadores podem registar aplicações'.
Ícone de rótulo privilegiado.
cf1c38e5-3621-4004-a7cb-879624dced7c
Autor da carga útil de ataque Pode criar cargas úteis de ataque que um administrador pode iniciar mais tarde. 9C6DF0F2-1E7C-4DC3-B195-66DFBD24AA8F
Administrador de Simulação de Ataque Pode criar e gerenciar todos os aspetos de campanhas de simulação de ataque. C430B396-E693-46CC-96F3-DB01BF8BB62A
Administrador de Atribuição de Atributos Atribua chaves e valores de atributos de segurança personalizados a objetos do Microsoft Entra suportados. 58A13EA3-C632-46AE-9EE0-9C0D43CD7F3D
Leitor de atribuição de atributos Leia chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrador de Definição de Atributo Definir e gerenciar a definição de atributos de segurança personalizados. 8424C6F0-A189-499E-BBD0-26C1753C96D4
Leitor de definição de atributo Leia a definição de atributos de segurança personalizados. 1D336D2C-4AE8-42EF-9711-B3604CE3FC2C
Administrador de log de atributos Leia os logs de auditoria e defina as configurações de diagnóstico para eventos relacionados a atributos de segurança personalizados. 5b784334-f94b-471a-a387-e7219fc49ca2
Leitor de log de atributos Leia logs de auditoria relacionados a atributos de segurança personalizados. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Administrador de provisionamento de atributos Adicione ou remova atributos de segurança personalizados no mapeamento de atributos de origem para destino.
Ícone de rótulo privilegiado.
BCE2C6BF-0AB6-418E-BD87-7986F8D63BBE
Leitor de provisionamento de atributos Leia atributos de segurança personalizados definidos em objetos de usuário. 422218e4-db15-4ef9-bbe0-8afb41546d79
Administrador de autenticação Pode acessar para exibir, definir e redefinir informações de método de autenticação para qualquer usuário não administrador.
Ícone de rótulo privilegiado.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrador de Extensibilidade de Autenticação Personalize as experiências de entrada e inscrição para usuários criando e gerenciando extensões de autenticação personalizadas.
Ícone de rótulo privilegiado.
25A516ED-2FA0-40EA-A2D0-12923A21473A
Administrador de políticas de autenticação Pode criar e gerenciar a política de métodos de autenticação, configurações de MFA em todo o locatário, política de proteção por senha e credenciais verificáveis. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Administrador de DevOps do Azure Pode gerenciar políticas e configurações do Azure DevOps. E3973BDF-4987-49AE-837A-BA8E231C7286
Administrador de Proteção de Informações do Azure Pode gerir todos os aspetos do produto Azure Information Protection. 7495FDC4-34C4-4D15-A289-98788CE399FD
Administrador de conjuntos de chaves IEF B2C Pode gerenciar segredos para federação e criptografia no Identity Experience Framework (IEF).
Ícone de rótulo privilegiado.
AAF43236-0C0D-4D5F-883A-6955382AC081
Administrador de Políticas B2C IEF Pode criar e gerenciar políticas de estrutura de confiança no Identity Experience Framework (IEF). 3EDAF663-341E-4475-9F94-5C398EF6C070
Administrador de Faturação Pode executar tarefas de faturação comuns, como atualizar as informações de pagamento. B0F54661-2D74-4C50-AFA3-1EC803F12EFE
Administrador de Segurança de Aplicações na Nuvem Pode gerenciar todos os aspetos do produto Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrador de Aplicações na Cloud Pode criar e gerir todos os aspetos de registos de aplicações e aplicações empresariais, exceto o Proxy de Aplicações.
Ícone de rótulo privilegiado.
158C047A-C907-4556-B7EF-446551A6B5F7
Administrador de dispositivos na nuvem Acesso limitado para gerenciar dispositivos no Microsoft Entra ID.
Ícone de rótulo privilegiado.
7698a772-787b-4ac8-901f-60d6b08affd2
Administrador de conformidade Pode ler e gerenciar a configuração e os relatórios de conformidade no Microsoft Entra ID e no Microsoft 365. 17315797-102D-40B4-93E0-432062CACA18
Administrador de dados de conformidade Cria e gerencia conteúdo de conformidade. E6D1A23A-DA11-4BE4-9570-BEFC86D067A7
Administrador de Acesso Condicional Pode gerenciar recursos de Acesso Condicional.
Ícone de rótulo privilegiado.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Aprovador de Acesso ao Customer LockBox Pode aprovar solicitações de suporte da Microsoft para acessar dados organizacionais do cliente. 5C4F9DCD-47DC-4CF7-8C9A-9E4207CBFC91
Administrador do Desktop Analytics Pode acessar e gerenciar ferramentas e serviços de gerenciamento de desktop. 38A96431-2BDF-4B4C-8B6E-5D3D8ABAC1A4
Leitores de Diretório É capaz de ler informações básicas do diretório. Comumente usado para conceder acesso de leitura de diretório a aplicativos e convidados. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Contas de sincronização de diretórios Usado apenas pelo serviço Microsoft Entra Connect. D29B2B05-8046-44BA-8758-1E26182FCF32
Escritores de Diretórios É capaz de ler e escrever informações básicas de diretório. Para conceder acesso a aplicações, não se destina a utilizadores.
Ícone de rótulo privilegiado.
9360Feb5-F418-4BAA-8175-E2A00BAC4301
Administrador de Nomes de Domínio Pode gerir nomes de domínio na nuvem e no local.
Ícone de rótulo privilegiado.
8329153b-31d0-4727-b945-745eb3bc5f31
Administrador do Dynamics 365 Pode gerir todos os aspetos do produto Dynamics 365. 44367163-EBA1-44C3-98AF-F5787879F96A
Administrador do Dynamics 365 Business Central Acesse e execute todas as tarefas administrativas em ambientes do Dynamics 365 Business Central. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Administrador de Borda Gerencie todos os aspetos do Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Administrador do Exchange Pode gerir todos os aspetos do produto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrador de destinatários do Exchange Pode criar ou atualizar destinatários do Exchange Online dentro da organização do Exchange Online. 31392FFB-586C-42D1-9346-E59415A2CC4E
Administrador de fluxo de usuário de ID externo Pode criar e gerenciar todos os aspetos dos fluxos de usuários. 6E591065-9BAD-43ED-90F3-E9424366D2F0
Administrador de Atributos de Fluxo de Usuário de ID Externo Pode criar e gerenciar o esquema de atributos disponível para todos os fluxos de usuário. 0F971EEA-41EB-4569-A71E-57BB8A3EFF1E
Administrador de Provedor de Identidade Externo Pode configurar provedores de identidade para uso na federação direta.
Ícone de rótulo privilegiado.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrador de malha Pode gerenciar todos os aspetos dos produtos Fabric e Power BI. A9EA8996-122F-4C74-9520-8EDCD192826C
Administrador Global do Pode gerenciar todos os aspetos da ID do Microsoft Entra e dos serviços da Microsoft que usam identidades do Microsoft Entra.
Ícone de rótulo privilegiado.
62E90394-69F5-4237-9190-012177145E10
Leitor Global Pode ler tudo o que um Administrador Global pode, mas não atualizar nada.
Ícone de rótulo privilegiado.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Administrador de Acesso Seguro Global Crie e gerencie todos os aspetos do Microsoft Entra Internet Access e do Microsoft Entra Private Access, incluindo o gerenciamento de acesso a pontos de extremidade públicos e privados. ac434307-12b9-4fa1-a708-88bf58caabc1
Administrador de Grupos Os membros dessa função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, e exibir relatórios de atividade e auditoria de grupos. fdd7a751-b60b-444a-984c-02652fe8fa1c
Convidado Inviter Pode convidar utilizadores convidados independentemente da definição "Os membros podem convidar convidados". 95E79109-95C0-4D8E-AEE3-D01ACCF2D47B
Administrador do Helpdesk Pode repor palavras-passe para não administradores e Administradores de Suporte Técnico.
Ícone de rótulo privilegiado.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrador de identidade híbrida Gerencie o provisionamento de nuvem do Ative Directory para o Microsoft Entra, o Microsoft Entra Connect, a autenticação de passagem (PTA), a sincronização de hash de senha (PHS), o logon único contínuo (SSO contínuo) e as configurações de federação. Não tem acesso para gerenciar o Microsoft Entra Connect Health.
Ícone de rótulo privilegiado.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrador de Governança de Identidade Gerencie o acesso usando o Microsoft Entra ID para cenários de governança de identidade. 45D8D3C5-C802-45C6-B32A-1D70B5E1E86E
Administrador de Insights Tem acesso administrativo no aplicativo Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista de Insights Acesse os recursos analíticos do Microsoft Viva Insights e execute consultas personalizadas. 25DF335F-86EB-4119-B717-0FF02DE207E9
Líder de Negócios Insights Pode ver e partilhar dashboards e informações através da aplicação Microsoft 365 Insights. 31E939AD-9672-4796-9C2E-873181342D2D
Administrador do Intune Pode gerir todos os aspetos do produto Intune.
Ícone de rótulo privilegiado.
3A2C62DB-5318-420D-8D74-23AFFEE5D9D5
Kaizala Administrador Pode gerenciar configurações para o Microsoft Kaizala. 74EF975B-6605-40AF-A5D2-B9539D836353
Administrador do Conhecimento Pode configurar conhecimento, aprendizagem e outros recursos inteligentes. B5A8DCF3-09D5-43A9-A639-8E29EF291470
Gestor de Conhecimento É capaz de organizar, criar, gerir e promover tópicos e conhecimento. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrador de Licenças Pode gerenciar licenças de produtos em usuários e grupos. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administrador de fluxos de trabalho de ciclo de vida Crie e gerencie todos os aspetos de fluxos de trabalho e tarefas associadas aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID.
Ícone de rótulo privilegiado.
59D46F88-662B-457B-BCEB-5C3809E5908F
Leitor de Privacidade do Centro de Mensagens Pode ler mensagens de segurança e atualizações apenas no Centro de Mensagens do Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Leitor do Centro de Mensagens Pode ler mensagens e atualizações para a sua organização apenas no Centro de Mensagens do Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Administrador de migração do Microsoft 365 Execute todas as funcionalidades de migração para migrar conteúdo para o Microsoft 365 usando o Gerenciador de Migração. 8c8b803f-96e1-4129-9349-20738d9f9652
Administrador Local de Dispositivo Ingressado no Microsoft Entra Os usuários atribuídos a essa função são adicionados ao grupo de administradores locais em dispositivos ingressados do Microsoft Entra. 9F06204D-73C1-4D4C-880A-6EDB90606FD8
Administrador de Garantia de Hardware da Microsoft Crie e gerencie todos os aspetos de reclamações de garantia e direitos para hardware fabricado pela Microsoft, como Surface e HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Especialista em Garantia de Hardware Microsoft Crie e leia reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e o HoloLens. 281FE777-FB20-4FBB-B7A3-CCEBCE5B0D96
Administrador de Comércio Moderno Pode gerir compras comerciais para uma empresa, departamento ou equipa. D24AEF57-1500-4070-84DB-2666F29CF966
Administrador de Redes Pode gerenciar locais de rede e analisar informações de design de rede corporativa para aplicativos Microsoft 365 Software as a Service. d37c8cama-0711-4417-ba38-b4abe66ce4c2
Administrador de Aplicativos do Office Pode gerir os serviços na nuvem das aplicações do Office, incluindo a gestão de políticas e definições, e gerir a capacidade de selecionar, anular a seleção e publicar conteúdo de funcionalidades "novidades" nos dispositivos dos utilizadores finais. 2B745BDF-0803-4D80-AA65-822C4493DAAC
Administrador de Branding Organizacional Gerencie todos os aspetos da marca organizacional em um locatário. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Aprovador de Mensagens Organizacionais Revise, aprove ou rejeite novas mensagens organizacionais para entrega no centro de administração do Microsoft 365 antes de serem enviadas aos usuários. E48398E2-F4BB-4074-8F31-4586725E205B
Gravador de mensagens organizacionais Escreva, publique, gerencie e revise as mensagens organizacionais para usuários finais por meio das superfícies de produtos da Microsoft. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Suporte de nível 1 do parceiro Não utilizar - não se destina a uso geral.
Ícone de rótulo privilegiado.
4BA39CA4-527C-499A-B93D-D9B492C50246
Suporte de nível 2 do parceiro Não utilizar - não se destina a uso geral.
Ícone de rótulo privilegiado.
E00E864A-17C5-4A4B-9C06-F5B95A8D5BD8
Administrador de senha Pode redefinir senhas para não-administradores e administradores de senha.
Ícone de rótulo privilegiado.
966707d0-3269-4727-9be2-8c3a10f19b9d
Administrador de Gerenciamento de Permissões Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra. AF78DC32-CF4D-46F9-BA4E-4428526346B5
Administrador da Power Platform Pode criar e gerenciar todos os aspetos do Microsoft Dynamics 365, Power Apps e Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrador de Impressoras Pode gerenciar todos os aspetos de impressoras e conectores de impressoras. 644EF478-E28F-4E28-B9DC-3FDDE9AA0B1F
Técnico de Impressão Pode registrar e cancelar o registro de impressoras e atualizar o status da impressora. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrador de autenticação privilegiada Pode acessar para visualizar, definir e redefinir informações de método de autenticação para qualquer usuário (administrador ou não-administrador).
Ícone de rótulo privilegiado.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrador de Funções com Privilégios Pode gerenciar atribuições de função no Microsoft Entra ID e todos os aspetos do Privileged Identity Management.
Ícone de rótulo privilegiado.
E8611ab8-c189-46e8-94e1-60213ab1f814
Leitor de relatórios Pode ler relatórios de entrada e auditoria. 4A5D8F65-41DA-4DE4-8968-E035B65339CF
Administrador de Pesquisa Pode criar e gerenciar todos os aspetos das configurações de Pesquisa da Microsoft. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor de Pesquisa Pode criar e gerenciar o conteúdo editorial, como favoritos, Q e As, locais, planta baixa. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrador de Segurança Pode ler informações e relatórios de segurança e gerenciar a configuração no Microsoft Entra ID e no Office 365.
Ícone de rótulo privilegiado.
194AE4CB-B126-40B2-BD5B-6091B380977D
Operador de Segurança Cria e gerencia eventos de segurança.
Ícone de rótulo privilegiado.
5F2222B1-57C3-48BA-8AD5-D4759F1FDE6F
Leitor de Segurança Pode ler informações de segurança e relatórios no Microsoft Entra ID e no Office 365.
Ícone de rótulo privilegiado.
5D6B6BB7-DE71-4623-B4AF-96380A352509
Administrador de Suporte de Serviços Pode ler informações de integridade do serviço e gerenciar tíquetes de suporte. f023fd81-a637-4b56-95fd-791ac0226033
Administrador do SharePoint Pode gerenciar todos os aspetos do serviço do SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Administrador incorporado do SharePoint Gerencie todos os aspetos dos contêineres do SharePoint Embedded. 1A7D78B6-429F-476B-B8EB-35FB715FFFD4
Administrador do Skype for Business Pode gerenciar todos os aspetos do produto Skype for Business. 75941009-915a-4869-abe7-691bff18279e
Administrador de Equipas Pode gerenciar o serviço Microsoft Teams. 69091246-20E8-4A56-AA4D-066075B2A7A8
Administrador de Comunicações do Teams Pode gerenciar recursos de chamadas e reuniões no serviço Microsoft Teams. BAF37B3A-610E-45DA-9E62-D9D1E5E8914B
Engenheiro de Suporte de Comunicação de Equipes Pode solucionar problemas de comunicação no Teams usando ferramentas avançadas. f70938a0-fc10-4177-9e90-2178f8765737
Especialista em Suporte de Comunicação de Equipes Pode solucionar problemas de comunicação no Teams usando ferramentas básicas. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrador de dispositivos do Teams Pode executar tarefas relacionadas ao gerenciamento em dispositivos certificados pelo Teams. 3D762C5A-1B6C-493F-843E-55A3B42923D4
Administrador de Telefonia do Teams Gerencie recursos de voz e telefonia e solucione problemas de comunicação no serviço Microsoft Teams. AA38014F-0993-46E9-9B45-30501A20909D
Criador de inquilinos Crie novos locatários do Microsoft Entra ou do Azure AD B2C. 112CA1A2-15AD-4102-995E-45B0BC479A6A
Leitor de relatórios de resumo de uso Leia Relatórios de uso e Pontuação de adoção, mas não pode acessar os detalhes do usuário. 75934031-6C7E-415A-99D7-48DBD49E875E
Administrador de Utilizadores Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados.
Ícone de rótulo privilegiado.
fe930be7-5e62-47db-91af-98c3a49a38b1
Gerente de Sucesso da Experiência do Usuário Veja comentários sobre produtos, resultados de pesquisas e relatórios para encontrar oportunidades de treinamento e comunicação. 27460883-1DF1-4691-B032-3B79643E5E63
Administrador de Visitas Virtuais Gerencie e compartilhe informações e métricas de Visitas Virtuais de centros de administração ou do aplicativo Visitas Virtuais. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Administrador Viva Goals Gerencie e configure todos os aspetos do Microsoft Viva Goals. 92B086B3-E367-4EF2-B869-1DE128FB986E
Administrador Viva Pulse Pode gerenciar todas as configurações do aplicativo Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Administrador do Windows 365 Pode provisionar e gerenciar todos os aspetos de Cloud PCs. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Administrador de Implantação do Windows Update Pode criar e gerenciar todos os aspetos das implantações do Windows Update por meio do serviço de implantação do Windows Update for Business. 32696413-001A-46AE-978C-CE0F6B3620D2
Administrador do Yammer Gerencie todos os aspetos do serviço Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Administrador de IA

Atribua a função de Administrador de IA aos usuários que precisam executar as seguintes tarefas:

  • Gerenciar todos os aspetos do Microsoft 365 Copilot
  • Gerencie serviços corporativos relacionados à IA, extensibilidade e agentes copiloto na página Aplicativos integrados no centro de administração do Microsoft 365
  • Aprovar e publicar agentes copiloto de linha de negócios
  • Permitir que os usuários instalem um aplicativo ou instalem um aplicativo para usuários na organização se o aplicativo não exigir permissão
  • Ler e configurar painéis de integridade do serviço Azure e Microsoft 365
  • Visualize relatórios de uso, insights de adoção e insights organizacionais
  • Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.office365.copilot/allEntities/allProperties/allTasks Criar e gerenciar todas as configurações para o Microsoft 365 Copilot
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.search/content/gerenciar Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador da Aplicação

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os utilizadores nesta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e definições do proxy de aplicações. Observe que os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativos ou aplicativos corporativos.

Essa função também concede a capacidade de consentir permissões delegadas e permissões de aplicativo, com exceção das permissões de aplicativo para o Azure AD Graph e o Microsoft Graph.

Importante

Essa exceção significa que você ainda pode consentir com permissões de aplicativos para outros aplicativos (por exemplo, outros aplicativos da Microsoft, aplicativos de terceiros ou aplicativos que você registrou). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas conceder (ou seja, consentir) essas permissões requer um administrador mais privilegiado, como o Privileged Role Administrator.

