Funções incorporadas do Microsoft Entra
Na ID do Microsoft Entra, se outro administrador ou não administrador precisar gerenciar os recursos do Microsoft Entra, atribua-lhes uma função do Microsoft Entra que forneça as permissões necessárias. Por exemplo, você pode atribuir funções para permitir adicionar ou alterar usuários, redefinir senhas de usuário, gerenciar licenças de usuário ou gerenciar nomes de domínio.
Este artigo lista as funções internas do Microsoft Entra que você pode atribuir para permitir o gerenciamento de recursos do Microsoft Entra. Para obter informações sobre a atribuição de funções, veja Atribuir funções do Microsoft Entra aos utilizadores. Se você estiver procurando funções para gerenciar recursos do Azure, consulte Funções internas do Azure.
Todas as funções
Função | Description | ID do Modelo |
---|---|---|
Administrador de IA | Gerencie todos os aspetos do Microsoft 365 Copilot e serviços empresariais relacionados à IA no Microsoft 365. | d2562ede-74db-457e-a7b6-544e236ebb61 |
Administrador de Aplicações | Pode criar e gerir todos os aspetos de registos de aplicações e aplicações empresariais. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Programador de Aplicações | Pode criar registos de aplicações independentemente da definição 'Os utilizadores podem registar aplicações'. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Autor da carga útil de ataque | Pode criar cargas úteis de ataque que um administrador pode iniciar mais tarde. | 9C6DF0F2-1E7C-4DC3-B195-66DFBD24AA8F |
Administrador de Simulação de Ataque | Pode criar e gerenciar todos os aspetos de campanhas de simulação de ataque. | C430B396-E693-46CC-96F3-DB01BF8BB62A |
Administrador de Atribuição de Atributos | Atribua chaves e valores de atributos de segurança personalizados a objetos do Microsoft Entra suportados. | 58A13EA3-C632-46AE-9EE0-9C0D43CD7F3D |
Leitor de atribuição de atributos | Leia chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Administrador de Definição de Atributo | Definir e gerenciar a definição de atributos de segurança personalizados. | 8424C6F0-A189-499E-BBD0-26C1753C96D4 |
Leitor de definição de atributo | Leia a definição de atributos de segurança personalizados. | 1D336D2C-4AE8-42EF-9711-B3604CE3FC2C |
Administrador de log de atributos | Leia os logs de auditoria e defina as configurações de diagnóstico para eventos relacionados a atributos de segurança personalizados. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Leitor de log de atributos | Leia logs de auditoria relacionados a atributos de segurança personalizados. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
Administrador de autenticação | Pode acessar para exibir, definir e redefinir informações de método de autenticação para qualquer usuário não administrador. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Administrador de Extensibilidade de Autenticação | Personalize as experiências de entrada e inscrição para usuários criando e gerenciando extensões de autenticação personalizadas. |
25A516ED-2FA0-40EA-A2D0-12923A21473A |
Administrador de políticas de autenticação | Pode criar e gerenciar a política de métodos de autenticação, configurações de MFA em todo o locatário, política de proteção por senha e credenciais verificáveis. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Administrador de DevOps do Azure | Pode gerenciar políticas e configurações do Azure DevOps. | E3973BDF-4987-49AE-837A-BA8E231C7286 |
Administrador de Proteção de Informações do Azure | Pode gerir todos os aspetos do produto Azure Information Protection. | 7495FDC4-34C4-4D15-A289-98788CE399FD |
Administrador de conjuntos de chaves IEF B2C | Pode gerenciar segredos para federação e criptografia no Identity Experience Framework (IEF). |
AAF43236-0C0D-4D5F-883A-6955382AC081 |
Administrador de Políticas B2C IEF | Pode criar e gerenciar políticas de estrutura de confiança no Identity Experience Framework (IEF). | 3EDAF663-341E-4475-9F94-5C398EF6C070 |
Administrador de Faturação | Pode executar tarefas de faturação comuns, como atualizar as informações de pagamento. | B0F54661-2D74-4C50-AFA3-1EC803F12EFE |
Administrador de Segurança de Aplicações na Nuvem | Pode gerenciar todos os aspetos do produto Defender for Cloud Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Administrador de Aplicações na Cloud | Pode criar e gerir todos os aspetos de registos de aplicações e aplicações empresariais, exceto o Proxy de Aplicações. |
158C047A-C907-4556-B7EF-446551A6B5F7 |
Administrador de dispositivos na nuvem | Acesso limitado para gerenciar dispositivos no Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Administrador de conformidade | Pode ler e gerenciar a configuração e os relatórios de conformidade no Microsoft Entra ID e no Microsoft 365. | 17315797-102D-40B4-93E0-432062CACA18 |
Administrador de dados de conformidade | Cria e gerencia conteúdo de conformidade. | E6D1A23A-DA11-4BE4-9570-BEFC86D067A7 |
Administrador de Acesso Condicional | Pode gerenciar recursos de Acesso Condicional. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Aprovador de Acesso ao Customer LockBox | Pode aprovar solicitações de suporte da Microsoft para acessar dados organizacionais do cliente. | 5C4F9DCD-47DC-4CF7-8C9A-9E4207CBFC91 |
Administrador do Desktop Analytics | Pode acessar e gerenciar ferramentas e serviços de gerenciamento de desktop. | 38A96431-2BDF-4B4C-8B6E-5D3D8ABAC1A4 |
Leitores de Diretório | É capaz de ler informações básicas do diretório. Comumente usado para conceder acesso de leitura de diretório a aplicativos e convidados. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