Essa função concede a capacidade de gerenciar credenciais de aplicativo. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usá-las para representar a identidade do aplicativo. Se a identidade do aplicativo tiver recebido acesso a um recurso, como a capacidade de criar ou atualizar Usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto representa o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio sobre o que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de Administrador de Aplicativos dá a ele a capacidade de representar a identidade de um aplicativo.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gerenciar políticas de solicitação de consentimento de administrador no Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades de solicitações de consentimento para aplicativos registrados com o Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Atualizar propriedades padrão de políticas de aplicativos
microsoft.directory/applicationPolicies/create Criar políticas de aplicativo
microsoft.directory/applicationPolicies/excluir Excluir políticas de aplicativo
microsoft.directory/applicationPolicies/owners/read Leia os proprietários sobre as políticas do aplicativo
microsoft.directory/applicationPolicies/owners/update Atualizar a propriedade do proprietário das políticas do aplicativo
microsoft.directory/applicationPolicies/policyAppliedTo/read Ler políticas de aplicativos aplicadas à lista de objetos
microsoft.directory/applicationPolicies/standard/read Leia as propriedades padrão das políticas de aplicativos
microsoft.directory/applications/applicationProxyAuthentication/update Atualizar a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/applicationProxy/leitura Leia todas as propriedades de proxy de aplicativo
microsoft.directory/applications/applicationProxySslCertificate/update Atualizar configurações de certificado SSL para proxy de aplicativo
microsoft.directory/applications/applicationProxy/update Atualizar todas as propriedades de proxy de aplicativo
microsoft.directory/applications/applicationProxyUrlSettings/update Atualizar configurações de URL para proxy de aplicativo
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/aplicativos/audiência/atualização Atualizar a propriedade audience para aplicativos
microsoft.directory/aplicativos/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/aplicativos/criar Criar todos os tipos de aplicativos
microsoft.directory/aplicativos/credenciais/atualização Atualizar credenciais do aplicativo
Ícone de rótulo privilegiado.
microsoft.directory/aplicativos/excluir Excluir todos os tipos de aplicativos
microsoft.directory/applications/extensionProperties/update Atualizar propriedades de extensão em aplicativos
microsoft.directory/aplicativos/notas/atualização Atualizar notas de aplicativos
microsoft.directory/aplicativos/proprietários/atualização Atualizar proprietários de aplicativos
microsoft.directory/aplicativos/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicativos
microsoft.directory/aplicativos/políticas/atualização Atualizar políticas de aplicativos
microsoft.directory/aplicativos/sincronização/padrão/leitura Ler as configurações de provisionamento associadas ao objeto do aplicativo
microsoft.directory/applications/tag/update Atualizar tags de aplicativos
microsoft.directory/aplicativos/verificação/atualização Atualizar aplicativospropriedade de verificação
microsoft.directory/applicationTemplates/instanciar Instanciar aplicativos de galeria a partir de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades de grupos de conectores de rede privada
microsoft.directory/connectorGroups/allProperties/update Atualizar todas as propriedades de grupos de conectores de rede privada
microsoft.directory/connectorGroups/create Criar grupos de conectores de rede privada
microsoft.directory/connectorGroups/delete Excluir grupos de conectores de rede privada
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de rede privada
microsoft.directory/conectores/criar Criar conectores de rede privada
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Criar e gerenciar extensões de autenticação personalizadas
Ícone de rótulo privilegiado.
microsoft.directory/deletedItems.applications/excluir Excluir permanentemente aplicativos, que não podem mais ser restaurados
microsoft.directory/deletedItems.applications/restore Restaurar aplicativos excluídos suavemente para o estado original
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/servicePrincipals/audience/update Atualizar propriedades de audiência em entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar propriedades de autenticação em entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar propriedades básicas em entidades de serviço
microsoft.directory/servicePrincipals/create Criar principais de serviço
microsoft.directory/servicePrincipals/credentials/update Atualizar credenciais de entidades de serviço
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/excluir Excluir entidades de serviço
microsoft.directory/servicePrincipals/disable Desativar entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar entidades de serviço
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gerenciar credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Ler credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimento para permissões de aplicativo e permissões delegadas em nome de qualquer usuário ou de todos os usuários, exceto permissões de aplicativo para o Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Atualizar notas de entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar proprietários de entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar permissões de entidades de serviço
microsoft.directory/servicePrincipals/policies/update Políticas de atualização de entidades de serviço
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Crie e gerencie o provisionamento de aplicativos, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar Gerenciar segredos e credenciais de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar o provisionamento de aplicativos, trabalhos de sincronização e esquema
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à sua entidade de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade tag para entidades de serviço
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Programador de Aplicações

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários nessa função podem criar registros de aplicativos quando a configuração "Usuários podem registrar aplicativos" estiver definida como Não. Essa função também concede permissão para consentir em nome próprio quando a configuração "Usuários podem consentir que aplicativos acessem dados da empresa em seu nome" está definida como Não. Os utilizadores atribuídos a esta função são adicionados como proprietários ao criar novos registos de aplicações.

Ações Description
microsoft.directory/applications/createAsOwner Crie todos os tipos de aplicativos e o criador é adicionado como o primeiro proprietário
microsoft.directory/oAuth2PermissionGrants/createAsOwner Criar concessões de permissão do OAuth 2.0, com o criador como o primeiro proprietário
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/createAsOwner Crie entidades de serviço, com o criador como o primeiro proprietário

Autor da carga útil de ataque

Os usuários nessa função podem criar cargas úteis de ataque, mas não realmente iniciá-las ou programá-las. As cargas úteis de ataque ficam então disponíveis para todos os administradores no locatário que podem usá-las para criar uma simulação.

Para obter mais informações, consulte Permissões do Microsoft Defender para Office 365 no portal do Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.

Ações Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Crie e gerencie cargas úteis de ataque no Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatórios de simulação de ataque, respostas e treinamento associado

Administrador de Simulação de Ataque

Os usuários nessa função podem criar e gerenciar todos os aspetos da criação de simulação de ataque, lançamento/agendamento de uma simulação e revisão dos resultados da simulação. Os membros dessa função têm esse acesso para todas as simulações no locatário.

Para obter mais informações, consulte Permissões do Microsoft Defender para Office 365 no portal do Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.

Ações Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Crie e gerencie cargas úteis de ataque no Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatórios de simulação de ataque, respostas e treinamento associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Crie e gerencie modelos de simulação de ataque no Attack Simulator

Administrador de Atribuição de Atributos

Os usuários com essa função podem atribuir e remover chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados, como usuários, entidades de serviço e dispositivos.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Ações Description
microsoft.directory/attributeSets/allProperties/read Leia todas as propriedades de conjuntos de atributos
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para identidades gerenciadas do Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para identidades gerenciadas do Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizados
microsoft.directory/devices/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para dispositivos
microsoft.directory/devices/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para dispositivos
microsoft.directory/servicePrincipals/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para entidades de serviço
microsoft.directory/servicePrincipals/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para entidades de serviço
microsoft.directory/users/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para usuários
microsoft.directory/users/customSecurityAttributes/update Atualizar valores de atributos de segurança personalizados para usuários

Leitor de atribuição de atributos

Os usuários com essa função podem ler chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Ações Description
microsoft.directory/attributeSets/allProperties/read Leia todas as propriedades de conjuntos de atributos
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para identidades gerenciadas do Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizados
microsoft.directory/devices/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para dispositivos
microsoft.directory/servicePrincipals/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para entidades de serviço
microsoft.directory/users/customSecurityAttributes/read Ler valores de atributos de segurança personalizados para usuários

Administrador de Definição de Atributo

Os usuários com essa função podem definir um conjunto válido de atributos de segurança personalizados que podem ser atribuídos a objetos do Microsoft Entra suportados. Essa função também pode ativar e desativar atributos de segurança personalizados.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Ações Description
microsoft.directory/attributeSets/allProperties/allTasks Gerenciar todos os aspetos dos conjuntos de atributos
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Gerenciar todos os aspetos das definições de atributos de segurança personalizados

Leitor de definição de atributo

Os usuários com essa função podem ler a definição de atributos de segurança personalizados.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Ações Description
microsoft.directory/attributeSets/allProperties/read Leia todas as propriedades de conjuntos de atributos
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizados

Administrador de log de atributos

Atribua a função Leitor de Log de Atributos aos usuários que precisam executar as seguintes tarefas:

  • Ler logs de auditoria para alterações de valor de atributo de segurança personalizado
  • Ler logs de auditoria para alterações e atribuições de definição de atributo de segurança personalizado
  • Definir configurações de diagnóstico para atributos de segurança personalizados

Os usuários com essa função não podem ler logs de auditoria para outros eventos.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Ações Description
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Configurar todos os aspetos das configurações de diagnóstico de atributos de segurança personalizados
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Ler logs de auditoria relacionados a atributos de segurança personalizados

Leitor de log de atributos

Atribua a função Leitor de Log de Atributos aos usuários que precisam executar as seguintes tarefas:

  • Ler logs de auditoria para alterações de valor de atributo de segurança personalizado
  • Ler logs de auditoria para alterações e atribuições de definição de atributo de segurança personalizado

Os usuários com essa função não podem executar as seguintes tarefas:

  • Definir configurações de diagnóstico para atributos de segurança personalizados
  • Ler logs de auditoria para outros eventos

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Ações Description
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Ler logs de auditoria relacionados a atributos de segurança personalizados

Administrador de provisionamento de atributos

Os usuários atribuídos a essa função podem executar as seguintes operações ao configurar fluxos de provisionamento/sincronização de usuários no Microsoft Entra:

  • Ler e gravar mapeamentos de atributos para atributos de segurança personalizados ao provisionar em um aplicativo
  • Ler e gravar logs de provisionamento e auditoria para atributos de segurança personalizados ao provisionar em um aplicativo

Importante

Essa função não tem a capacidade de criar conjuntos de atributos de segurança personalizados ou atribuir ou atualizar diretamente valores de atributos de segurança personalizados para o objeto de usuário. Essa função só pode configurar o fluxo dos atributos de segurança personalizados no aplicativo de provisionamento. Para obter mais informações, consulte Provisionar atributos de segurança personalizados de fontes de RH (Visualização).

Ações Description
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizados
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read Leia todos os atributos de segurança personalizados no esquema de sincronização
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/update Atualize mapeamentos de atributos de segurança personalizados no esquema de sincronização ícone de rótulo privilegiado.

Leitor de provisionamento de atributos

Os usuários atribuídos a essa função podem executar as seguintes operações ao trabalhar com fluxos de provisionamento/sincronização de usuários no Microsoft Entra:

  • Leia os mapeamentos de atributos para atributos de segurança personalizados ao provisionar em um aplicativo
  • Leia os logs de provisionamento e auditoria para atributos de segurança personalizados ao provisionar em um aplicativo

Para obter mais informações, consulte Provisionar atributos de segurança personalizados de fontes de RH (Visualização).

Ações Description
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leia todas as propriedades das definições de atributos de segurança personalizados
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read Leia todos os atributos de segurança personalizados no esquema de sincronização

Administrador de Autenticação

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Atribua a função de Administrador de Autenticação aos usuários que precisam fazer o seguinte:

  • Defina ou redefina qualquer método de autenticação (incluindo senhas) para não administradores e algumas funções. Para obter uma lista das funções que um Administrador de Autenticação pode ler ou atualizar métodos de autenticação, consulte Quem pode redefinir senhas.
  • Exija que os usuários que não são administradores ou atribuídos a algumas funções se registrem novamente em relação às credenciais não senhas existentes (por exemplo, MFA ou FIDO) e também pode revogar o MFA de memória no dispositivo, que solicita MFA no próximo login.
  • Gerencie as configurações de MFA no portal de gerenciamento de MFA herdado.
  • Execute ações confidenciais para alguns usuários. Para obter mais informações, consulte Quem pode executar ações confidenciais.
  • Crie e gerencie tíquetes de suporte no Azure e no centro de administração do Microsoft 365.

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
  • Não é possível gerenciar tokens OATH de hardware.

A tabela a seguir compara os recursos de funções relacionadas à autenticação.

Função Gerir os métodos de autenticação do utilizador Ativar a MFA por utilizador Gerir as definições da MFA Gerir a política do método de autenticação Gerir a política de proteção de palavras-passe Atualizar as propriedades confidenciais Eliminar e restaurar utilizadores
Administrador de autenticação Sim para alguns utilizadores Sim para alguns utilizadores Sim No No Sim para alguns utilizadores Sim para alguns utilizadores
Administrador de autenticação privilegiada Sim para todos os utilizadores Sim para todos os utilizadores No No No Sim para todos os utilizadores Sim para todos os utilizadores
Administrador de políticas de autenticação No Sim Sim Sim Sim No No
Administrador de Utilizadores No No No No No Sim para alguns utilizadores Sim para alguns utilizadores

Importante

Os usuários com essa função podem alterar as credenciais de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar as credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:

  • Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares não concedidos aos Administradores de Autenticação. Por meio desse caminho, um administrador de autenticação pode assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
  • Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
  • Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender, portal de conformidade Microsoft Purview e sistemas de recursos humanos.
  • Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/deletedItems.users/restore Restaurar usuários excluídos suavemente para o estado original
microsoft.directory/users/authenticationMethods/basic/update Atualizar as propriedades básicas dos métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/create Atualizar métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/delete Excluir métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leia as propriedades padrão dos métodos de autenticação que não incluem informações pessoalmente identificáveis para os usuários
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/users/excluir Eliminar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/disable Desativar usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/enable Ativar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/restore Restaurar utilizadores eliminados
microsoft.directory/users/userPrincipalName/update Atualizar Nome Principal do Usuário dos usuários
Ícone de rótulo privilegiado.
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Extensibilidade de Autenticação

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Atribua a função de Administrador de Extensibilidade de Autenticação aos usuários que precisam executar as seguintes tarefas:

  • Crie e gerencie todos os aspetos das extensões de autenticação personalizadas.

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível atribuir extensões de autenticação personalizadas a aplicativos para modificar as experiências de autenticação e não pode consentir com permissões de aplicativo ou criar registros de aplicativo associados à extensão de autenticação personalizada. Em vez disso, você deve usar as funções de Administrador de Aplicativos, Desenvolvedor de Aplicativos ou Administrador de Aplicativos na Nuvem.

Uma extensão de autenticação personalizada é um ponto de extremidade de API criado por um desenvolvedor para eventos de autenticação e está registrado no Microsoft Entra ID. Os administradores e proprietários de aplicativos podem usar extensões de autenticação personalizadas para personalizar as experiências de autenticação de seus aplicativos, como entrar e se inscrever ou redefinir senha.

Mais informações

Ações Description
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Criar e gerenciar extensões de autenticação personalizadas
Ícone de rótulo privilegiado.

Administrador da Política de Autenticação

Atribua a função de Administrador de Política de Autenticação aos usuários que precisam fazer o seguinte:

  • Configure a política de métodos de autenticação, as configurações de MFA em todo o locatário e a política de proteção por senha que determinam quais métodos cada usuário pode registrar e usar.
  • Gerenciar configurações de proteção por senha: configurações inteligentes de bloqueio e atualização da lista de senhas proibidas personalizadas.
  • Gerencie as configurações de MFA no portal de gerenciamento de MFA herdado.
  • Crie e gerencie credenciais verificáveis.
  • Crie e gerencie tíquetes de suporte do Azure.

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível atualizar propriedades confidenciais. Para obter mais informações, consulte Quem pode executar ações confidenciais.
  • Não é possível excluir ou restaurar usuários. Para obter mais informações, consulte Quem pode executar ações confidenciais.
  • Não é possível gerenciar tokens OATH de hardware.

A tabela a seguir compara os recursos de funções relacionadas à autenticação.

Função Gerir os métodos de autenticação do utilizador Ativar a MFA por utilizador Gerir as definições da MFA Gerir a política do método de autenticação Gerir a política de proteção de palavras-passe Atualizar as propriedades confidenciais Eliminar e restaurar utilizadores
Administrador de autenticação Sim para alguns utilizadores Sim para alguns utilizadores Sim No No Sim para alguns utilizadores Sim para alguns utilizadores
Administrador de autenticação privilegiada Sim para todos os utilizadores Sim para todos os utilizadores No No No Sim para todos os utilizadores Sim para todos os utilizadores
Administrador de políticas de autenticação No Sim Sim Sim Sim No No
Administrador de Utilizadores No No No No No Sim para alguns utilizadores Sim para alguns utilizadores
Ações Description
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/organization/strongAuthentication/allTasks Gerenciar todos os aspetos das propriedades de autenticação forte de uma organização
microsoft.directory/userCredentialPolicies/basic/update Atualizar políticas básicas para usuários
microsoft.directory/userCredentialPolicies/create Criar políticas de credenciais para usuários
microsoft.directory/userCredentialPolicies/excluir Excluir políticas de credenciais para usuários
microsoft.directory/userCredentialPolicies/owners/read Ler proprietários de políticas de credenciais para usuários
microsoft.directory/userCredentialPolicies/owners/update Atualizar proprietários de políticas de credenciais para usuários
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Leia policy.appliesTo link de navegação
microsoft.directory/userCredentialPolicies/padrão/leitura Ler propriedades padrão de políticas de credenciais para usuários
microsoft.directory/userCredentialPolicies/tenantDefault/update Atualizar propriedade policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/allProperties/read Ler a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/allProperties/update Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Ler um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Atualizar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Leia um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revogar Revogar um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/create Criar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/create Criar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/delete Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis

Administrador de DevOps do Azure

Os usuários com essa função podem gerenciar todas as políticas de DevOps do Azure corporativas, aplicáveis a todas as organizações de DevOps do Azure apoiadas pela ID do Microsoft Entra. Os usuários nessa função podem gerenciar essas políticas navegando para qualquer organização do Azure DevOps que seja apoiada pela ID do Microsoft Entra da empresa. Além disso, os usuários nessa função podem reivindicar a propriedade de organizações órfãs do Azure DevOps. Essa função não concede outras permissões específicas do Azure DevOps (por exemplo, Administradores de Coleção de Projetos) dentro de qualquer uma das organizações de DevOps do Azure apoiadas pela organização Microsoft Entra da empresa.

Ações Description
microsoft.azure.devOps/allEntities/allTasks Ler e configurar o Azure DevOps

Administrador de Proteção de Informações do Azure

Os usuários com essa função têm todas as permissões no serviço Proteção de Informações do Azure. Essa função permite configurar rótulos para a política de Proteção de Informações do Azure, gerenciar modelos de proteção e ativar a proteção. Esta função não concede permissões no Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender portal ou Microsoft Purview compliance portal.

Ações Description
microsoft.azure.informationProtection/allEntities/allTasks Gerenciar todos os aspetos da Proteção de Informações do Azure
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Conjuntos de Chaves B2C IEF

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. O usuário pode criar e gerenciar chaves de política e segredos para criptografia de token, assinaturas de token e criptografia/descriptografia de declaração. Ao adicionar novas chaves a contêineres de chaves existentes, esse administrador limitado pode rolar segredos conforme necessário sem afetar os aplicativos existentes. Este usuário pode ver o conteúdo completo desses segredos e suas datas de validade, mesmo após a sua criação.

Importante

Trata-se de um papel sensível. A função de administrador do conjunto de chaves deve ser cuidadosamente auditada e atribuída com cuidado durante a pré-produção e a produção.

Ações Description
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Ler e configurar conjuntos de chaves no Azure Ative Directory B2C
Ícone de rótulo privilegiado.

Administrador de Políticas B2C IEF

Os usuários nessa função têm a capacidade de criar, ler, atualizar e excluir todas as políticas personalizadas no Azure AD B2C e, portanto, têm controle total sobre a Estrutura de Experiência de Identidade na organização relevante do Azure AD B2C. Ao editar políticas, esse usuário pode estabelecer federação direta com provedores de identidade externos, alterar o esquema de diretório, alterar todo o conteúdo voltado para o usuário (HTML, CSS, JavaScript), alterar os requisitos para concluir uma autenticação, criar novos usuários, enviar dados do usuário para sistemas externos, incluindo migrações completas, e editar todas as informações do usuário, incluindo campos confidenciais, como senhas e números de telefone. Por outro lado, essa função não pode alterar as chaves de criptografia ou editar os segredos usados para federação na organização.

Importante

O B2 IEF Policy Administrator é uma função altamente sensível que deve ser atribuída em uma base muito limitada para organizações em produção. As atividades desses usuários devem ser auditadas de perto, especialmente para organizações em produção.

Ações Description
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Ler e configurar políticas personalizadas no Azure Ative Directory B2C

Administrador de Faturação

Faz compras, gerencia assinaturas, gerencia tíquetes de suporte e monitora a integridade do serviço.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Gerir todos os aspetos da faturação do Office 365
microsoft.directory/organização/básico/update Atualizar propriedades básicas na organização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Segurança de Aplicações na Nuvem

Os usuários com essa função têm permissões totais no Defender for Cloud Apps. Eles podem adicionar administradores, adicionar políticas e configurações do Microsoft Defender for Cloud Apps, carregar logs e executar ações de governança.

Ações Description
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Aplicações na Cloud

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os utilizadores nesta função têm as mesmas permissões que a função de Administrador de Aplicação, à exceção da capacidade de gerir o proxy de aplicações. Esta função fornece a capacidade de criar e gerir todos os aspetos das aplicações empresariais e dos registos de aplicações. Os utilizadores atribuídos a esta função não são adicionados como proprietários ao criar novos registos de aplicação ou aplicações empresariais.

Essa função também concede a capacidade de consentir permissões delegadas e permissões de aplicativo, com exceção das permissões de aplicativo para o Azure AD Graph e o Microsoft Graph.

Importante

Essa exceção significa que você ainda pode consentir com permissões de aplicativos para outros aplicativos (por exemplo, outros aplicativos da Microsoft, aplicativos de terceiros ou aplicativos que você registrou). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas conceder (ou seja, consentir) essas permissões requer um administrador mais privilegiado, como o Privileged Role Administrator.

Essa função concede a capacidade de gerenciar credenciais de aplicativo. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usá-las para representar a identidade do aplicativo. Se a identidade do aplicativo tiver recebido acesso a um recurso, como a capacidade de criar ou atualizar Usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto representa o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio sobre o que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de Administrador de Aplicativos dá a ele a capacidade de representar a identidade de um aplicativo.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gerenciar políticas de solicitação de consentimento de administrador no Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades de solicitações de consentimento para aplicativos registrados com o Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Atualizar propriedades padrão de políticas de aplicativos
microsoft.directory/applicationPolicies/create Criar políticas de aplicativo
microsoft.directory/applicationPolicies/excluir Excluir políticas de aplicativo
microsoft.directory/applicationPolicies/owners/read Leia os proprietários sobre as políticas do aplicativo
microsoft.directory/applicationPolicies/owners/update Atualizar a propriedade do proprietário das políticas do aplicativo
microsoft.directory/applicationPolicies/policyAppliedTo/read Ler políticas de aplicativos aplicadas à lista de objetos
microsoft.directory/applicationPolicies/standard/read Leia as propriedades padrão das políticas de aplicativos
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/aplicativos/audiência/atualização Atualizar a propriedade audience para aplicativos
microsoft.directory/aplicativos/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/aplicativos/criar Criar todos os tipos de aplicativos
microsoft.directory/aplicativos/credenciais/atualização Atualizar credenciais do aplicativo
Ícone de rótulo privilegiado.
microsoft.directory/aplicativos/excluir Excluir todos os tipos de aplicativos
microsoft.directory/applications/extensionProperties/update Atualizar propriedades de extensão em aplicativos
microsoft.directory/aplicativos/notas/atualização Atualizar notas de aplicativos
microsoft.directory/aplicativos/proprietários/atualização Atualizar proprietários de aplicativos
microsoft.directory/aplicativos/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicativos
microsoft.directory/aplicativos/políticas/atualização Atualizar políticas de aplicativos
microsoft.directory/aplicativos/sincronização/padrão/leitura Ler as configurações de provisionamento associadas ao objeto do aplicativo
microsoft.directory/applications/tag/update Atualizar tags de aplicativos
microsoft.directory/aplicativos/verificação/atualização Atualizar aplicativospropriedade de verificação
microsoft.directory/applicationTemplates/instanciar Instanciar aplicativos de galeria a partir de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/deletedItems.applications/excluir Excluir permanentemente aplicativos, que não podem mais ser restaurados
microsoft.directory/deletedItems.applications/restore Restaurar aplicativos excluídos suavemente para o estado original
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/servicePrincipals/audience/update Atualizar propriedades de audiência em entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar propriedades de autenticação em entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar propriedades básicas em entidades de serviço
microsoft.directory/servicePrincipals/create Criar principais de serviço
microsoft.directory/servicePrincipals/credentials/update Atualizar credenciais de entidades de serviço
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/excluir Excluir entidades de serviço
microsoft.directory/servicePrincipals/disable Desativar entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar entidades de serviço
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gerenciar credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Ler credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimento para permissões de aplicativo e permissões delegadas em nome de qualquer usuário ou de todos os usuários, exceto permissões de aplicativo para o Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Atualizar notas de entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar proprietários de entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar permissões de entidades de serviço
microsoft.directory/servicePrincipals/policies/update Políticas de atualização de entidades de serviço
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Crie e gerencie o provisionamento de aplicativos, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar Gerenciar segredos e credenciais de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar o provisionamento de aplicativos, trabalhos de sincronização e esquema
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à sua entidade de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade tag para entidades de serviço
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de dispositivos na nuvem

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários nessa função podem habilitar, desabilitar e excluir dispositivos no Microsoft Entra ID e ler chaves BitLocker do Windows 10 (se houver) no portal do Azure. A função não concede permissões para gerenciar quaisquer outras propriedades no dispositivo.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/deletedItems.devices/delete Excluir permanentemente dispositivos, que não podem mais ser restaurados
microsoft.directory/deletedItems.devices/restore Restaurar dispositivos apagados suaves para o estado original
microsoft.directory/deviceLocalCredentials/password/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, incluindo a senha
microsoft.directory/deviceManagementPolicies/basic/update Atualizar propriedades básicas no gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
Ícone de rótulo privilegiado.
microsoft.directory/deviceManagementPolicies/standard/read Leia as propriedades padrão sobre gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
microsoft.directory/deviceRegistrationPolicy/basic/update Atualizar propriedades básicas em políticas de registro de dispositivo
Ícone de rótulo privilegiado.
microsoft.directory/deviceRegistrationPolicy/standard/read Leia as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/devices/excluir Excluir dispositivos do Microsoft Entra ID
microsoft.directory/devices/disable Desativar dispositivos no Microsoft Entra ID
microsoft.directory/devices/enable Ativar dispositivos no Microsoft Entra ID
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365

Administrador de conformidade

Os usuários com essa função têm permissões para gerenciar recursos relacionados à conformidade no portal de conformidade do Microsoft Purview, no centro de administração do Microsoft 365, no Azure e no portal do Microsoft 365 Defender. Os cessionários também podem gerenciar todos os recursos no centro de administração do Exchange e criar tíquetes de suporte para o Azure e o Microsoft 365. Para obter mais informações, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.

Em Pode fazer
Portal de conformidade do Microsoft Purview Proteja e gerencie os dados da sua organização nos serviços do Microsoft 365
Gerenciar alertas de conformidade
Gerente de Conformidade Microsoft Purview Rastreie, atribua e verifique as atividades de conformidade regulatória da sua organização
Portal do Microsoft 365 Defender Gerenciar governança de dados
Realizar investigação legal e de dados
Gerir Pedido do Titular dos Dados

Essa função tem as mesmas permissões que o grupo de funções Administrador de Conformidade no controle de acesso baseado em função do portal do Microsoft 365 Defender.
Intune Exibir todos os dados de auditoria do Intune
Aplicativos do Microsoft Defender para Nuvem Tem permissões somente leitura e pode gerenciar alertas
Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivos
Pode visualizar todos os relatórios internos em Gerenciamento de Dados
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/entitlementManagement/allProperties/read Leia todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Gerenciar todos os aspetos do Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de dados de conformidade

Os usuários com essa função têm permissões para rastrear dados no portal de conformidade do Microsoft Purview, no centro de administração do Microsoft 365 e no Azure. Os usuários também podem rastrear dados de conformidade no centro de administração do Exchange, no Gerenciador de Conformidade e no Centro de administração do Teams & Skype for Business e criar tíquetes de suporte para o Azure e o Microsoft 365. Para obter mais informações sobre as diferenças entre Administrador de Conformidade e Administrador de Dados de Conformidade, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.

Em Pode fazer
Portal de conformidade do Microsoft Purview Monitore políticas relacionadas à conformidade nos serviços do Microsoft 365
Gerenciar alertas de conformidade
Gerente de Conformidade Microsoft Purview Rastreie, atribua e verifique as atividades de conformidade regulatória da sua organização
Portal do Microsoft 365 Defender Gerenciar governança de dados
Realizar investigação legal e de dados
Gerir Pedido do Titular dos Dados

Essa função tem as mesmas permissões que o grupo de funções Administrador de Dados de Conformidade no controle de acesso baseado em função do portal do Microsoft 365 Defender.
Intune Exibir todos os dados de auditoria do Intune
Aplicativos do Microsoft Defender para Nuvem Tem permissões somente leitura e pode gerenciar alertas
Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivos
Pode visualizar todos os relatórios internos em Gerenciamento de Dados
Ações Description
microsoft.azure.informationProtection/allEntities/allTasks Gerenciar todos os aspetos da Proteção de Informações do Azure
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Defender for Cloud Apps
microsoft.office365.complianceManager/allEntities/allTasks Gerenciar todos os aspetos do Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Acesso Condicional

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função têm a capacidade de gerenciar as configurações de Acesso Condicional do Microsoft Entra.

Ações Description
microsoft.directory/conditionalAccessPolicies/basic/update Atualizar propriedades básicas para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/create Criar políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/excluir Excluir políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/owners/read Leia os proprietários das políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/owners/update Atualizar proprietários para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leia a propriedade "aplicado a" para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/standard/read Ler Acesso Condicional para políticas
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Atualizar o locatário padrão para políticas de Acesso Condicional
microsoft.directory/namedLocations/basic/update Atualizar propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/criar Criar regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/excluir Excluir regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/standard/read Leia as propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Atualizar o contexto de autenticação de Acesso Condicional de ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365
Ícone de rótulo privilegiado.

Aprovador de Acesso ao Customer LockBox

Gerencia as solicitações do Microsoft Purview Customer Lockbox em sua organização. Eles recebem notificações por email para solicitações do Customer Lockbox e podem aprovar e negar solicitações do Centro de administração do Microsoft 365. Eles também podem ativar ou desativar o recurso Customer Lockbox. Apenas os Administradores Globais podem repor as palavras-passe das pessoas atribuídas a esta função.

Ações Description
microsoft.office365.lockbox/allEntities/allTasks Gerencie todos os aspetos do Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Desktop Analytics

Os usuários nessa função podem gerenciar o serviço Desktop Analytics. Isso inclui a capacidade de exibir o inventário de ativos, criar planos de implantação e exibir a implantação e o status de integridade.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.desktopAnalytics/allEntities/allTasks Gerencie todos os aspetos do Desktop Analytics

Leitores de Diretório

Os usuários nessa função podem ler informações básicas de diretório. Esta função deve ser utilizada para:

  • Conceder a um conjunto específico de usuários convidados acesso de leitura em vez de concedê-lo a todos os usuários convidados.
  • Conceder a um conjunto específico de usuários não administradores acesso ao centro de administração do Microsoft Entra quando "Restringir acesso ao centro de administração do Microsoft Entra" estiver definido como "Sim".
  • Conceder às entidades de serviço acesso ao diretório onde Directory.Read.All não é uma opção.
Ações Description
microsoft.directory/administrativeUnits/members/read Ler os membros das unidades administrativas
microsoft.directory/administrativeUnits/standard/leitura Ler propriedades básicas em unidades administrativas
microsoft.directory/applicationPolicies/standard/read Leia as propriedades padrão das políticas de aplicativos
microsoft.directory/aplicativos/proprietários/leitura Ler proprietários de aplicativos
microsoft.directory/aplicativos/políticas/leitura Ler políticas de aplicativos
microsoft.directory/aplicativos/padrão/leitura Ler propriedades padrão de aplicativos
microsoft.directory/contacts/memberOf/read Leia a associação de grupo para todos os contatos no Microsoft Entra ID
microsoft.directory/contatos/padrão/leitura Leia as propriedades básicas dos contatos no Microsoft Entra ID
microsoft.directory/contracts/standard/leitura Leia propriedades básicas em contratos de parceiros
microsoft.directory/devices/memberOf/read Ler associações de dispositivos
microsoft.directory/devices/registeredOwners/read Ler proprietários registados de dispositivos
microsoft.directory/devices/registeredUsers/read Ler utilizadores registados de dispositivos
microsoft.directory/devices/standard/leitura Ler propriedades básicas em dispositivos
microsoft.directory/directoryRoles/eligibleMembers/read Leia os membros elegíveis das funções do Microsoft Entra
microsoft.directory/directoryRoles/members/read Leia todos os membros das funções do Microsoft Entra
microsoft.directory/directoryRoles/standard/read Leia as propriedades básicas das funções do Microsoft Entra
microsoft.directory/domínios/padrão/leitura Ler propriedades básicas em domínios
microsoft.directory/groups/appRoleAssignments/read Ler atribuições de função de aplicativo de grupos
microsoft.directory/groupSettings/padrão/leitura Ler propriedades básicas nas configurações de grupo
microsoft.directory/groupSettingTemplates/standard/read Ler propriedades básicas em modelos de configuração de grupo
microsoft.directory/groups/memberOf/read Leia a propriedade memberOf em Grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/grupos/membros/leitura Ler membros de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/grupos/proprietários/leitura Leia os proprietários de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups/settings/leitura Ler configurações de grupos
microsoft.directory/groups/standard/leitura Leia as propriedades padrão de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis por função
microsoft.directory/oAuth2PermissionGrants/standard/read Leia as propriedades básicas nas concessões de permissão do OAuth 2.0
microsoft.directory/organização/padrão/leitura Ler propriedades básicas em uma organização
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Leia autoridades de certificação confiáveis para autenticação sem senha
microsoft.directory/roleAtribuições/padrão/leitura Ler propriedades básicas em atribuições de função
microsoft.directory/roleDefinitions/standard/read Leia as propriedades básicas nas definições de função
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Ler atribuições de função principal de serviço
microsoft.directory/servicePrincipals/appRoleAssignments/read Ler atribuições de função atribuídas a entidades de serviço
microsoft.directory/servicePrincipals/memberOf/read Leia as associações de grupo em entidades de serviço
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Ler concessões de permissão delegada em entidades de serviço
microsoft.directory/servicePrincipals/ownedObjects/read Ler objetos de propriedade de entidades de serviço
microsoft.directory/servicePrincipals/owners/read Ler proprietários de entidades de serviço
microsoft.directory/servicePrincipals/policies/read Ler políticas de entidades de serviço
microsoft.directory/servicePrincipals/standard/read Ler propriedades básicas de entidades de serviço
microsoft.directory/subscribedSkus/standard/read Ler propriedades básicas em subscrições
microsoft.directory/users/appRoleAssignments/read Ler atribuições de função de aplicativo para usuários
microsoft.directory/users/deviceForResourceAccount/read Leia deviceForResourceAccount de usuários
microsoft.directory/users/directReports/read Leia os relatórios diretos para usuários
microsoft.directory/users/invitedBy/read Leia o usuário que convidou um usuário externo para um locatário
microsoft.directory/users/licenseDetails/read Leia os detalhes da licença dos usuários
microsoft.directory/usuários/gerente/leitura Gerenciador de leitura de usuários
microsoft.directory/users/memberOf/read Leia as associações de grupo de usuários
microsoft.directory/users/oAuth2PermissionGrants/read Ler concessões de permissão delegada em usuários
microsoft.directory/users/ownedDevices/ler Ler dispositivos próprios dos utilizadores
microsoft.directory/users/ownedObjects/read Ler objetos de propriedade de usuários
microsoft.directory/users/foto/leitura Ler foto dos utilizadores
microsoft.directory/users/registeredDevices/read Ler dispositivos registados dos utilizadores
microsoft.directory/users/scopedRoleMemberOf/read Ler a associação do usuário a uma função do Microsoft Entra, que tem como escopo uma unidade administrativa
microsoft.directory/users/sponsors/read Leia os patrocinadores dos usuários
microsoft.directory/users/standard/leitura Ler propriedades básicas em usuários

Contas de sincronização de diretórios

Não utilizar. Esta função é atribuída automaticamente ao serviço Microsoft Entra Connect e não se destina nem tem suporte para qualquer outro uso.

Ações Description
microsoft.directory/onPremisesSynchronization/standard/read Ler e gerenciar objetos para habilitar a sincronização de diretórios local

Escritores de Diretórios

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários nessa função podem ler e atualizar informações básicas de usuários, grupos e entidades de serviço.

Ações Description
microsoft.directory/applications/extensionProperties/update Atualizar propriedades de extensão em aplicativos
microsoft.directory/contatos/criar Criar contactos
microsoft.directory/groups/assignLicense Atribuir licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/basic/update Atualizar propriedades básicas em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/classificação/atualização Atualizar a propriedade de classificação em Grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/criar Criar grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/dynamicMembershipRule/update Atualizar a regra de associação dinâmica em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis de função
microsoft.directory/groupSettings/basic/update Atualizar propriedades básicas nas configurações do grupo
microsoft.directory/groupSettings/criar Criar definições de grupo
microsoft.directory/groupSettings/delete Eliminar definições do grupo
microsoft.directory/groups/groupType/update Atualizar propriedades que afetariam o tipo de grupo de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/members/update Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/onPremWriteBack/update Atualizar grupos do Microsoft Entra para serem gravados novamente no local com o Microsoft Entra Connect
microsoft.directory/groups/owners/update Atualizar proprietários de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar atribuições de licença para licenciamento baseado em grupo
microsoft.directory/groups/settings/update Atualizar configurações de grupos
microsoft.directory/groups/visibilidade/atualização Atualizar a propriedade de visibilidade de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/oAuth2PermissionGrants/basic/update Atualizar concessões de permissão do OAuth 2.0
Ícone de rótulo privilegiado.
microsoft.directory/oAuth2PermissionGrants/criar Criar concessões de permissão do OAuth 2.0
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos de locatário de nuvem para locatário de nuvem.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Inicie, reinicie e pause os trabalhos de sincronização de provisionamento de aplicativo de locatário de nuvem para locatário de nuvem.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Crie e gerencie o provisionamento de aplicativos de locatário de nuvem para locatário de nuvem, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Crie e gerencie o provisionamento de aplicativos, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar Gerenciar segredos e credenciais de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar o provisionamento de aplicativos, trabalhos de sincronização e esquema
microsoft.directory/users/assignLicense Gerenciar licenças de usuário
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/users/criar Adicionar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/disable Desativar usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/enable Ativar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/users/inviteGuest Convidar utilizadores convidados
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/reprocessLicenseAssignment Reprocessar atribuições de licença para usuários
microsoft.directory/usuários/patrocinadores/atualização Atualizar patrocinadores de usuários
microsoft.directory/users/userPrincipalName/update Atualizar Nome Principal do Usuário dos usuários
Ícone de rótulo privilegiado.

Administrador de Nomes de Domínio

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função podem gerenciar (ler, adicionar, verificar, atualizar e excluir) nomes de domínio. Eles também podem ler informações de diretório sobre usuários, grupos e aplicativos, pois esses objetos possuem dependências de domínio. Para ambientes locais, os usuários com essa função podem configurar nomes de domínio para federação para que os usuários associados sejam sempre autenticados localmente. Esses usuários podem entrar nos serviços baseados no Microsoft Entra com suas senhas locais por meio do logon único. As configurações de federação precisam ser sincronizadas via Microsoft Entra Connect, para que os usuários também tenham permissões para gerenciar o Microsoft Entra Connect.

Ações Description
microsoft.directory/domains/allProperties/allTasks Criar e excluir domínios, ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Dynamics 365

Os usuários com essa função têm permissões globais no Microsoft Dynamics 365 Online, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, consulte Usar funções de administrador de serviço para gerenciar seu locatário.

Nota

Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do Dynamics 365. No portal do Azure, ele é chamado de Administrador do Dynamics 365.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.dynamics365/allEntities/allTasks Gerenciar todos os aspetos do Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Dynamics 365 Business Central

Atribua a função de Administrador do Dynamics 365 Business Central aos usuários que precisam executar as seguintes tarefas:

  • Acessar ambientes do Dynamics 365 Business Central
  • Executar todas as tarefas administrativas em ambientes
  • Gerencie o ciclo de vida dos ambientes do cliente
  • Supervisionar as extensões instaladas em ambientes
  • Controle upgrades de ambientes
  • Realizar exportações de dados de ambientes
  • Ler e configurar painéis de integridade do serviço Azure e Microsoft 365

Esta função não fornece permissões para outros produtos do Dynamics 365.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/domínios/padrão/leitura Ler propriedades básicas em domínios
microsoft.directory/organização/padrão/leitura Ler propriedades básicas em uma organização
microsoft.directory/subscribedSkus/standard/read Ler propriedades básicas em subscrições
microsoft.directory/users/standard/leitura Ler propriedades básicas em usuários
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Gerenciar todos os aspetos do Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Borda

Os usuários nessa função podem criar e gerenciar a lista de sites corporativos necessária para o modo Internet Explorer no Microsoft Edge. Essa função concede permissões para criar, editar e publicar a lista de sites e, adicionalmente, permite acesso para gerenciar tíquetes de suporte. Mais informações

Ações Description
microsoft.edge/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Exchange

Os usuários com essa função têm permissões globais no Microsoft Exchange Online, quando o serviço está presente. Também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para mais informações, consulte Sobre funções de administrador no centro de administração do Microsoft 365.

Nota

Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é denominada Administrador de Serviços do Exchange. No portal do Azure, ele é chamado de Administrador do Exchange. No centro de administração do Exchange, ele é chamado de administrador do Exchange Online.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Criar e gerenciar a política de proteção do Exchange Online no Backup do Microsoft 365
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Ler e configurar a sessão de restauração para o Exchange Online no Backup do Microsoft 365
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Gerenciar todos os pontos de restauração associados a caixas de correio selecionadas do Exchange Online no M365 Backup
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Gerenciar caixas de correio adicionadas à política de proteção do Exchange Online no Backup do Microsoft 365
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Gerenciar caixas de correio adicionadas para restaurar a sessão do Exchange Online no Backup do Microsoft 365
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/basic/update Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/create Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/excluir Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/members/update Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/owners/update Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/restore Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função
microsoft.office365.exchange/allEntities/basic/allTasks Gerenciar todos os aspetos do Exchange Online
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de destinatários do Exchange

Os usuários com essa função têm acesso de leitura aos destinatários e acesso de gravação aos atributos desses destinatários no Exchange Online. Para obter mais informações, consulte Destinatários no Exchange Server.

Ações Description
microsoft.office365.exchange/migration/allProperties/allTasks Gerenciar todas as tarefas relacionadas à migração de destinatários no Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks Criar e excluir todos os destinatários e ler e atualizar todas as propriedades dos destinatários no Exchange Online

Administrador de fluxo de usuário de ID externo

Os usuários com essa função podem criar e gerenciar fluxos de usuários (também chamados de políticas "internas") no portal do Azure. Esses usuários podem personalizar o conteúdo HTML/CSS/JavaScript, alterar os requisitos de MFA, selecionar declarações no token, gerenciar conectores de API e suas credenciais e definir configurações de sessão para todos os fluxos de usuários na organização do Microsoft Entra. Por outro lado, essa função não inclui a capacidade de revisar dados do usuário ou fazer alterações nos atributos incluídos no esquema da organização. As alterações nas políticas do Identity Experience Framework (também conhecidas como políticas personalizadas) também estão fora do escopo dessa função.

Ações Description
microsoft.directory/b2cUserFlow/allProperties/allTasks Ler e configurar o fluxo de usuários no Azure Ative Directory B2C

Administrador de Atributos de Fluxo de Usuário de ID Externo

Os usuários com essa função adicionam ou excluem atributos personalizados disponíveis para todos os fluxos de usuários na organização do Microsoft Entra. Como tal, os usuários com essa função podem alterar ou adicionar novos elementos ao esquema do usuário final e afetar o comportamento de todos os fluxos de usuários e, indiretamente, resultar em alterações nos dados que podem ser solicitados aos usuários finais e, finalmente, enviados como declarações para aplicativos. Essa função não pode editar fluxos de usuário.

Ações Description
microsoft.directory/b2cUserAttribute/allProperties/allTasks Ler e configurar o atributo de usuário no Azure Ative Directory B2C

Administrador de Provedor de Identidade Externo

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Este administrador gerencia a federação entre organizações do Microsoft Entra e provedores de identidade externos. Com essa função, os usuários podem adicionar novos provedores de identidade e definir todas as configurações disponíveis (por exemplo, caminho de autenticação, ID de serviço, contêineres de chave atribuídos). Esse usuário pode habilitar a organização do Microsoft Entra para confiar em autenticações de provedores de identidade externos. O impacto resultante nas experiências do usuário final depende do tipo de organização:

  • Organizações do Microsoft Entra para funcionários e parceiros: a adição de uma federação (por exemplo, com o Gmail) afetará imediatamente todos os convites de convidados ainda não resgatados. Consulte Adicionar o Google como um provedor de identidade para usuários convidados B2B.
  • Organizações B2C do Azure Ative Directory: a adição de uma federação (por exemplo, com o Facebook ou com outra organização do Microsoft Entra) não afeta imediatamente os fluxos de usuários finais até que o provedor de identidade seja adicionado como uma opção em um fluxo de usuário (também chamado de política interna). Consulte Configurando uma conta da Microsoft como um provedor de identidade para obter um exemplo. Para alterar os fluxos de usuários, é necessária a função limitada de "Administrador de Fluxo de Usuário B2C".
Ações Description
microsoft.directory/domínios/federação/atualização Atualizar propriedade de federação de domínios
Ícone de rótulo privilegiado.
microsoft.directory/identityProviders/allProperties/allTasks Ler e configurar provedores de identidade no Azure Ative Directory B2C
Ícone de rótulo privilegiado.

Administrador de malha

Os usuários com essa função têm permissões globais no Microsoft Fabric e no Power BI, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, consulte Noções básicas sobre funções de administrador da malha.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gerenciar todos os aspetos da malha e do Power BI

Administrador Global

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função têm acesso a todos os recursos administrativos no Microsoft Entra ID, bem como a serviços que usam identidades do Microsoft Entra, como o portal Microsoft 365 Defender, o portal de conformidade Microsoft Purview, o Exchange Online, o SharePoint Online e o Skype for Business Online. Os Administradores Globais podem visualizar os logs de Atividades do Diretório. Além disso, os Administradores Globais podem elevar seu acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Isso permite que os Administradores Globais obtenham acesso total a todos os recursos do Azure usando o respetivo locatário do Microsoft Entra. A pessoa que se inscreve na organização do Microsoft Entra torna-se um Administrador Global. Pode haver mais do que um Administrador Global na sua empresa. Os Administradores Globais podem redefinir a senha de qualquer usuário e de todos os outros administradores. Um Administrador Global não pode remover sua própria atribuição de Administrador Global. Isso é para evitar uma situação em que uma organização tem zero Administradores Globais.

Nota

Como prática recomendada, a Microsoft recomenda que você atribua a função de Administrador Global a menos de cinco pessoas em sua organização. Para obter mais informações, consulte Práticas recomendadas para funções do Microsoft Entra.

Ações Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gerenciar todos os aspetos da Proteção Avançada contra Ameaças do Azure
microsoft.azure.informationProtection/allEntities/allTasks Gerenciar todos os aspetos da Proteção de Informações do Azure
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.backup/allEntities/allProperties/allTasks Gerencie todos os aspetos do Backup do Microsoft 365
microsoft.cloudPC/allEntities/allProperties/allTasks Gerenciar todos os aspetos do Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Gerir todos os aspetos da faturação do Office 365
microsoft.commerce.billing/compras/padrão/leitura Leia os serviços de compra no Centro de Administração M365.
microsoft.directory/accessReviews/allProperties/allTasks (Preterido) Criar e excluir revisões de acesso, ler e atualizar todas as propriedades de revisões de acesso e gerenciar revisões de acesso de grupos no Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Gerenciar revisões de acesso de todos os recursos revisáveis no Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gerenciar políticas de solicitação de consentimento de administrador no Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Criar e gerenciar unidades administrativas (incluindo membros)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades de solicitações de consentimento para aplicativos registrados com o Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Criar e excluir aplicativos e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/aplicativos/sincronização/padrão/leitura Ler as configurações de provisionamento associadas ao objeto do aplicativo
microsoft.directory/applicationTemplates/instanciar Instanciar aplicativos de galeria a partir de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/authorizationPolicy/allProperties/allTasks Gerenciar todos os aspetos da política de autorização
Ícone de rótulo privilegiado.
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Gerenciar todas as propriedades das políticas de Acesso Condicional
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades de grupos de conectores de rede privada
microsoft.directory/connectorGroups/allProperties/update Atualizar todas as propriedades de grupos de conectores de rede privada
microsoft.directory/connectorGroups/create Criar grupos de conectores de rede privada
microsoft.directory/connectorGroups/delete Excluir grupos de conectores de rede privada
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de rede privada
microsoft.directory/conectores/criar Criar conectores de rede privada
microsoft.directory/contacts/allProperties/allTasks Criar e excluir contatos, ler e atualizar todas as propriedades
microsoft.directory/contracts/allProperties/allTasks Criar e excluir contratos de parceiros e ler e atualizar todas as propriedades
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Atualizar pontos de extremidade de nuvem permitidos da política de acesso entre locatários
microsoft.directory/crossTenantAccessPolicy/basic/update Atualizar configurações básicas da política de acesso entre locatários
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Atualizar as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Atualizar restrições de locatário da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Atualizar as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/create Criar política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/delete Excluir política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Atualizar as configurações básicas da política de sincronização entre locatários
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Criar política de sincronização entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leia as propriedades básicas da política de sincronização entre locatários
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leia as propriedades básicas da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Atualizar modelos de política de sincronização entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Redefinir o modelo de política de sincronização entre locatários para organização multilocatária para as configurações padrão
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leia as propriedades básicas dos modelos de política de sincronização entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Atualizar modelos de política de acesso entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Redefinir o modelo de política de acesso entre locatários para organização multilocatária para as configurações padrão
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leia as propriedades básicas dos modelos de política de acesso entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Atualizar restrições de locatário da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/standard/read Leia as propriedades básicas da política de acesso entre locatários
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Criar e gerenciar extensões de autenticação personalizadas
Ícone de rótulo privilegiado.
microsoft.directory/deletedItems/delete Excluir permanentemente objetos, que não podem mais ser restaurados
microsoft.directory/deletedItems/restore Restaurar objetos excluídos suavemente para o estado original
microsoft.directory/deviceLocalCredentials/password/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, incluindo a senha
microsoft.directory/deviceManagementPolicies/basic/update Atualizar propriedades básicas no gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
Ícone de rótulo privilegiado.
microsoft.directory/deviceManagementPolicies/standard/read Leia as propriedades padrão sobre gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
microsoft.directory/deviceRegistrationPolicy/basic/update Atualizar propriedades básicas em políticas de registro de dispositivo
Ícone de rótulo privilegiado.
microsoft.directory/deviceRegistrationPolicy/standard/read Leia as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/devices/allProperties/allTasks Criar e excluir dispositivos, ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/directoryRoles/allProperties/allTasks Criar e excluir funções de diretório e ler e atualizar todas as propriedades
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Criar e excluir modelos de função do Microsoft Entra e ler e atualizar todas as propriedades
microsoft.directory/domains/allProperties/allTasks Criar e excluir domínios, ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/domains/federationConfiguration/basic/update Atualizar a configuração básica de federação para domínios
microsoft.directory/domains/federationConfiguration/create Criar configuração de federação para domínios
microsoft.directory/domains/federationConfiguration/delete Excluir configuração de federação para domínios
microsoft.directory/domains/federationConfiguration/standard/read Leia as propriedades padrão da configuração de federação para domínios
microsoft.directory/entitlementManagement/allProperties/allTasks Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams
microsoft.directory/externalUserProfiles/delete Excluir perfis de usuário externo no diretório estendido do Teams
microsoft.directory/externalUserProfiles/padrão/leitura Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams
microsoft.directory/groups/allProperties/allTasks Criar e excluir grupos, ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/groupsAssignableToRoles/allProperties/update Atualizar grupos atribuíveis por função
microsoft.directory/groupsAssignableToRoles/assignLicense Atribuir uma licença a grupos atribuíveis por função
microsoft.directory/groupsAssignableToRoles/create Criar grupos aos quais se pode atribuir funções
microsoft.directory/groupsAssignableToRoles/delete Excluir grupos atribuíveis por função
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Reprocessar atribuições de licença para grupos atribuíveis a funções
microsoft.directory/groupsAssignableToRoles/restore Restaurar grupos atribuíveis por função
microsoft.directory/groupSettings/allProperties/allTasks Criar e excluir configurações de grupo e ler e atualizar todas as propriedades
microsoft.directory/groupSettingTemplates/allProperties/allTasks Criar e excluir modelos de configuração de grupo e ler e atualizar todas as propriedades
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gerenciar a política de autenticação híbrida no Microsoft Entra ID
Ícone de rótulo privilegiado.
microsoft.directory/identityProtection/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Entra ID Protection
Ícone de rótulo privilegiado.
microsoft.directory/ciclo de vidaFluxos de trabalho/fluxos de trabalho/allProperties/allTasks Gerencie todos os aspetos dos fluxos de trabalho e tarefas do ciclo de vida no Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Crie e exclua loginTenantBranding, e leia e atualize todas as propriedades
microsoft.directory/multiTenantOrganization/basic/update Atualizar propriedades básicas de uma organização multilocatária
microsoft.directory/multiTenantOrganization/create Criar uma organização multilocatária
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Junte-se a uma organização multilocatária
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Ler propriedades de uma solicitação de ingresso de organização multilocatária
microsoft.directory/multiTenantOrganization/standard/read Ler propriedades básicas de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/create Criar um locatário em uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/delete Excluir um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Ler os detalhes da organização de um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Atualizar propriedades básicas de um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/standard/read Ler propriedades básicas de um locatário que participa de uma organização multilocatária
microsoft.directory/namedLocations/basic/update Atualizar propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/criar Criar regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/excluir Excluir regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/standard/read Leia as propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/onPremisesSynchronization/basic/update Atualizar informações básicas de sincronização de diretórios no local
microsoft.directory/onPremisesSynchronization/standard/read Leia informações padrão de sincronização de diretórios locais
microsoft.directory/organization/allProperties/allTasks Ler e atualizar todas as propriedades de uma organização
microsoft.directory/passwordHashSync/allProperties/allTasks Gerenciar todos os aspetos da Sincronização de Hash de Senha (PHS) no Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/basic/update Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams
microsoft.directory/pendingExternalUserProfiles/create Criar perfis de usuário externo no diretório estendido para o Teams
microsoft.directory/pendingExternalUserProfiles/delete Excluir perfis de usuário externo no diretório estendido do Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams
microsoft.directory/permissionGrantPolicies/basic/update Atualizar propriedades básicas de políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/criar Criar políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/excluir Excluir políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/standard/read Leia as propriedades padrão das políticas de concessão de permissão
microsoft.directory/policies/allProperties/allTasks Criar e excluir políticas e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leia todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Atualizar o contexto de autenticação de Acesso Condicional de ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365
Ícone de rótulo privilegiado.
microsoft.directory/roleAssignments/allProperties/allTasks Criar e excluir atribuições de função e ler e atualizar todas as propriedades de atribuição de função
microsoft.directory/roleDefinitions/allProperties/allTasks Criar e excluir definições de função e ler e atualizar todas as propriedades
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Criar e excluir scopedRoleMemberships, ler e atualizar todas as propriedades
microsoft.directory/serviceAction/activateService Pode executar a ação "ativar serviço" para um serviço
microsoft.directory/serviceAction/disableDirectoryFeature Pode executar a ação de serviço "desativar recurso de diretório"
microsoft.directory/serviceAction/enableDirectoryFeature Pode executar a ação de serviço "ativar recurso de diretório"
microsoft.directory/serviceAction/getAvailableExtentionProperties Pode executar a ação de serviço getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/basic/update Atualizar as propriedades básicas das políticas de criação da entidade de serviço
microsoft.directory/servicePrincipalCreationPolicies/create Criar políticas de criação de entidade de serviço
microsoft.directory/servicePrincipalCreationPolicies/excluir Excluir políticas de criação da entidade de serviço
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leia as propriedades padrão das políticas de criação da entidade de serviço
microsoft.directory/servicePrincipals/allProperties/allTasks Criar e excluir entidades de serviço e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-empresa-admin Conceder consentimento para qualquer permissão a qualquer pedido
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos de locatário de nuvem para locatário de nuvem.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Inicie, reinicie e pause os trabalhos de sincronização de provisionamento de aplicativo de locatário de nuvem para locatário de nuvem.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Crie e gerencie o provisionamento de aplicativos de locatário de nuvem para locatário de nuvem, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Crie e gerencie o provisionamento de aplicativos, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à sua entidade de serviço
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.directory/subscribedSkus/allProperties/allTasks Comprar e gerir subscrições e eliminar subscrições
microsoft.directory/tenantManagement/tenants/create Criar novos locatários no Microsoft Entra ID
microsoft.directory/users/allProperties/allTasks Criar e excluir usuários e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/basic/update Atualizar as propriedades básicas dos métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/create Atualizar métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/delete Excluir métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/standard/read Leia as propriedades padrão dos métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/convertExternalToInternalMemberUser Converter usuário externo em usuário interno
microsoft.directory/verifiableCredentials/configuration/allProperties/read Ler a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/allProperties/update Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Ler um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Atualizar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Leia um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revogar Revogar um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/create Criar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/create Criar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/delete Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis
microsoft.dynamics365/allEntities/allTasks Gerenciar todos os aspetos do Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Edge
microsoft.flow/allEntities/allTasks Gerencie todos os aspetos do Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Gerenciar aspetos do Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/allTasks Criar, ler, atualizar e excluir endereços de entrega para reclamações de garantia de hardware da Microsoft, incluindo endereços de entrega criados por outras pessoas
microsoft.hardware.support/shippingStatus/allProperties/read Ler o estado de envio para reclamações de garantia de hardware Microsoft abertas
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Crie e gerencie todos os aspetos das reclamações de garantia de hardware da Microsoft
microsoft.insights/allEntities/allProperties/allTasks Gerencie todos os aspetos do aplicativo Insights
microsoft.intune/allEntities/allTasks Gerenciar todos os aspetos do Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Entra Network Access
microsoft.office365.complianceManager/allEntities/allTasks Gerenciar todos os aspetos do Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gerencie todos os aspetos do Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Gerenciar todos os aspetos do Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Gerenciar todos os aspetos dos contêineres do SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leia e atualize todas as propriedades de compreensão de conteúdo no Centro de administração do Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leia relatórios analíticos de compreensão de conteúdo no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leia e atualize todas as propriedades da rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gerenciar a visibilidade do tópico da rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gerencie fontes de aprendizagem e todas as suas propriedades no Learning App.
microsoft.office365.lockbox/allEntities/allTasks Gerencie todos os aspetos do Customer Lockbox
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Ler mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Gerenciar todos os aspetos das migrações do Microsoft 365
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gerenciar todos os aspetos de criação de mensagens organizacionais do Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gerencie todos os aspetos dos centros de segurança e conformidade
microsoft.office365.search/content/gerenciar Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft
microsoft.office365.securityComplianceCenter/allEntities/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Centro de Conformidade e Segurança do Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.userCommunication/allEntities/allTasks Ler e atualizar as novidades da visibilidade das mensagens
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gerenciar todos os aspetos do Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra
microsoft.powerApps/allEntities/allTasks Gerir todos os aspetos das Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gerenciar todos os aspetos da malha e do Power BI
microsoft.teams/allEntities/allProperties/allTasks Gerencie todos os recursos no Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Gerencie e compartilhe informações e métricas de Visitas Virtuais de centros de administração ou do aplicativo Visitas Virtuais
microsoft.viva.goals/allEntities/allProperties/allTasks Gerencie todos os aspetos das Metas do Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gerencie todos os aspetos do Microsoft Defender for Endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Ler e configurar todos os aspetos do Windows Update Service

Leitor Global

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários nessa função podem ler configurações e informações administrativas nos serviços do Microsoft 365, mas não podem executar ações de gerenciamento. O Global Reader é a contrapartida somente leitura do Global Administrator. Atribua Leitor Global em vez de Administrador Global para planejamento, auditorias ou investigações. Use o Global Reader em combinação com outras funções de administrador limitadas, como Administrador do Exchange, para facilitar o trabalho sem a atribuição da função de Administrador Global. O Global Reader funciona com o centro de administração do Microsoft 365, o centro de administração do Exchange, o centro de administração do SharePoint, o centro de administração do Teams, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview, o portal do Azure e o centro de administração do Gerenciamento de Dispositivos.

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível aceder à área Serviços de Compra no centro de administração do Microsoft 365.

Nota

A função de Leitor Global tem as seguintes limitações:

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.backup/allEntities/allProperties/read Leia todos os aspetos do Backup do Microsoft 365
microsoft.cloudPC/allEntities/allProperties/read Leia todos os aspetos do Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Ler todos os recursos de faturação do Office 365
microsoft.commerce.billing/compras/padrão/leitura Leia os serviços de compra no Centro de Administração M365.
microsoft.directory/accessReviews/allProperties/read (Preterido) Leia todas as avaliações de propriedades de acesso
microsoft.directory/accessReviews/definitions/allProperties/read Leia todas as propriedades das revisões de acesso de todos os recursos revisáveis no Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Leia todas as propriedades das políticas de solicitação de consentimento de administrador no Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/read Leia todas as propriedades das unidades administrativas, incluindo membros
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leia todas as propriedades de solicitações de consentimento para aplicativos registrados com o Microsoft Entra ID
microsoft.directory/applications/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em todos os tipos de aplicativos
microsoft.directory/aplicativos/sincronização/padrão/leitura Ler as configurações de provisionamento associadas ao objeto do aplicativo
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/cloudAppSecurity/allProperties/read Leia todas as propriedades de Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/read Ler todas as propriedades das políticas de Acesso Condicional
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades de grupos de conectores de rede privada
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de rede privada
microsoft.directory/contacts/allProperties/read Ler todas as propriedades dos contactos
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leia as propriedades básicas da política de sincronização entre locatários
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leia as propriedades básicas da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leia as propriedades básicas dos modelos de política de sincronização entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leia as propriedades básicas dos modelos de política de acesso entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/standard/read Leia as propriedades básicas da política de acesso entre locatários
microsoft.directory/customAuthenticationExtensions/allProperties/read Ler extensões de autenticação personalizadas
microsoft.directory/deviceLocalCredentials/standard/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, exceto a senha
microsoft.directory/deviceManagementPolicies/standard/read Leia as propriedades padrão sobre gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
microsoft.directory/deviceRegistrationPolicy/standard/read Leia as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/devices/allProperties/read Ler todas as propriedades dos dispositivos
microsoft.directory/directoryRoles/allProperties/read Leia todas as propriedades das funções de diretório
microsoft.directory/directoryRoleTemplates/allProperties/read Leia todas as propriedades dos modelos de função de diretório
microsoft.directory/domains/allProperties/read Ler todas as propriedades de domínios
microsoft.directory/domains/federationConfiguration/standard/read Leia as propriedades padrão da configuração de federação para domínios
microsoft.directory/entitlementManagement/allProperties/read Leia todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.directory/externalUserProfiles/padrão/leitura Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams
microsoft.directory/groups/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em Grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groupSettings/allProperties/read Ler todas as propriedades das configurações de grupo
microsoft.directory/groupSettingTemplates/allProperties/read Leia todas as propriedades dos modelos de configuração de grupo
microsoft.directory/identityProtection/allProperties/read Leia todos os recursos no Microsoft Entra ID Protection
microsoft.directory/lifecycleFluxos de trabalho/fluxos de trabalho/allProperties/read Leia todas as propriedades de fluxos de trabalho e tarefas do ciclo de vida no Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/read Leia todas as propriedades da página de início de sessão com a marca da sua organização
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Ler propriedades de uma solicitação de ingresso de organização multilocatária
microsoft.directory/multiTenantOrganization/standard/read Ler propriedades básicas de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Ler os detalhes da organização de um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/standard/read Ler propriedades básicas de um locatário que participa de uma organização multilocatária
microsoft.directory/namedLocations/standard/read Leia as propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/oAuth2PermissionGrants/allProperties/read Leia todas as propriedades de concessões de permissão OAuth 2.0
microsoft.directory/organization/allProperties/read Ler todas as propriedades de uma organização
microsoft.directory/pendingExternalUserProfiles/standard/read Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams
microsoft.directory/permissionGrantPolicies/standard/read Leia as propriedades padrão das políticas de concessão de permissão
microsoft.directory/policies/allProperties/read Ler todas as propriedades das políticas
microsoft.directory/privilegedIdentityManagement/allProperties/read Leia todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/roleAssignments/allProperties/read Ler todas as propriedades das atribuições de função
microsoft.directory/roleDefinitions/allProperties/read Ler todas as propriedades das definições de função
microsoft.directory/scopedRoleMemberships/allProperties/read Ver membros em unidades administrativas
microsoft.directory/serviceAction/getAvailableExtentionProperties Pode executar a ação de serviço getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leia as propriedades padrão das políticas de criação da entidade de serviço
microsoft.directory/servicePrincipals/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à sua entidade de serviço
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.directory/subscribedSkus/allProperties/read Ler todas as propriedades das subscrições de produtos
microsoft.directory/users/allProperties/read Ler todas as propriedades dos utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leia as propriedades padrão dos métodos de autenticação que não incluem informações pessoalmente identificáveis para os usuários
microsoft.directory/verifiableCredentials/configuration/allProperties/read Ler a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Ler um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Leia um cartão de credencial verificável
microsoft.edge/allEntities/allProperties/read Leia todos os aspetos do Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read Leia os aspetos do Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/read Leia os endereços de envio para reclamações de garantia de hardware da Microsoft, incluindo endereços de entrega existentes criados por outras pessoas
microsoft.hardware.support/shippingStatus/allProperties/read Ler o estado de envio para reclamações de garantia de hardware Microsoft abertas
microsoft.hardware.support/warrantyClaims/allProperties/read Leia as reclamações de garantia de hardware da Microsoft
microsoft.insights/allEntities/allProperties/read Leia todos os aspetos do Viva Insights
microsoft.networkAccess/allEntities/allProperties/read Leia todos os aspetos do Microsoft Entra Network Access
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Ler entidades e permissões de contêineres do SharePoint Embedded
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Ler mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leia todos os aspetos das Mensagens Organizacionais do Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Leia todas as propriedades nos centros de segurança e conformidade
microsoft.office365.securityComplianceCenter/allEntities/read Leia as propriedades padrão no Centro de Conformidade e Segurança do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Leia todos os aspetos do Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Leia todos os aspetos do Gerenciamento de Permissões do Microsoft Entra
microsoft.teams/allEntities/allProperties/read Leia todas as propriedades do Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Leia todos os aspetos das Visitas Virtuais
microsoft.viva.goals/allEntities/allProperties/read Leia todos os aspetos do Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/read Leia todos os aspetos do Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Leia todos os aspetos do Windows Update Service

Administrador de Acesso Seguro Global

Atribua a função de Administrador Global de Acesso Seguro aos usuários que precisam fazer o seguinte:

  • Criar e gerenciar todos os aspetos do Microsoft Entra Internet Access e Microsoft Entra Private Access
  • Gerencie o acesso a pontos de extremidade públicos e privados

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível gerenciar aplicativos corporativos, registros de aplicativos, acesso condicional ou configurações de proxy de aplicativo

Mais informações

Ações Description
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/applicationPolicies/standard/read Leia as propriedades padrão das políticas de aplicativos
microsoft.directory/applications/applicationProxy/leitura Leia todas as propriedades de proxy de aplicativo
microsoft.directory/aplicativos/proprietários/leitura Ler proprietários de aplicativos
microsoft.directory/aplicativos/políticas/leitura Ler políticas de aplicativos
microsoft.directory/aplicativos/padrão/leitura Ler propriedades padrão de aplicativos
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/conditionalAccessPolicies/standard/read Ler Acesso Condicional para políticas
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades de grupos de conectores de rede privada
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de rede privada
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leia as propriedades básicas da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/standard/read Leia as propriedades básicas da política de acesso entre locatários
microsoft.directory/namedLocations/standard/read Leia as propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.networkAccess/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Entra Network Access
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Grupos

Os usuários nessa função podem criar/gerenciar grupos e suas configurações, como políticas de nomenclatura e expiração. É importante entender que atribuir um usuário a essa função dá a ele a capacidade de gerenciar todos os grupos da organização em várias cargas de trabalho, como Teams, SharePoint, Yammer, além do Outlook. Além disso, o usuário poderá gerenciar as várias configurações de grupos em vários portais de administração, como o centro de administração da Microsoft, o portal do Azure, bem como os específicos da carga de trabalho, como os centros de administração do Teams e do SharePoint.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/deletedItems.groups/delete Excluir permanentemente grupos, que não podem mais ser restaurados
microsoft.directory/deletedItems.groups/restore Restaurar grupos excluídos suavemente para o estado original
microsoft.directory/groups/assignLicense Atribuir licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/basic/update Atualizar propriedades básicas em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/classificação/atualização Atualizar a propriedade de classificação em Grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/criar Criar grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/excluir Excluir grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/dynamicMembershipRule/update Atualizar a regra de associação dinâmica em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis de função
microsoft.directory/groups/groupType/update Atualizar propriedades que afetariam o tipo de grupo de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups/members/update Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/onPremWriteBack/update Atualizar grupos do Microsoft Entra para serem gravados novamente no local com o Microsoft Entra Connect
microsoft.directory/groups/owners/update Atualizar proprietários de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar atribuições de licença para licenciamento baseado em grupo
microsoft.directory/groups/restore Restaurar grupos a partir de contêiner excluído por software
microsoft.directory/groups/settings/update Atualizar configurações de grupos
microsoft.directory/groups/visibilidade/atualização Atualizar a propriedade de visibilidade de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Convidado Inviter

Os usuários nessa função podem gerenciar convites de usuário convidado do Microsoft Entra B2B quando a configuração Membros podem convidar usuário estiver definida como Não. Mais informações sobre colaboração B2B em Sobre a colaboração B2B do Microsoft Entra. Não inclui quaisquer outras permissões.

Ações Description
microsoft.directory/users/appRoleAssignments/read Ler atribuições de função de aplicativo para usuários
microsoft.directory/users/deviceForResourceAccount/read Leia deviceForResourceAccount de usuários
microsoft.directory/users/directReports/read Leia os relatórios diretos para usuários
microsoft.directory/users/invitedBy/read Leia o usuário que convidou um usuário externo para um locatário
microsoft.directory/users/inviteGuest Convidar utilizadores convidados
microsoft.directory/users/licenseDetails/read Leia os detalhes da licença dos usuários
microsoft.directory/usuários/gerente/leitura Gerenciador de leitura de usuários
microsoft.directory/users/memberOf/read Leia as associações de grupo de usuários
microsoft.directory/users/oAuth2PermissionGrants/read Ler concessões de permissão delegada em usuários
microsoft.directory/users/ownedDevices/ler Ler dispositivos próprios dos utilizadores
microsoft.directory/users/ownedObjects/read Ler objetos de propriedade de usuários
microsoft.directory/users/foto/leitura Ler foto dos utilizadores
microsoft.directory/users/registeredDevices/read Ler dispositivos registados dos utilizadores
microsoft.directory/users/scopedRoleMemberOf/read Ler a associação do usuário a uma função do Microsoft Entra, que tem como escopo uma unidade administrativa
microsoft.directory/users/sponsors/read Leia os patrocinadores dos usuários
microsoft.directory/users/standard/leitura Ler propriedades básicas em usuários

Administrador do Helpdesk

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função podem alterar senhas, invalidar tokens de atualização, criar e gerenciar solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365 e monitorar a integridade do serviço. Invalidar um token de atualização força o usuário a entrar novamente. Se um Administrador de Helpdesk pode redefinir a senha de um usuário e invalidar tokens de atualização depende da função atribuída ao usuário. Para obter uma lista das funções para as quais um Administrador de Helpdesk pode redefinir senhas e invalidar tokens de atualização, consulte Quem pode redefinir senhas.

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.

Importante

Os usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar a senha de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:

  • Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas na ID do Microsoft Entra e em outros lugares não concedidas aos Administradores de Helpdesk. Por meio desse caminho, um administrador de helpdesk pode assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
  • Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
  • Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender, portal de conformidade Microsoft Purview e sistemas de recursos humanos.
  • Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.

Delegar permissões administrativas sobre subconjuntos de usuários e aplicar políticas a um subconjunto de usuários é possível com Unidades Administrativas.

Essa função foi anteriormente nomeada Administrador de Senha no portal do Azure. Ele foi renomeado para Helpdesk Administrator para se alinhar com o nome existente na API do Microsoft Graph e no Microsoft Graph PowerShell.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/deviceLocalCredentials/standard/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, exceto a senha
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de identidade híbrida

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários nessa função podem criar, gerenciar e implantar a configuração de provisionamento do Ative Directory para o Microsoft Entra ID usando o Cloud Provisioning, bem como gerenciar o Microsoft Entra Connect, autenticação de passagem (PTA), sincronização de hash de senha (PHS), logon único contínuo (SSO contínuo) e configurações de federação. Não tem acesso para gerenciar o Microsoft Entra Connect Health. Os usuários também podem solucionar problemas e monitorar logs usando essa função.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/aplicativos/audiência/atualização Atualizar a propriedade audience para aplicativos
microsoft.directory/aplicativos/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/aplicativos/criar Criar todos os tipos de aplicativos
microsoft.directory/aplicativos/excluir Excluir todos os tipos de aplicativos
microsoft.directory/aplicativos/notas/atualização Atualizar notas de aplicativos
microsoft.directory/aplicativos/proprietários/atualização Atualizar proprietários de aplicativos
microsoft.directory/aplicativos/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicativos
microsoft.directory/aplicativos/políticas/atualização Atualizar políticas de aplicativos
microsoft.directory/aplicativos/sincronização/padrão/leitura Ler as configurações de provisionamento associadas ao objeto do aplicativo
microsoft.directory/applications/tag/update Atualizar tags de aplicativos
microsoft.directory/applicationTemplates/instanciar Instanciar aplicativos de galeria a partir de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/cloudProvisioning/allProperties/allTasks Leia e configure todas as propriedades do serviço de provisionamento de nuvem Microsoft Entra.
microsoft.directory/deletedItems.applications/excluir Excluir permanentemente aplicativos, que não podem mais ser restaurados
microsoft.directory/deletedItems.applications/restore Restaurar aplicativos excluídos suavemente para o estado original
microsoft.directory/domains/allProperties/read Ler todas as propriedades de domínios
microsoft.directory/domains/federationConfiguration/basic/update Atualizar a configuração básica de federação para domínios
microsoft.directory/domains/federationConfiguration/create Criar configuração de federação para domínios
microsoft.directory/domains/federationConfiguration/delete Excluir configuração de federação para domínios
microsoft.directory/domains/federationConfiguration/standard/read Leia as propriedades padrão da configuração de federação para domínios
microsoft.directory/domínios/federação/atualização Atualizar propriedade de federação de domínios
Ícone de rótulo privilegiado.
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gerenciar a política de autenticação híbrida no Microsoft Entra ID
Ícone de rótulo privilegiado.
microsoft.directory/onPremisesSynchronization/basic/update Atualizar informações básicas de sincronização de diretórios no local
microsoft.directory/onPremisesSynchronization/standard/read Leia informações padrão de sincronização de diretórios locais
microsoft.directory/organização/dirSync/update Atualizar a propriedade de sincronização do diretório da organização
microsoft.directory/passwordHashSync/allProperties/allTasks Gerenciar todos os aspetos da Sincronização de Hash de Senha (PHS) no Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/servicePrincipals/audience/update Atualizar propriedades de audiência em entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar propriedades de autenticação em entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar propriedades básicas em entidades de serviço
microsoft.directory/servicePrincipals/create Criar principais de serviço
microsoft.directory/servicePrincipals/excluir Excluir entidades de serviço
microsoft.directory/servicePrincipals/disable Desativar entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar entidades de serviço
microsoft.directory/servicePrincipals/notes/update Atualizar notas de entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar proprietários de entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar permissões de entidades de serviço
microsoft.directory/servicePrincipals/policies/update Políticas de atualização de entidades de serviço
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos de locatário de nuvem para locatário de nuvem.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Inicie, reinicie e pause os trabalhos de sincronização de provisionamento de aplicativo de locatário de nuvem para locatário de nuvem.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Crie e gerencie o provisionamento de aplicativos de locatário de nuvem para locatário de nuvem, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gerencie segredos e credenciais de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Crie e gerencie o provisionamento de aplicativos, trabalhos de sincronização e esquema.
microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar Gerenciar segredos e credenciais de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar o provisionamento de aplicativos, trabalhos de sincronização e esquema
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à sua entidade de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade tag para entidades de serviço
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.directory/users/authorizationInfo/update Atualizar a propriedade de IDs de usuário de Certificado de valores múltiplos dos usuários
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Governança de Identidade

Os usuários com essa função podem gerenciar a configuração de Governança de ID do Microsoft Entra, incluindo pacotes de acesso, revisões de acesso, catálogos e políticas, garantindo que o acesso seja aprovado e revisado e que os usuários convidados que não precisam mais de acesso sejam removidos.

Ações Description
microsoft.directory/accessReviews/allProperties/allTasks (Preterido) Criar e excluir revisões de acesso, ler e atualizar todas as propriedades de revisões de acesso e gerenciar revisões de acesso de grupos no Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gerenciar revisões de acesso de atribuições de função de aplicativo no Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gerenciar revisões de acesso para atribuições de pacotes de acesso no gerenciamento de direitos
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leia todas as propriedades das análises de acesso para associação a grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis a funções.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Atualize todas as propriedades das revisões de acesso para associação a grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por função.
microsoft.directory/accessReviews/definitions.groups/create Crie revisões de acesso para associação em grupos de Segurança e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Exclua as revisões de acesso para associação aos grupos Segurança e Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.directory/groups/members/update Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço

Administrador de Insights

Os usuários nessa função podem acessar o conjunto completo de recursos administrativos no aplicativo Microsoft Viva Insights. Essa função tem a capacidade de ler informações de diretório, monitorar a integridade do serviço, tíquetes de suporte a arquivos e acessar os aspetos de configurações do Administrador de Insights.

Mais informações

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.insights/allEntities/allProperties/allTasks Gerencie todos os aspetos do aplicativo Insights
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Analista de Insights

Atribua a função de Analista de Insights aos usuários que precisam fazer o seguinte:

  • Analise dados no aplicativo Microsoft Viva Insights, mas não pode gerenciar nenhuma definição de configuração
  • Criar, gerenciar e executar consultas
  • Ver definições básicas e relatórios no centro de administração do Microsoft 365
  • Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365

Mais informações

Ações Description
microsoft.insights/queries/allProperties/allTasks Executar e gerenciar consultas no Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Líder de Negócios Insights

Os usuários nessa função podem acessar um conjunto de painéis e informações por meio do aplicativo Microsoft Viva Insights. Isso inclui acesso total a todos os painéis e informações apresentadas e funcionalidade de exploração de dados. Os usuários nessa função não têm acesso às definições de configuração do produto, que é de responsabilidade da função Administrador do Insights.

Mais informações

Ações Description
microsoft.insights/programas/allProperties/update Implantar e gerenciar programas no aplicativo Insights
microsoft.insights/reports/allProperties/read Exibir relatórios e painéis no aplicativo Insights

Administrador do Intune

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função têm permissões globais no Microsoft Intune Online, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar políticas, bem como criar e gerenciar grupos. Para obter mais informações, consulte RBAC (controle de administração baseado em função) com o Microsoft Intune.

Essa função pode criar e gerenciar todos os grupos de segurança. No entanto, o Administrador do Intune não tem direitos de administrador sobre grupos do Microsoft 365. Isso significa que o administrador não pode atualizar proprietários ou associações de todos os grupos do Microsoft 365 na organização. No entanto, ele / ela pode gerenciar o grupo do Microsoft 365 que ele cria que vem como parte de seus privilégios de usuário final. Portanto, qualquer grupo do Microsoft 365 (não grupo de segurança) que ele / ela cria deve ser contado em sua cota de 250.

Nota

Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do Intune. No portal do Azure, ele é chamado de Administrador do Intune.

Ações Description
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gerenciar todos os aspetos do Windows 365
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/contatos/basic/update Atualizar propriedades básicas em contatos
microsoft.directory/contatos/criar Criar contactos
microsoft.directory/contatos/excluir Excluir contatos
microsoft.directory/deletedItems.devices/delete Excluir permanentemente dispositivos, que não podem mais ser restaurados
microsoft.directory/deletedItems.devices/restore Restaurar dispositivos apagados suaves para o estado original
microsoft.directory/deviceLocalCredentials/password/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, incluindo a senha
microsoft.directory/deviceManagementPolicies/standard/read Leia as propriedades padrão sobre gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
microsoft.directory/deviceRegistrationPolicy/standard/read Leia as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/devices/basic/update Atualizar propriedades básicas em dispositivos
microsoft.directory/devices/criar Criar dispositivos (inscrever-se no Microsoft Entra ID)
microsoft.directory/devices/excluir Excluir dispositivos do Microsoft Entra ID
microsoft.directory/devices/disable Desativar dispositivos no Microsoft Entra ID
microsoft.directory/devices/enable Ativar dispositivos no Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Atualizar as propriedades extensionAttribute1 para extensionAttribute5 em dispositivos
microsoft.directory/devices/extensionAttributeSet2/update Atualize as propriedades extensionAttribute6 para extensionAttribute10 em dispositivos
microsoft.directory/devices/extensionAttributeSet3/update Atualize as propriedades extensionAttribute11 para extensionAttribute15 em dispositivos
microsoft.directory/devices/registeredOwners/update Atualizar proprietários registados de dispositivos
microsoft.directory/devices/registeredUsers/update Atualizar utilizadores registados de dispositivos
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/classificação/atualização Atualizar a propriedade de classificação em Grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/criar Criar grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/excluir Excluir grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/dynamicMembershipRule/update Atualizar a regra de associação dinâmica em grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/owners/update Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/visibilidade/atualização Atualizar a propriedade visibility em Grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.intune/allEntities/allTasks Gerenciar todos os aspetos do Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leia todos os aspetos das Mensagens Organizacionais do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Kaizala Administrador

Os usuários com essa função têm permissões globais para gerenciar configurações no Microsoft Kaizala, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Além disso, o usuário pode acessar relatórios relacionados à adoção e uso do Kaizala pelos membros da Organização e relatórios de negócios gerados usando as ações do Kaizala.

Ações Description
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Conhecimento

Os utilizadores nesta função têm acesso total a todas as definições de conhecimento, aprendizagem e funcionalidades inteligentes no centro de administração do Microsoft 365. Eles têm uma compreensão geral do conjunto de produtos, detalhes de licenciamento e têm a responsabilidade de controlar o acesso. O Administrador de Conhecimento pode criar e gerenciar conteúdo, como tópicos, siglas e recursos de aprendizagem. Além disso, esses usuários podem criar centros de conteúdo, monitorar a integridade do serviço e criar solicitações de serviço.

Ações Description
microsoft.directory/groups.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/criar Criar grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/createAsOwner Crie grupos de segurança, excluindo grupos atribuíveis por função. Creator é adicionado como o primeiro proprietário.
microsoft.directory/groups.security/excluir Excluir grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/owners/update Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leia e atualize todas as propriedades de compreensão de conteúdo no Centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leia e atualize todas as propriedades da rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gerencie fontes de aprendizagem e todas as suas propriedades no Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Leia todas as propriedades dos rótulos de sensibilidade nos centros de segurança e conformidade
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Gestor da Base de Dados de Conhecimento

Os usuários nessa função podem criar e gerenciar conteúdo, como tópicos, siglas e conteúdo de aprendizagem. Estes utilizadores são os principais responsáveis pela qualidade e estrutura do conhecimento. Esse usuário tem direitos totais para ações de gerenciamento de tópicos para confirmar um tópico, aprovar edições ou excluir um tópico. Essa função também pode gerenciar taxonomias como parte da ferramenta de gerenciamento de repositório de termos e criar centros de conteúdo.

Ações Description
microsoft.directory/groups.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/criar Criar grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/createAsOwner Crie grupos de segurança, excluindo grupos atribuíveis por função. Creator é adicionado como o primeiro proprietário.
microsoft.directory/groups.security/excluir Excluir grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/owners/update Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leia relatórios analíticos de compreensão de conteúdo no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gerenciar a visibilidade do tópico da rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Licenças

Os usuários nessa função podem ler, adicionar, remover e atualizar atribuições de licença em usuários, grupos (usando licenciamento baseado em grupo) e gerenciar o local de uso em usuários. A função não concede a capacidade de comprar ou gerenciar assinaturas, criar ou gerenciar grupos, ou criar ou gerenciar usuários além do local de uso. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/groups/assignLicense Atribuir licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar atribuições de licença para licenciamento baseado em grupo
microsoft.directory/users/assignLicense Gerenciar licenças de usuário
microsoft.directory/users/reprocessLicenseAssignment Reprocessar atribuições de licença para usuários
microsoft.directory/users/usageLocation/update Atualizar o local de uso dos usuários
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de fluxos de trabalho de ciclo de vida

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Atribua a função de Administrador de Fluxos de Trabalho de Ciclo de Vida aos usuários que precisam executar as seguintes tarefas:

  • Crie e gerencie todos os aspetos de fluxos de trabalho e tarefas associadas aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID
  • Verificar a execução de fluxos de trabalho agendados
  • Iniciar execuções de fluxo de trabalho sob demanda
  • Inspecionar logs de execução do fluxo de trabalho
Ações Description
microsoft.directory/ciclo de vidaFluxos de trabalho/fluxos de trabalho/allProperties/allTasks Gerencie todos os aspetos dos fluxos de trabalho e tarefas do ciclo de vida no Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read Ler propriedades de autenticação forte de uma organização
microsoft.directory/users/lifeCycleInfo/read Leia informações do ciclo de vida dos usuários, como employeeLeaveDateTime
Ícone de rótulo privilegiado.

Leitor de Privacidade do Centro de Mensagens

Os utilizadores nesta função podem monitorizar todas as notificações no Centro de Mensagens, incluindo mensagens de privacidade de dados. Os leitores de privacidade do Message Center recebem notificações por e-mail, incluindo aquelas relacionadas à privacidade de dados, e podem cancelar a inscrição usando as Preferências do Message Center. Apenas o Administrador Global e o Leitor de Privacidade do Centro de Mensagens podem ler mensagens de privacidade de dados. Além disso, essa função contém a capacidade de exibir grupos, domínios e assinaturas. Essa função não tem permissão para exibir, criar ou gerenciar solicitações de serviço.

Ações Description
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Ler mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Leitor do Centro de Mensagens

Os usuários nessa função podem monitorar notificações e atualizações de integridade de aviso no Centro de mensagens para sua organização em serviços configurados, como Exchange, Intune e Microsoft Teams. Os leitores do Centro de Mensagens recebem resumos semanais de e-mails de postagens, atualizações e podem compartilhar postagens do centro de mensagens no Microsoft 365. No Microsoft Entra ID, os usuários atribuídos a essa função só terão acesso somente leitura nos serviços do Microsoft Entra, como usuários e grupos. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.

Ações Description
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de migração do Microsoft 365

Atribua a função de Administrador de Migração do Microsoft 365 aos usuários que precisam executar as seguintes tarefas:

  • Use o Gerenciador de Migração no centro de administração do Microsoft 365 para gerenciar a migração de conteúdo para o Microsoft 365, incluindo sites do Teams, OneDrive for Business e SharePoint, do Google Drive, Dropbox, Box e Egnyte
  • Selecione fontes de migração, crie inventários de migração (como listas de usuários do Google Drive), agende e execute migrações e faça download de relatórios
  • Crie novos sites do SharePoint se os sites de destino ainda não existirem, crie listas do SharePoint nos sites de administração do SharePoint e crie e atualize itens nas listas do SharePoint
  • Gerenciar configurações de projeto de migração e ciclo de vida de migração para tarefas
  • Gerenciar mapeamentos de permissão da origem ao destino

Nota

Essa função não permite que você migre de fontes de compartilhamento de arquivos usando o centro de administração do SharePoint. Você pode usar a função de Administrador do SharePoint para migrar de fontes de compartilhamento de arquivos.

Mais informações

Ações Description
microsoft.office365.migrations/allEntities/allProperties/allTasks Gerenciar todos os aspetos das migrações do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador Local de Dispositivo Ingressado no Microsoft Entra

Esta função está disponível para atribuição apenas como um administrador local adicional nas configurações do dispositivo. Os usuários com essa função tornam-se administradores de máquinas locais em todos os dispositivos Windows 10 que ingressaram na ID do Microsoft Entra. Eles não têm a capacidade de gerenciar objetos de dispositivos no Microsoft Entra ID.

Ações Description
microsoft.directory/groupSettings/padrão/leitura Ler propriedades básicas nas configurações de grupo
microsoft.directory/groupSettingTemplates/standard/read Ler propriedades básicas em modelos de configuração de grupo

Administrador de Garantia de Hardware da Microsoft

Atribua a função de Administrador de Garantia de Hardware da Microsoft aos usuários que precisam executar as seguintes tarefas:

  • Crie novas reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e o HoloLens
  • Pesquisar e ler reclamações de garantia abertas ou fechadas
  • Pesquisar e ler reclamações de garantia por número de série
  • Criar, ler, atualizar e excluir endereços de remessa
  • Leia o status do envio para reclamações de garantia em aberto
  • Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365
  • Leia os anúncios do centro de mensagens no centro de administração do Microsoft 365

Uma reclamação de garantia é um pedido para que o hardware seja reparado ou substituído de acordo com os termos da garantia. Para obter mais informações, consulte Autoatendimento à garantia do Surface & solicitações de serviço.

Ações Description
microsoft.hardware.support/shippingAddress/allProperties/allTasks Criar, ler, atualizar e excluir endereços de entrega para reclamações de garantia de hardware da Microsoft, incluindo endereços de entrega criados por outras pessoas
microsoft.hardware.support/shippingStatus/allProperties/read Ler o estado de envio para reclamações de garantia de hardware Microsoft abertas
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Crie e gerencie todos os aspetos das reclamações de garantia de hardware da Microsoft
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Especialista em Garantia de Hardware Microsoft

Atribua a função de Especialista em Garantia de Hardware da Microsoft aos usuários que precisam executar as seguintes tarefas:

  • Crie novas reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e o HoloLens
  • Leia as reclamações de garantia que eles criaram
  • Ler e atualizar endereços de envio existentes
  • Leia o status do envio para reclamações de garantia aberta que eles criaram
  • Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365

Uma reclamação de garantia é um pedido para que o hardware seja reparado ou substituído de acordo com os termos da garantia. Para obter mais informações, consulte Autoatendimento à garantia do Surface & solicitações de serviço.

Ações Description
microsoft.hardware.support/shippingAddress/allProperties/read Leia os endereços de envio para reclamações de garantia de hardware da Microsoft, incluindo endereços de entrega existentes criados por outras pessoas
microsoft.hardware.support/warrantyClaims/createAsOwner Criar reclamações de garantia de hardware da Microsoft onde o criador é o proprietário
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Ler o estado de envio para reclamações de garantia de hardware Microsoft abertas
microsoft.hardware.support/warrantyClaims/allProperties/read Leia as reclamações de garantia de hardware da Microsoft

Administrador de Comércio Moderno

Não utilizar. Esta função é atribuída automaticamente a partir do Comércio e não se destina nem é suportada para qualquer outra utilização. Veja os detalhes abaixo.

A função de Administrador de Comércio Moderno dá permissão a determinados usuários para acessar o Centro de administração do Microsoft 365 e ver as entradas de navegação à esquerda para Casa, Cobrança e Suporte. O conteúdo disponível nessas áreas é controlado por funções específicas do comércio atribuídas aos usuários para gerenciar produtos que eles compraram para si mesmos ou para sua organização. Isso pode incluir tarefas como pagar contas ou para acessar contas de faturamento e perfis de cobrança.

Os usuários com a função de Administrador de Comércio Moderno normalmente têm permissões administrativas em outros sistemas de compras da Microsoft, mas não têm as funções de Administrador Global ou Administrador de Cobrança usadas para acessar o centro de administração.

Quando é atribuída a função de Administrador de Comércio Moderno?

  • Compra de autoatendimento no centro de administração do Microsoft 365 – A compra de autoatendimento dá aos usuários a chance de experimentar novos produtos comprando ou inscrevendo-se por conta própria. Esses produtos são gerenciados no centro de administração. Os usuários que fazem uma compra de autoatendimento recebem uma função no sistema de comércio e a função de Administrador de Comércio Moderno para que possam gerenciar suas compras no centro de administração. Os administradores podem bloquear compras de autoatendimento (para Malha, Power BI, Power Apps, Power Automate) por meio do PowerShell. Para obter mais informações, consulte Perguntas frequentes sobre compras de autoatendimento.
  • Compras no mercado comercial da Microsoft – Semelhante à compra de autoatendimento, quando um usuário compra um produto ou serviço do Microsoft AppSource ou do Azure Marketplace, a função de Administrador de Comércio Moderno é atribuída se ele não tiver a função de Administrador Global ou Administrador de Cobrança. Em alguns casos, os usuários podem ser impedidos de fazer essas compras. Para obter mais informações, consulte Microsoft commercial marketplace.
  • Propostas da Microsoft – Uma proposta é uma oferta formal da Microsoft para a sua organização comprar produtos e serviços Microsoft. Quando a pessoa que está aceitando a proposta não tem uma função de Administrador Global ou Administrador de Cobrança na ID do Microsoft Entra, ela recebe uma função específica de comércio para concluir a proposta e a função de Administrador de Comércio Moderno para acessar o centro de administração. Quando acedem ao centro de administração, só podem utilizar funcionalidades autorizadas pela sua função específica do comércio.
  • Funções específicas do comércio – Alguns usuários recebem funções específicas do comércio. Se um usuário não for um Administrador Global ou Administrador de Cobrança, ele receberá a função de Administrador de Comércio Moderno para poder acessar o centro de administração.

Se a função de Administrador de Comércio Moderno não for atribuída a um usuário, ele perderá o acesso ao Centro de administração do Microsoft 365. Se eles estavam gerenciando quaisquer produtos, seja para si mesmos ou para sua organização, eles não serão capazes de gerenciá-los. Isso pode incluir atribuir licenças, alterar métodos de pagamento, pagar contas ou outras tarefas para gerenciar assinaturas.

Ações Description
microsoft.commerce.faturação/parceiros/leitura
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gerencie todos os aspetos do Centro de Serviços de Licenciamento por Volume
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Redes

Os usuários nessa função podem revisar as recomendações de arquitetura de perímetro de rede da Microsoft baseadas na telemetria de rede de seus locais de usuário. O desempenho de rede para o Microsoft 365 depende de uma cuidadosa arquitetura de perímetro de rede do cliente corporativo, que geralmente é específica do local do usuário. Essa função permite a edição de locais de usuários descobertos e a configuração de parâmetros de rede para esses locais para facilitar medições de telemetria aprimoradas e recomendações de projeto

Ações Description
microsoft.office365.network/locations/allProperties/allTasks Gerencie todos os aspetos dos locais de rede
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Aplicativos do Office

Os usuários nessa função podem gerenciar as configurações de nuvem dos aplicativos do Microsoft 365. Isso inclui o gerenciamento de políticas de nuvem, o gerenciamento de download de autoatendimento e a capacidade de exibir relatórios relacionados a aplicativos do Office. Essa função também concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço no centro de administração principal. Os usuários atribuídos a essa função também podem gerenciar a comunicação de novos recursos em aplicativos do Office.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Ler e atualizar as novidades da visibilidade das mensagens
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Branding Organizacional

Atribua a função de Administrador de Branding Organizacional aos usuários que precisam executar as seguintes tarefas:

  • Gerenciar todos os aspetos da marca organizacional em um locatário
  • Leia, crie, atualize e exclua temas de identidade visual
  • Gerencie o tema de identidade visual padrão e todos os temas de localização de identidade visual
Ações Description
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Crie e exclua loginTenantBranding, e leia e atualize todas as propriedades

Aprovador de Mensagens Organizacionais

Atribua a função de Aprovador de Mensagens Organizacionais aos usuários que precisam executar as seguintes tarefas:

  • Revise, aprove ou rejeite novas mensagens organizacionais para entrega no centro de administração do Microsoft 365 antes de serem enviadas aos usuários usando a plataforma de Mensagens Organizacionais do Microsoft 365
  • Leia todos os aspetos das mensagens organizacionais
  • Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
Ações Description
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leia todos os aspetos das Mensagens Organizacionais do Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/update Aprovar ou rejeitar novas mensagens organizacionais para entrega no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Gravador de mensagens organizacionais

Atribua a função Gravador de Mensagens Organizacionais aos usuários que precisam executar as seguintes tarefas:

  • Escrever, publicar e excluir mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
  • Gerenciar opções de entrega de mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
  • Ler resultados de entrega de mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
  • Exibir relatórios de uso e a maioria das configurações no Centro de administração do Microsoft 365, mas não pode fazer alterações
Ações Description
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gerenciar todos os aspetos de criação de mensagens organizacionais do Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Ler relatórios de utilização agregados do Office 365 ao nível do inquilino
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Suporte de nível 1 do parceiro

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Não utilizar. Esta função foi preterida e será removida do Microsoft Entra ID no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft e não se destina a utilização geral.

Importante

Essa função pode redefinir senhas e invalidar tokens de atualização apenas para não-administradores. Essa função não deve ser usada porque foi preterida.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/aplicativos/audiência/atualização Atualizar a propriedade audience para aplicativos
microsoft.directory/aplicativos/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/aplicativos/credenciais/atualização Atualizar credenciais do aplicativo
Ícone de rótulo privilegiado.
microsoft.directory/aplicativos/notas/atualização Atualizar notas de aplicativos
microsoft.directory/aplicativos/proprietários/atualização Atualizar proprietários de aplicativos
microsoft.directory/aplicativos/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicativos
microsoft.directory/aplicativos/políticas/atualização Atualizar políticas de aplicativos
microsoft.directory/applications/tag/update Atualizar tags de aplicativos
microsoft.directory/contatos/basic/update Atualizar propriedades básicas em contatos
microsoft.directory/contatos/criar Criar contactos
microsoft.directory/contatos/excluir Excluir contatos
microsoft.directory/deletedItems.groups/restore Restaurar grupos excluídos suavemente para o estado original
microsoft.directory/deletedItems.users/restore Restaurar usuários excluídos suavemente para o estado original
microsoft.directory/groups/criar Criar grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/excluir Excluir grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/members/update Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/owners/update Atualizar proprietários de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/restore Restaurar grupos a partir de contêiner excluído por software
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/users/assignLicense Gerenciar licenças de usuário
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/users/criar Adicionar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/excluir Eliminar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/disable Desativar usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/enable Ativar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/restore Restaurar utilizadores eliminados
microsoft.directory/users/userPrincipalName/update Atualizar Nome Principal do Usuário dos usuários
Ícone de rótulo privilegiado.
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Suporte de nível 2 do parceiro

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Não utilizar. Esta função foi preterida e será removida do Microsoft Entra ID no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft e não se destina a utilização geral.

Importante

Essa função pode redefinir senhas e invalidar tokens de atualização para todos os não-administradores e administradores (incluindo Administradores Globais). Essa função não deve ser usada porque foi preterida.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/aplicativos/audiência/atualização Atualizar a propriedade audience para aplicativos
microsoft.directory/aplicativos/autenticação/atualização Atualizar a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/aplicativos/credenciais/atualização Atualizar credenciais do aplicativo
Ícone de rótulo privilegiado.
microsoft.directory/aplicativos/notas/atualização Atualizar notas de aplicativos
microsoft.directory/aplicativos/proprietários/atualização Atualizar proprietários de aplicativos
microsoft.directory/aplicativos/permissões/atualização Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicativos
microsoft.directory/aplicativos/políticas/atualização Atualizar políticas de aplicativos
microsoft.directory/applications/tag/update Atualizar tags de aplicativos
microsoft.directory/contatos/basic/update Atualizar propriedades básicas em contatos
microsoft.directory/contatos/criar Criar contactos
microsoft.directory/contatos/excluir Excluir contatos
microsoft.directory/deletedItems.groups/restore Restaurar grupos excluídos suavemente para o estado original
microsoft.directory/deletedItems.users/restore Restaurar usuários excluídos suavemente para o estado original
microsoft.directory/domains/allProperties/allTasks Criar e excluir domínios, ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/groups/criar Criar grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/excluir Excluir grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/members/update Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/owners/update Atualizar proprietários de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/restore Restaurar grupos a partir de contêiner excluído por software
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/organização/básico/update Atualizar propriedades básicas na organização
microsoft.directory/roleAssignments/allProperties/allTasks Criar e excluir atribuições de função e ler e atualizar todas as propriedades de atribuição de função
microsoft.directory/roleDefinitions/allProperties/allTasks Criar e excluir definições de função e ler e atualizar todas as propriedades
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Criar e excluir scopedRoleMemberships, ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/subscribedSkus/standard/read Ler propriedades básicas em subscrições
microsoft.directory/users/assignLicense Gerenciar licenças de usuário
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/users/criar Adicionar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/excluir Eliminar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/disable Desativar usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/enable Ativar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/restore Restaurar utilizadores eliminados
microsoft.directory/users/userPrincipalName/update Atualizar Nome Principal do Usuário dos usuários
Ícone de rótulo privilegiado.
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de senha

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função têm capacidade limitada de gerenciar senhas. Essa função não concede a capacidade de gerenciar solicitações de serviço ou monitorar a integridade do serviço. Se um administrador de senha pode redefinir a senha de um usuário depende da função que o usuário está atribuído. Para obter uma lista das funções para as quais um Administrador de Senhas pode redefinir senhas, consulte Quem pode redefinir senhas.

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
Ações Description
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Gerenciamento de Permissões

Atribua a função de Administrador de Gerenciamento de Permissões aos usuários que precisam executar as seguintes tarefas:

  • Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra, quando o serviço estiver presente

Saiba mais sobre as funções e políticas do Gerenciamento de Permissões em Exibir informações sobre funções/políticas.

Ações Description
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra

Administrador da Power Platform

Os usuários nessa função podem criar e gerenciar todos os aspetos de ambientes, Power Apps, fluxos, políticas de prevenção de perda de dados. Além disso, os usuários com essa função têm a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.dynamics365/allEntities/allTasks Gerenciar todos os aspetos do Dynamics 365
microsoft.flow/allEntities/allTasks Gerencie todos os aspetos do Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.powerApps/allEntities/allTasks Gerir todos os aspetos das Power Apps

Administrador de Impressoras

Os usuários nessa função podem registrar impressoras e gerenciar todos os aspetos de todas as configurações de impressora na solução Microsoft Universal Print, incluindo as configurações do Universal Print Connector. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os administradores de impressora também têm acesso a relatórios de impressão.

Ações Description
microsoft.azure.print/allEntities/allProperties/allTasks Criar e excluir impressoras e conectores e ler e atualizar todas as propriedades no Microsoft Print

Técnico de Impressão

Os usuários com essa função podem registrar impressoras e gerenciar o status da impressora na solução Microsoft Universal Print. Eles também podem ler todas as informações do conector. A principal tarefa que um técnico de impressora não pode fazer é definir permissões de usuário em impressoras e compartilhar impressoras.

Ações Description
microsoft.azure.print/connectors/allProperties/read Leia todas as propriedades dos conectores no Microsoft Print
microsoft.azure.print/printers/allProperties/read Leia todas as propriedades de impressoras no Microsoft Print
microsoft.azure.print/printers/basic/update Atualizar propriedades básicas de impressoras no Microsoft Print
microsoft.azure.print/printers/register Registrar impressoras no Microsoft Print
microsoft.azure.print/printers/cancelar o registro Cancelar o registro de impressoras no Microsoft Print

Administrador de Autenticação Privilegiada

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Atribua a função de Administrador de Autenticação Privilegiada aos usuários que precisam fazer o seguinte:

  • Defina ou redefina qualquer método de autenticação (incluindo senhas) para qualquer usuário, incluindo Administradores Globais.
  • Exclua ou restaure todos os usuários, incluindo Administradores Globais. Para obter mais informações, consulte Quem pode executar ações confidenciais.
  • Forçar os usuários a se registrarem novamente em relação a credenciais não confiáveis existentes (como MFA ou FIDO2) e revogar lembrar MFA no dispositivo, solicitando MFA no próximo login de todos os usuários.
  • Atualize propriedades confidenciais para todos os usuários. Para obter mais informações, consulte Quem pode executar ações confidenciais.
  • Crie e gerencie tíquetes de suporte no Azure e no centro de administração do Microsoft 365.
  • Configurar autoridades de certificação com um armazenamento confiável baseado em PKI (visualização)

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível gerenciar MFA por usuário no portal de gerenciamento de MFA herdado.

A tabela a seguir compara os recursos de funções relacionadas à autenticação.

Função Gerir os métodos de autenticação do utilizador Ativar a MFA por utilizador Gerir as definições da MFA Gerir a política do método de autenticação Gerir a política de proteção de palavras-passe Atualizar as propriedades confidenciais Eliminar e restaurar utilizadores
Administrador de autenticação Sim para alguns utilizadores Sim para alguns utilizadores Sim No No Sim para alguns utilizadores Sim para alguns utilizadores
Administrador de autenticação privilegiada Sim para todos os utilizadores Sim para todos os utilizadores No No No Sim para todos os utilizadores Sim para todos os utilizadores
Administrador de políticas de autenticação No Sim Sim Sim Sim No No
Administrador de Utilizadores No No No No No Sim para alguns utilizadores Sim para alguns utilizadores

Importante

Os usuários com essa função podem alterar as credenciais de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar as credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:

  • Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares não concedidos aos Administradores de Autenticação. Por meio desse caminho, um administrador de autenticação pode assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
  • Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
  • Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender e portal de conformidade Microsoft Purview, e sistemas de recursos humanos.
  • Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/deletedItems.users/restore Restaurar usuários excluídos suavemente para o estado original
microsoft.directory/users/authenticationMethods/basic/update Atualizar as propriedades básicas dos métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/create Atualizar métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/delete Excluir métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authenticationMethods/standard/read Leia as propriedades padrão dos métodos de autenticação para usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/authorizationInfo/update Atualizar a propriedade de IDs de usuário de Certificado de valores múltiplos dos usuários
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/users/excluir Eliminar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/disable Desativar usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/enable Ativar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/restore Restaurar utilizadores eliminados
microsoft.directory/users/userPrincipalName/update Atualizar Nome Principal do Usuário dos usuários
Ícone de rótulo privilegiado.
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Funções com Privilégios

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função podem gerenciar atribuições de função no Microsoft Entra ID, bem como no Microsoft Entra Privileged Identity Management. Eles podem criar e gerenciar grupos que podem ser atribuídos a funções do Microsoft Entra. Além disso, esta função permite a gestão de todos os aspetos da Gestão de Identidade Privilegiada e unidades administrativas.

Importante

Essa função concede a capacidade de gerenciar atribuições para todas as funções do Microsoft Entra, incluindo a função de Administrador Global. Essa função não inclui outras habilidades privilegiadas no Microsoft Entra ID, como criar ou atualizar usuários. No entanto, os usuários atribuídos a essa função podem conceder a si mesmos ou a outros privilégios adicionais atribuindo funções adicionais.

Ações Description
microsoft.directory/accessReviews/definitions.applications/allProperties/read Leia todas as propriedades de revisões de acesso de atribuições de função de aplicativo no Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Gerenciar revisões de acesso para atribuições de função do Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leia todas as propriedades das análises de acesso para associação a grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis a funções.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Atualizar todas as propriedades das revisões de acesso para associação em grupos atribuíveis a funções do Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Criar revisões de acesso para associação em grupos atribuíveis a funções do Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Excluir revisões de acesso para associação em grupos atribuíveis a funções do Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks Criar e gerenciar unidades administrativas (incluindo membros)
microsoft.directory/authorizationPolicy/allProperties/allTasks Gerenciar todos os aspetos da política de autorização
Ícone de rótulo privilegiado.
microsoft.directory/directoryRoles/allProperties/allTasks Criar e excluir funções de diretório e ler e atualizar todas as propriedades
microsoft.directory/groupsAssignableToRoles/allProperties/update Atualizar grupos atribuíveis por função
microsoft.directory/groupsAssignableToRoles/assignLicense Atribuir uma licença a grupos atribuíveis por função
microsoft.directory/groupsAssignableToRoles/create Criar grupos aos quais se pode atribuir funções
microsoft.directory/groupsAssignableToRoles/delete Excluir grupos atribuíveis por função
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Reprocessar atribuições de licença para grupos atribuíveis a funções
microsoft.directory/groupsAssignableToRoles/restore Restaurar grupos atribuíveis por função
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/permissionGrantPolicies/allProperties/read Leia todas as propriedades das políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/allProperties/update Atualizar todas as propriedades das políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/criar Criar políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/excluir Excluir políticas de concessão de permissão
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Criar e excluir atribuições de função e ler e atualizar todas as propriedades de atribuição de função
microsoft.directory/roleDefinitions/allProperties/allTasks Criar e excluir definições de função e ler e atualizar todas as propriedades
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Criar e excluir scopedRoleMemberships, ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-empresa-admin Conceder consentimento para qualquer permissão a qualquer pedido
microsoft.directory/servicePrincipals/permissions/update Atualizar permissões de entidades de serviço
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Leitor de Relatórios

Os usuários com essa função podem exibir dados de relatório de uso e o painel de relatórios no centro de administração do Microsoft 365 e o pacote de contexto de adoção no Fabric e no Power BI. Além disso, a função fornece acesso a todos os logs de entrada, logs de auditoria e relatórios de atividade na ID do Microsoft Entra e dados retornados pela API de relatórios do Microsoft Graph. Um usuário atribuído à função Leitor de Relatórios pode acessar apenas métricas relevantes de uso e adoção. Eles não têm permissões de administrador para definir configurações ou acessar os centros de administração específicos do produto, como o Exchange. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Pesquisa

Os usuários nessa função têm acesso total a todos os recursos de gerenciamento da Pesquisa da Microsoft no centro de administração do Microsoft 365. Além disso, esses usuários podem exibir o centro de mensagens, monitorar a integridade do serviço e criar solicitações de serviço.

Ações Description
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.search/content/gerenciar Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Editor de Pesquisa

Os utilizadores nesta função podem criar, gerir e eliminar conteúdo para o Microsoft Search no centro de administração do Microsoft 365, incluindo marcadores, perguntas e respostas e localizações.

Ações Description
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.search/content/gerenciar Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Segurança

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função têm permissões para gerenciar recursos relacionados à segurança no portal Microsoft 365 Defender, Proteção de ID do Microsoft Entra, Autenticação do Microsoft Entra, Proteção de Informações do Azure e Portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.

Em Pode fazer
Portal do Microsoft 365 Defender Monitorar políticas relacionadas à segurança nos serviços do Microsoft 365
Gerencie ameaças e alertas de segurança
Ver relatórios
Proteção de ID do Microsoft Entra Todas as permissões da função Leitor de Segurança
Execute todas as operações de Proteção de ID, exceto a redefinição de senhas
Privileged Identity Management Todas as permissões da função Leitor de Segurança
Não é possível gerenciar atribuições ou configurações de função do Microsoft Entra
Portal de conformidade do Microsoft Purview Manage security policies (Gerir políticas de segurança)
Visualize, investigue e responda a ameaças à segurança
Ver relatórios
Azure Advanced Threat Protection Monitorize e responda a atividades de segurança suspeitas
Microsoft Defender para Ponto de Extremidade Atribuir funções
Gerir grupos de computadores
Configurar a deteção de ameaças de endpoint e a correção automatizada
Visualizar, investigar e responder a alertas
Ver inventário de máquinas/dispositivos
Intune Mapeia para a função Intune Endpoint Security Manager
Aplicativos do Microsoft Defender para Nuvem Adicione administradores, adicione políticas e configurações, carregue logs e execute ações de governança
Estado de funcionamento do serviço Microsoft 365 Exibir a integridade dos serviços do Microsoft 365
Bloqueio inteligente Defina o limite e a duração dos bloqueios quando ocorrerem eventos de entrada com falha.
Proteção por palavra-passe Configure a lista de senhas proibidas personalizadas ou a proteção por senha local.
Sincronização entre locatários Configure as configurações de acesso entre locatários para usuários em outro locatário. Os administradores de segurança não podem criar e excluir usuários diretamente, mas podem criar e excluir indiretamente usuários sincronizados de outro locatário quando ambos os locatários estão configurados para sincronização entre locatários, que é uma permissão privilegiada.
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/aplicativos/políticas/atualização Atualizar políticas de aplicativos
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/conditionalAccessPolicies/basic/update Atualizar propriedades básicas para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/create Criar políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/excluir Excluir políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/owners/read Leia os proprietários das políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/owners/update Atualizar proprietários para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leia a propriedade "aplicado a" para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/standard/read Ler Acesso Condicional para políticas
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Atualizar o locatário padrão para políticas de Acesso Condicional
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Atualizar pontos de extremidade de nuvem permitidos da política de acesso entre locatários
microsoft.directory/crossTenantAccessPolicy/basic/update Atualizar configurações básicas da política de acesso entre locatários
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Atualizar as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Atualizar restrições de locatário da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Atualizar as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/create Criar política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/delete Excluir política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Atualizar as configurações básicas da política de sincronização entre locatários
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Criar política de sincronização entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leia as propriedades básicas da política de sincronização entre locatários
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leia as propriedades básicas da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Atualizar modelos de política de sincronização entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Redefinir o modelo de política de sincronização entre locatários para organização multilocatária para as configurações padrão
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leia as propriedades básicas dos modelos de política de sincronização entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Atualizar modelos de política de acesso entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Redefinir o modelo de política de acesso entre locatários para organização multilocatária para as configurações padrão
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leia as propriedades básicas dos modelos de política de acesso entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Atualizar restrições de locatário da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/standard/read Leia as propriedades básicas da política de acesso entre locatários
microsoft.directory/deviceLocalCredentials/standard/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, exceto a senha
microsoft.directory/domains/federationConfiguration/basic/update Atualizar a configuração básica de federação para domínios
microsoft.directory/domains/federationConfiguration/create Criar configuração de federação para domínios
microsoft.directory/domains/federationConfiguration/delete Excluir configuração de federação para domínios
microsoft.directory/domains/federationConfiguration/standard/read Leia as propriedades padrão da configuração de federação para domínios
microsoft.directory/domínios/federação/atualização Atualizar propriedade de federação de domínios
Ícone de rótulo privilegiado.
microsoft.directory/entitlementManagement/allProperties/read Leia todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leia todos os recursos no Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Atualizar todos os recursos no Microsoft Entra ID Protection
Ícone de rótulo privilegiado.
microsoft.directory/multiTenantOrganization/basic/update Atualizar propriedades básicas de uma organização multilocatária
microsoft.directory/multiTenantOrganization/create Criar uma organização multilocatária
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Junte-se a uma organização multilocatária
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Ler propriedades de uma solicitação de ingresso de organização multilocatária
microsoft.directory/multiTenantOrganization/standard/read Ler propriedades básicas de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/create Criar um locatário em uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/delete Excluir um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Ler os detalhes da organização de um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Atualizar propriedades básicas de um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/standard/read Ler propriedades básicas de um locatário que participa de uma organização multilocatária
microsoft.directory/namedLocations/basic/update Atualizar propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/criar Criar regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/excluir Excluir regras personalizadas que definem locais de rede
microsoft.directory/namedLocations/standard/read Leia as propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/policies/basic/update Atualizar propriedades básicas em políticas
Ícone de rótulo privilegiado.
microsoft.directory/policies/criar Criar políticas no Microsoft Entra ID
microsoft.directory/policies/excluir Excluir políticas no Microsoft Entra ID
microsoft.directory/policies/owners/update Atualizar proprietários de políticas
microsoft.directory/policies/tenantDefault/update Atualizar políticas padrão da organização
microsoft.directory/privilegedIdentityManagement/allProperties/read Leia todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Atualizar o contexto de autenticação de Acesso Condicional de ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365
Ícone de rótulo privilegiado.
microsoft.directory/servicePrincipals/policies/update Políticas de atualização de entidades de serviço
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.networkAccess/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/basic/update Atualizar as propriedades básicas de todos os recursos nos centros de segurança e conformidade
microsoft.office365.protectionCenter/allEntities/standard/read Leia as propriedades padrão de todos os recursos nos centros de segurança e conformidade
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Crie e gerencie cargas úteis de ataque no Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatórios de simulação de ataque, respostas e treinamento associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Crie e gerencie modelos de simulação de ataque no Attack Simulator
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Operador de Segurança

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função podem gerenciar alertas e ter acesso global somente leitura em recursos relacionados à segurança, incluindo todas as informações no portal Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management e portal de conformidade Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.

Em Pode fazer
Portal do Microsoft 365 Defender Todas as permissões da função Leitor de Segurança
Visualize, investigue e responda a alertas de ameaças à segurança
Gerenciar configurações de segurança no portal do Microsoft 365 Defender
Proteção de ID do Microsoft Entra Todas as permissões da função Leitor de Segurança
Execute todas as operações de Proteção de ID, exceto para configurar ou alterar políticas baseadas em risco, redefinir senhas e configurar e-mails de alerta.
Privileged Identity Management Todas as permissões da função Leitor de Segurança
Portal de conformidade do Microsoft Purview Todas as permissões da função Leitor de Segurança
Visualize, investigue e responda a alertas de segurança
Microsoft Defender para Ponto de Extremidade Todas as permissões da função Leitor de Segurança
Visualize, investigue e responda a alertas de segurança
Quando você ativa o controle de acesso baseado em função no Microsoft Defender for Endpoint, os usuários com permissões somente leitura, como a função Leitor de Segurança, perdem o acesso até que lhes seja atribuída uma função do Microsoft Defender for Endpoint.
Intune Todas as permissões da função Leitor de Segurança
Aplicativos do Microsoft Defender para Nuvem Todas as permissões da função Leitor de Segurança
Visualize, investigue e responda a alertas de segurança
Estado de funcionamento do serviço Microsoft 365 Exibir a integridade dos serviços do Microsoft 365
Ações Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gerenciar todos os aspetos da Proteção Avançada contra Ameaças do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Entra ID Protection
Ícone de rótulo privilegiado.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leia todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.intune/allEntities/read Leia todos os recursos no Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Centro de Conformidade e Segurança do Office 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gerencie todos os aspetos do Microsoft Defender for Endpoint

Leitor de Segurança

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Os usuários com essa função têm acesso global somente leitura no recurso relacionado à segurança, incluindo todas as informações no portal Microsoft 365 Defender, Proteção de ID do Microsoft Entra, Gerenciamento Privilegiado de Identidades, bem como a capacidade de ler relatórios de entrada e logs de auditoria do Microsoft Entra e no portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.

Em Pode fazer
Portal do Microsoft 365 Defender Exibir políticas relacionadas à segurança nos serviços do Microsoft 365
Ver ameaças e alertas de segurança
Ver relatórios
Proteção de ID do Microsoft Entra Ver todos os relatórios e visão geral da Proteção de ID
Privileged Identity Management Tem acesso somente leitura a todas as informações exibidas no Microsoft Entra Privileged Identity Management: Políticas e relatórios para atribuições de função e revisões de segurança do Microsoft Entra.
Não é possível se inscrever no Microsoft Entra Privileged Identity Management ou fazer alterações nele. No portal de Gerenciamento de Identidades Privilegiadas ou por meio do PowerShell, alguém nessa função pode ativar funções adicionais (por exemplo, Administrador de Função Privilegiada), se o usuário estiver qualificado para elas.
Portal de conformidade do Microsoft Purview Ver as políticas de segurança
Visualize e investigue ameaças à segurança
Ver relatórios
Microsoft Defender para Ponto de Extremidade Ver e investigar alertas
Quando você ativa o controle de acesso baseado em função no Microsoft Defender for Endpoint, os usuários com permissões somente leitura, como a função Leitor de Segurança, perdem o acesso até que lhes seja atribuída uma função do Microsoft Defender for Endpoint.
Intune Exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
Aplicativos do Microsoft Defender para Nuvem Tem permissões de leitura.
Estado de funcionamento do serviço Microsoft 365 Exibir a integridade dos serviços do Microsoft 365
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/accessReviews/definitions/allProperties/read Leia todas as propriedades das revisões de acesso de todos os recursos revisáveis no Microsoft Entra ID
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/bitlockerKeys/key/read Ler metadados e chave do bitlocker em dispositivos
Ícone de rótulo privilegiado.
microsoft.directory/conditionalAccessPolicies/owners/read Leia os proprietários das políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leia a propriedade "aplicado a" para políticas de Acesso Condicional
microsoft.directory/conditionalAccessPolicies/standard/read Ler Acesso Condicional para políticas
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leia as propriedades básicas dos modelos de política de sincronização entre locatários para organização multilocatária
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leia as propriedades básicas dos modelos de política de acesso entre locatários para organização multilocatária
microsoft.directory/deviceLocalCredentials/standard/read Leia todas as propriedades das credenciais da conta de administrador local de backup para dispositivos ingressados no Microsoft Entra, exceto a senha
microsoft.directory/domains/federationConfiguration/standard/read Leia as propriedades padrão da configuração de federação para domínios
microsoft.directory/entitlementManagement/allProperties/read Leia todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leia todos os recursos no Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Ler propriedades de uma solicitação de ingresso de organização multilocatária
microsoft.directory/multiTenantOrganization/standard/read Ler propriedades básicas de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Ler os detalhes da organização de um locatário que participa de uma organização multilocatária
microsoft.directory/multiTenantOrganization/tenants/standard/read Ler propriedades básicas de um locatário que participa de uma organização multilocatária
microsoft.directory/namedLocations/standard/read Leia as propriedades básicas de regras personalizadas que definem locais de rede
microsoft.directory/políticas/proprietários/leitura Leia os proprietários das políticas
microsoft.directory/policies/policyAppliedTo/read Leia a propriedade policies.policyAppliedTo
microsoft.directory/policies/standard/leitura Ler propriedades básicas em políticas
microsoft.directory/privilegedIdentityManagement/allProperties/read Leia todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades dos logs de provisionamento
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas
microsoft.networkAccess/allEntities/allProperties/read Leia todos os aspetos do Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read Leia as propriedades padrão de todos os recursos nos centros de segurança e conformidade
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Leia todas as propriedades de cargas úteis de ataque no Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leia relatórios de simulação de ataque, respostas e treinamento associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Leia todas as propriedades dos modelos de simulação de ataque no Simulador de Ataque
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Suporte de Serviços

Os usuários com essa função podem criar e gerenciar solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365 e exibir o painel de serviços e o centro de mensagens no portal do Azure e no centro de administração do Microsoft 365. Para mais informações, consulte Sobre funções de administrador no centro de administração do Microsoft 365.

Nota

Essa função foi anteriormente nomeada Administrador de Serviço no portal do Azure e no centro de administração do Microsoft 365. Ele foi renomeado para Service Support Administrator para se alinhar com o nome existente na API do Microsoft Graph e no Microsoft Graph PowerShell.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do SharePoint

Os usuários com essa função têm permissões globais no Microsoft SharePoint Online, quando o serviço está presente, bem como a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para mais informações, consulte Sobre funções de administrador no centro de administração do Microsoft 365.

Nota

Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do SharePoint. No portal do Azure, ele é chamado de Administrador do SharePoint.

Nota

Essa função também concede permissões com escopo à API do Microsoft Graph para Microsoft Intune, permitindo o gerenciamento e a configuração de políticas relacionadas aos recursos do SharePoint e do OneDrive.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks Criar e gerenciar a política de proteção do OneDrive no Backup do Microsoft 365
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Leia e configure a sessão de restauração para o OneDrive no Backup do Microsoft 365
microsoft.backup/restorePoints/sites/allProperties/allTasks Gerenciar todos os pontos de restauração associados a sites selecionados do SharePoint no M365 Backup
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Gerencie todos os pontos de restauração associados a contas selecionadas do OneDrive no M365 Backup
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks Criar e gerenciar a política de proteção do SharePoint no Backup do Microsoft 365
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Ler e configurar a sessão de restauração para o SharePoint no Backup do Microsoft 365
microsoft.backup/siteProtectionUnits/allProperties/allTasks Gerenciar sites adicionados à política de proteção do SharePoint no Backup do Microsoft 365
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Gerenciar sites adicionados para restaurar a sessão do SharePoint no Backup do Microsoft 365
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Gerenciar contas adicionadas à política de proteção do OneDrive no Backup do Microsoft 365
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Gerenciar contas adicionadas para restaurar a sessão do OneDrive no Backup do Microsoft 365
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/basic/update Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/create Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/excluir Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/members/update Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/owners/update Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/restore Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função
microsoft.office365.migrations/allEntities/allProperties/allTasks Gerenciar todos os aspetos das migrações do Microsoft 365
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador incorporado do SharePoint

Atribua a função de Administrador Incorporado do SharePoint aos usuários que precisam executar as seguintes tarefas:

  • Execute todas as tarefas usando o PowerShell, a API do Microsoft Graph ou o centro de administração do SharePoint
  • Gerencie, configure e mantenha contêineres do SharePoint Embedded
  • Enumerar e gerenciar contêineres do SharePoint Embedded
  • Enumerar e gerenciar permissões para contêineres do SharePoint Embedded
  • Gerenciar o armazenamento de contêineres do SharePoint Embedded em um locatário
  • Atribuir políticas de segurança e conformidade em contêineres do SharePoint Embedded
  • Aplicar políticas de segurança e conformidade em contêineres do SharePoint Embedded em um locatário

Mais informações

Ações Description
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Gerenciar todos os aspetos dos contêineres do SharePoint Embedded
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Skype for Business

Os usuários com essa função têm permissões globais no Microsoft Skype for Business, quando o serviço está presente, bem como gerenciam atributos de usuário específicos do Skype na ID do Microsoft Entra. Além disso, essa função concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço, além de acessar o Centro de administração do Teams e do Skype for Business. A conta também deve ser licenciada para o Teams ou não pode executar cmdlets do Teams PowerShell. Para obter mais informações, consulte Informações de licenciamento do Skype for Business Online Admin e Teams em Licenciamento de complementos do Skype for Business.

Nota

Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do Lync. No portal do Azure, ele é chamado Skype for Business Administrator.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Equipas

Os usuários nessa função podem gerenciar todos os aspetos da carga de trabalho do Microsoft Teams por meio do centro de administração do Microsoft Teams & Skype for Business e dos respetivos módulos do PowerShell. Isso inclui, entre outras áreas, todas as ferramentas de gestão relacionadas a telefonia, mensagens, reuniões e as próprias equipes. Essa função também concede a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Atualizar pontos de extremidade de nuvem permitidos da política de acesso entre locatários
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leia as propriedades básicas da política de acesso entre locatários padrão
microsoft.directory/crossTenantAccessPolicy/partners/create Criar política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leia as propriedades básicas da política de acesso entre locatários para parceiros
microsoft.directory/crossTenantAccessPolicy/standard/read Leia as propriedades básicas da política de acesso entre locatários
microsoft.directory/externalUserProfiles/basic/update Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams
microsoft.directory/externalUserProfiles/delete Excluir perfis de usuário externo no diretório estendido do Teams
microsoft.directory/externalUserProfiles/padrão/leitura Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/basic/update Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/create Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/excluir Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/members/update Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/owners/update Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/restore Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função
microsoft.directory/pendingExternalUserProfiles/basic/update Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams
microsoft.directory/pendingExternalUserProfiles/create Criar perfis de usuário externo no diretório estendido para o Teams
microsoft.directory/pendingExternalUserProfiles/delete Excluir perfis de usuário externo no diretório estendido do Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams
microsoft.directory/permissionGrantPolicies/standard/read Leia as propriedades padrão das políticas de concessão de permissão
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gerencie todos os recursos no Teams

Administrador de Comunicações do Teams

Os usuários nessa função podem gerenciar aspetos da carga de trabalho do Microsoft Teams relacionados à voz ou telefonia. Isso inclui as ferramentas de gerenciamento para atribuição de número de telefone, políticas de voz e reunião e acesso total ao conjunto de ferramentas de análise de chamadas.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Leia todos os dados no Painel de Qualidade de Chamadas (CQD)
microsoft.teams/meetings/allProperties/allTasks Gerenciar reuniões, incluindo políticas de reunião, configurações e pontes de conferência
microsoft.teams/voice/allProperties/allTasks Gerencie voz, incluindo políticas de chamadas e inventário e atribuição de números de telefone

Engenheiro de Suporte de Comunicação de Equipes

Os usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams & Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no centro de administração do Microsoft Teams & Skype for Business. Os usuários nessa função podem exibir informações completas de registro de chamadas para todos os participantes envolvidos. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Leia todos os dados no Painel de Qualidade de Chamadas (CQD)

Especialista em Suporte de Comunicação de Equipes

Os usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams & Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no centro de administração do Microsoft Teams & Skype for Business. Os usuários nessa função só podem exibir os detalhes do usuário na chamada para o usuário específico que pesquisaram. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/standard/read Ler dados básicos no Painel de Qualidade de Chamadas (CQD)

Administrador de dispositivos do Teams

Os usuários com essa função podem gerenciar dispositivos certificados pelo Teams no centro de administração do Teams. Esta função permite visualizar todos os dispositivos de uma só vez, com a capacidade de pesquisar e filtrar dispositivos. O usuário pode verificar os detalhes de cada dispositivo, incluindo conta logada, marca e modelo do dispositivo. O usuário pode alterar as configurações no dispositivo e atualizar as versões do software. Essa função não concede permissões para verificar a atividade do Teams e a qualidade da chamada do dispositivo.

Ações Description
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/devices/standard/leitura Gerencie todos os aspetos dos dispositivos certificados pelo Teams, incluindo políticas de configuração

Administrador de Telefonia do Teams

Atribua a função de Administrador de Telefonia do Teams aos usuários que precisam executar as seguintes tarefas:

  • Gerencie voz e telefonia, incluindo políticas de chamadas, gerenciamento e atribuição de números de telefone e aplicativos de voz
  • Acesso apenas a relatórios de utilização da Rede Telefónica Pública Comutada (PSTN) a partir do centro de administração do Teams
  • Ver página de perfil de utilizador
  • Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365

Mais informações

Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/authorizationPolicy/standard/read Leia as propriedades padrão da política de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspetos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Leia todos os dados no Painel de Qualidade de Chamadas (CQD)
microsoft.teams/voice/allProperties/allTasks Gerencie voz, incluindo políticas de chamadas e inventário e atribuição de números de telefone

Criador de inquilinos

Atribua a função de Criador de Locatário aos usuários que precisam executar as seguintes tarefas:

  • Crie locatários do Microsoft Entra e do Azure Ative Directory B2C, mesmo que a alternância de criação de locatário esteja desativada nas configurações do usuário

Nota

Os criadores de locatários receberão a função de Administrador Global nos novos locatários que criarem.

Ações Description
microsoft.directory/tenantManagement/tenants/create Criar novos locatários no Microsoft Entra ID

Leitor de relatórios de resumo de uso

Atribua a função Leitor de Relatórios de Resumo de Uso aos usuários que precisam executar as seguintes tarefas no Centro de administração do Microsoft 365:

  • Exibir os relatórios de uso e a pontuação de adoção
  • Leia insights organizacionais, mas não informações de identificação pessoal (PII) dos usuários

Essa função só permite que os usuários exibam dados no nível organizacional com as seguintes exceções:

  • Os usuários membros podem visualizar dados e configurações de gerenciamento de usuários.
  • Os usuários convidados atribuídos a essa função não podem exibir dados e configurações de gerenciamento de usuários.
Ações Description
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Ler relatórios de utilização agregados do Office 365 ao nível do inquilino
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Utilizadores

Ícone de rótulo privilegiado.

Trata-se de um papel privilegiado. Atribua a função de Administrador de Usuários aos usuários que precisam fazer o seguinte:

Permissão Mais informações
Criar utilizadores
Atualizar a maioria das propriedades de usuário para todos os usuários, incluindo todos os administradores Quem pode executar ações sensíveis
Atualizar propriedades confidenciais (incluindo o nome principal do usuário) para alguns usuários Quem pode executar ações sensíveis
Desativar ou ativar alguns utilizadores Quem pode executar ações sensíveis
Excluir ou restaurar alguns usuários Quem pode executar ações sensíveis
Criar e gerenciar visualizações de usuário
Criar e gerir todos os grupos
Atribuir e ler licenças para todos os utilizadores, incluindo todos os administradores
Repor palavras-passe Quem pode repor palavras-passe
Invalidar tokens de atualização Quem pode repor palavras-passe
Atualizar chaves de dispositivo (FIDO)
Atualizar políticas de expiração de senha
Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365
Monitorizar o estado de funcionamento do serviço

Os usuários com essa função não podem fazer o seguinte:

  • Não é possível gerenciar MFA.
  • Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
  • Não é possível gerenciar caixas de correio compartilhadas.
  • Não é possível modificar perguntas de segurança para a operação de redefinição de senha.

Importante

Os usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar a senha de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:

  • Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas no ID do Microsoft Entra e em outros lugares não concedidas aos Administradores de Usuário. Através desse caminho, um administrador de usuário pode ser capaz de assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado, atualizando as credenciais para o aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
  • Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
  • Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender, portal de conformidade Microsoft Purview e sistemas de recursos humanos.
  • Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Ações Description
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço do Azure
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gerenciar revisões de acesso de atribuições de função de aplicativo no Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Leia todas as propriedades das análises de acesso para atribuições de função do Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gerenciar revisões de acesso para atribuições de pacotes de acesso no gerenciamento de direitos
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leia todas as propriedades das análises de acesso para associação a grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis a funções.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Atualize todas as propriedades das revisões de acesso para associação a grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por função.
microsoft.directory/accessReviews/definitions.groups/create Crie revisões de acesso para associação em grupos de Segurança e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Exclua as revisões de acesso para associação aos grupos Segurança e Microsoft 365.
microsoft.directory/contatos/basic/update Atualizar propriedades básicas em contatos
microsoft.directory/contatos/criar Criar contactos
microsoft.directory/contatos/excluir Excluir contatos
microsoft.directory/deletedItems.groups/restore Restaurar grupos excluídos suavemente para o estado original
microsoft.directory/deletedItems.users/restore Restaurar usuários excluídos suavemente para o estado original
microsoft.directory/entitlementManagement/allProperties/allTasks Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra
microsoft.directory/groups/assignLicense Atribuir licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/basic/update Atualizar propriedades básicas em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/classificação/atualização Atualizar a propriedade de classificação em Grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/criar Criar grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/excluir Excluir grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/dynamicMembershipRule/update Atualizar a regra de associação dinâmica em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis de função
microsoft.directory/groups/groupType/update Atualizar propriedades que afetariam o tipo de grupo de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups/members/update Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/onPremWriteBack/update Atualizar grupos do Microsoft Entra para serem gravados novamente no local com o Microsoft Entra Connect
microsoft.directory/groups/owners/update Atualizar proprietários de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar atribuições de licença para licenciamento baseado em grupo
microsoft.directory/groups/restore Restaurar grupos a partir de contêiner excluído por software
microsoft.directory/groups/settings/update Atualizar configurações de grupos
microsoft.directory/groups/visibilidade/atualização Atualizar a propriedade de visibilidade de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir concessões de permissão do OAuth 2.0 e ler e atualizar todas as propriedades
Ícone de rótulo privilegiado.
microsoft.directory/policies/standard/leitura Ler propriedades básicas em políticas
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar atribuições de função principal de serviço
microsoft.directory/users/assignLicense Gerenciar licenças de usuário
microsoft.directory/users/basic/update Atualizar propriedades básicas em usuários
microsoft.directory/users/convertExternalToInternalMemberUser Converter usuário externo em usuário interno
microsoft.directory/users/criar Adicionar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/excluir Eliminar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/disable Desativar usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/enable Ativar utilizadores
Ícone de rótulo privilegiado.
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
Ícone de rótulo privilegiado.
microsoft.directory/users/inviteGuest Convidar utilizadores convidados
microsoft.directory/usuários/gerente/atualização Gestor de atualizações para utilizadores
microsoft.directory/usuários/senha/update Redefinir senhas para todos os usuários
Ícone de rótulo privilegiado.
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/reprocessLicenseAssignment Reprocessar atribuições de licença para usuários
microsoft.directory/users/restore Restaurar utilizadores eliminados
microsoft.directory/usuários/patrocinadores/atualização Atualizar patrocinadores de usuários
microsoft.directory/users/usageLocation/update Atualizar o local de uso dos usuários
microsoft.directory/users/userPrincipalName/update Atualizar Nome Principal do Usuário dos usuários
Ícone de rótulo privilegiado.
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Gerente de Sucesso da Experiência do Usuário

Atribua a função Gerenciador de Sucesso da Experiência do Usuário aos usuários que precisam executar as seguintes tarefas:

  • Leia relatórios de uso em nível organizacional para aplicativos e serviços do Microsoft 365, mas não detalhes do usuário
  • Veja o feedback sobre os produtos da sua organização, os resultados da pesquisa Net Promoter Score (NPS) e as visualizações dos artigos de ajuda para identificar oportunidades de comunicação e treinamento
  • Ler publicações do centro de mensagens e dados de estado de funcionamento do serviço

Mais informações

Ações Description
microsoft.commerce.billing/compras/padrão/leitura Leia os serviços de compra no Centro de Administração M365.
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leia todos os aspetos das Mensagens Organizacionais do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Ler relatórios de utilização agregados do Office 365 ao nível do inquilino
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Visitas Virtuais

Os usuários com essa função podem executar as seguintes tarefas:

  • Gerencie e configure todos os aspetos das Visitas Virtuais em Reservas no centro de administração do Microsoft 365 e no conector EHR do Teams
  • Exibir relatórios de uso de Visitas Virtuais no centro de administração do Teams, no centro de administração do Microsoft 365, no Fabric e no Power BI
  • Exibir recursos e configurações no Centro de administração do Microsoft 365, mas não pode editar nenhuma configuração

As visitas virtuais são uma maneira simples de agendar e gerenciar compromissos on-line e por vídeo para funcionários e participantes. Por exemplo, o relatório de uso pode mostrar como o envio de mensagens de texto SMS antes de compromissos pode reduzir o número de pessoas que não comparecem aos compromissos.

Ações Description
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks Gerencie e compartilhe informações e métricas de Visitas Virtuais de centros de administração ou do aplicativo Visitas Virtuais

Administrador Viva Goals

Atribua a função de Administrador de Metas Viva aos usuários que precisam executar as seguintes tarefas:

  • Gerenciar e configurar todos os aspetos do aplicativo Microsoft Viva Goals
  • Definir configurações de administrador do Microsoft Viva Goals
  • Leia as informações do locatário do Microsoft Entra
  • Monitorar a integridade do serviço Microsoft 365
  • Criar e gerenciar solicitações de serviço do Microsoft 365

Para obter mais informações, consulte Funções e permissões no Viva Goals e Introdução ao Microsoft Viva Goals.

Ações Description
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Gerencie todos os aspetos das Metas do Microsoft Viva

Administrador Viva Pulse

Atribua a função de Administrador do Viva Pulse aos usuários que precisam executar as seguintes tarefas:

  • Leia e configure todas as configurações do Viva Pulse
  • Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
  • Ler e configurar o Estado de Funcionamento do Serviço do Azure
  • Criar e gerenciar tíquetes de suporte do Azure
  • Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
  • Ler relatórios de utilização no centro de administração do Microsoft 365

Para obter mais informações, consulte Atribuir um administrador do Viva Pulse no centro de administração do Microsoft 365.

Ações Description
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Gerencie todos os aspetos do Microsoft Viva Pulse

Administrador do Windows 365

Os usuários com essa função têm permissões globais nos recursos do Windows 365, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar políticas, bem como criar e gerenciar grupos.

Essa função pode criar e gerenciar grupos de segurança, mas não tem direitos de administrador sobre grupos do Microsoft 365. Isso significa que os administradores não podem atualizar proprietários ou associações de grupos do Microsoft 365 na organização. No entanto, eles podem gerenciar o grupo do Microsoft 365 que criam, que faz parte de seus privilégios de usuário final. Assim, qualquer grupo do Microsoft 365 (não grupo de segurança) que eles criam é contado em sua cota de 250.

Atribua a função de Administrador do Windows 365 aos usuários que precisam executar as seguintes tarefas:

  • Gerir computadores na nuvem do Windows 365 no Microsoft Intune
  • Registrar e gerenciar dispositivos no Microsoft Entra ID, incluindo a atribuição de usuários e políticas
  • Criar e gerenciar grupos de segurança, mas não grupos atribuíveis a funções
  • Ver propriedades básicas no centro de administração do Microsoft 365
  • Ler relatórios de utilização no centro de administração do Microsoft 365
  • Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365
Ações Description
microsoft.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte do Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gerenciar todos os aspetos do Windows 365
microsoft.directory/deletedItems.devices/delete Excluir permanentemente dispositivos, que não podem mais ser restaurados
microsoft.directory/deletedItems.devices/restore Restaurar dispositivos apagados suaves para o estado original
microsoft.directory/deviceManagementPolicies/standard/read Leia as propriedades padrão sobre gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis
microsoft.directory/deviceRegistrationPolicy/standard/read Leia as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/devices/basic/update Atualizar propriedades básicas em dispositivos
microsoft.directory/devices/criar Criar dispositivos (inscrever-se no Microsoft Entra ID)
microsoft.directory/devices/excluir Excluir dispositivos do Microsoft Entra ID
microsoft.directory/devices/disable Desativar dispositivos no Microsoft Entra ID
microsoft.directory/devices/enable Ativar dispositivos no Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Atualizar as propriedades extensionAttribute1 para extensionAttribute5 em dispositivos
microsoft.directory/devices/extensionAttributeSet2/update Atualize as propriedades extensionAttribute6 para extensionAttribute10 em dispositivos
microsoft.directory/devices/extensionAttributeSet3/update Atualize as propriedades extensionAttribute11 para extensionAttribute15 em dispositivos
microsoft.directory/devices/registeredOwners/update Atualizar proprietários registados de dispositivos
microsoft.directory/devices/registeredUsers/update Atualizar utilizadores registados de dispositivos
microsoft.directory/groups.security/basic/update Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/classificação/atualização Atualizar a propriedade de classificação em Grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/criar Criar grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/excluir Excluir grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/dynamicMembershipRule/update Atualizar a regra de associação dinâmica em grupos de segurança, excluindo grupos atribuíveis por função
microsoft.directory/groups.security/members/update Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/owners/update Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.directory/groups.security/visibilidade/atualização Atualizar a propriedade visibility em Grupos de segurança, excluindo grupos atribuíveis a funções
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Implantação do Windows Update

Os usuários nessa função podem criar e gerenciar todos os aspetos das implantações do Windows Update por meio do serviço de implantação do Windows Update for Business. O serviço de implantação permite que os usuários definam configurações para quando e como as atualizações são implantadas e especifiquem quais atualizações são oferecidas a grupos de dispositivos em seu locatário. Ele também permite que os usuários monitorem o progresso da atualização.

Ações Description
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Ler e configurar todos os aspetos do Windows Update Service

Administrador do Yammer

Atribua a função de Administrador do Yammer aos usuários que precisam executar as seguintes tarefas:

  • Gerenciar todos os aspetos do Yammer
  • Criar, gerenciar e restaurar grupos do Microsoft 365, mas não grupos atribuíveis por função
  • Exibir os membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis de função
  • Ler relatórios de utilização no centro de administração do Microsoft 365
  • Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365
  • Ver anúncios no Centro de mensagens, mas não anúncios de segurança
  • Ver estado de funcionamento do serviço

Mais informações

Ações Description
microsoft.directory/groups/hiddenMembers/read Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/basic/update Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/create Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/excluir Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/members/update Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/owners/update Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups.unified/restore Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função
microsoft.office365.messageCenter/mensagens/leitura Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
microsoft.office365.network/performance/allProperties/read Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler relatórios de utilização do Office 365
microsoft.office365.webPortal/allEntities/standard/read Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gerenciar todos os aspetos do Yammer

Funções preteridas

As seguintes funções não devem ser usadas. Eles foram preteridos e serão removidos do Microsoft Entra ID no futuro.

  • Administrador de Licenças AdHoc
  • Adesão ao dispositivo
  • Gerenciadores de dispositivos
  • Utilizadores de dispositivos
  • Criador de usuário verificado por e-mail
  • Administrador de Caixa de Correio
  • Ingresso no dispositivo do local de trabalho

Funções não mostradas no portal

Nem todas as funções retornadas pelo PowerShell ou pela API do MS Graph são visíveis no portal do Azure. A tabela a seguir organiza essas diferenças.

Nome da API Nome do portal do Azure Notas
Adesão ao dispositivo Preterido Documentação de funções preteridas
Gerenciadores de dispositivos Preterido Documentação de funções preteridas
Utilizadores de dispositivos Preterido Documentação de funções preteridas
Contas de sincronização de diretórios Não mostrado porque não deve ser usado Documentação de Contas de Sincronização de Diretórios
Utilizador Convidado Não mostrado porque não pode ser usado ND
Suporte de nível 1 para parceiros Não mostrado porque não deve ser usado Documentação de suporte do Partner Tier1
Suporte de nível 2 para parceiros Não mostrado porque não deve ser usado Documentação de suporte do Partner Tier2
Usuário convidado restrito Não mostrado porque não pode ser usado ND
User Não mostrado porque não pode ser usado ND
Ingresso no dispositivo do local de trabalho Preterido Documentação de funções preteridas

Próximos passos