Contas de sincronização de diretórios | Usado apenas pelo serviço Microsoft Entra Connect. | D29B2B05-8046-44BA-8758-1E26182FCF32 |
Escritores de Diretórios | É capaz de ler e escrever informações básicas de diretório. Para conceder acesso a aplicações, não se destina a utilizadores. |
9360Feb5-F418-4BAA-8175-E2A00BAC4301 |
Administrador de Nomes de Domínio | Pode gerir nomes de domínio na nuvem e no local. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Administrador do Dynamics 365 | Pode gerir todos os aspetos do produto Dynamics 365. | 44367163-EBA1-44C3-98AF-F5787879F96A |
Administrador do Dynamics 365 Business Central | Acesse e execute todas as tarefas administrativas em ambientes do Dynamics 365 Business Central. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Administrador de Borda | Gerencie todos os aspetos do Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Administrador do Exchange | Pode gerir todos os aspetos do produto Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Administrador de destinatários do Exchange | Pode criar ou atualizar destinatários do Exchange Online dentro da organização do Exchange Online. | 31392FFB-586C-42D1-9346-E59415A2CC4E |
Administrador de fluxo de usuário de ID externo | Pode criar e gerenciar todos os aspetos dos fluxos de usuários. | 6E591065-9BAD-43ED-90F3-E9424366D2F0 |
Administrador de Atributos de Fluxo de Usuário de ID Externo | Pode criar e gerenciar o esquema de atributos disponível para todos os fluxos de usuário. | 0F971EEA-41EB-4569-A71E-57BB8A3EFF1E |
Administrador de Provedor de Identidade Externo | Pode configurar provedores de identidade para uso na federação direta. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Administrador de malha | Pode gerenciar todos os aspetos dos produtos Fabric e Power BI. | A9EA8996-122F-4C74-9520-8EDCD192826C |
Administrador Global do | Pode gerenciar todos os aspetos da ID do Microsoft Entra e dos serviços da Microsoft que usam identidades do Microsoft Entra. |
62E90394-69F5-4237-9190-012177145E10 |
Leitor Global | Pode ler tudo o que um Administrador Global pode, mas não atualizar nada. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Administrador de Acesso Seguro Global | Crie e gerencie todos os aspetos do Microsoft Entra Internet Access e do Microsoft Entra Private Access, incluindo o gerenciamento de acesso a pontos de extremidade públicos e privados. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Administrador de Grupos | Os membros dessa função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, e exibir relatórios de atividade e auditoria de grupos. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Convidado Inviter | Pode convidar utilizadores convidados independentemente da definição "Os membros podem convidar convidados". | 95E79109-95C0-4D8E-AEE3-D01ACCF2D47B |
Administrador do Helpdesk | Pode repor palavras-passe para não administradores e Administradores de Suporte Técnico. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Administrador de identidade híbrida | Gerencie o provisionamento de nuvem do Ative Directory para o Microsoft Entra, o Microsoft Entra Connect, a autenticação de passagem (PTA), a sincronização de hash de senha (PHS), o logon único contínuo (SSO contínuo) e as configurações de federação. Não tem acesso para gerenciar o Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Administrador de Governança de Identidade | Gerencie o acesso usando o Microsoft Entra ID para cenários de governança de identidade. | 45D8D3C5-C802-45C6-B32A-1D70B5E1E86E |
Administrador de Insights | Tem acesso administrativo no aplicativo Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Analista de Insights | Acesse os recursos analíticos do Microsoft Viva Insights e execute consultas personalizadas. | 25DF335F-86EB-4119-B717-0FF02DE207E9 |
Líder de Negócios Insights | Pode ver e partilhar dashboards e informações através da aplicação Microsoft 365 Insights. | 31E939AD-9672-4796-9C2E-873181342D2D |
Administrador do Intune | Pode gerir todos os aspetos do produto Intune. |
3A2C62DB-5318-420D-8D74-23AFFEE5D9D5 |
Kaizala Administrador | Pode gerenciar configurações para o Microsoft Kaizala. | 74EF975B-6605-40AF-A5D2-B9539D836353 |
Administrador do Conhecimento | Pode configurar conhecimento, aprendizagem e outros recursos inteligentes. | B5A8DCF3-09D5-43A9-A639-8E29EF291470 |
Gestor de Conhecimento | É capaz de organizar, criar, gerir e promover tópicos e conhecimento. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Administrador de Licenças | Pode gerenciar licenças de produtos em usuários e grupos. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Administrador de fluxos de trabalho de ciclo de vida | Crie e gerencie todos os aspetos de fluxos de trabalho e tarefas associadas aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID. |
59D46F88-662B-457B-BCEB-5C3809E5908F |
Leitor de Privacidade do Centro de Mensagens | Pode ler mensagens de segurança e atualizações apenas no Centro de Mensagens do Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Leitor do Centro de Mensagens | Pode ler mensagens e atualizações para a sua organização apenas no Centro de Mensagens do Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Administrador de migração do Microsoft 365 | Execute todas as funcionalidades de migração para migrar conteúdo para o Microsoft 365 usando o Gerenciador de Migração. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Administrador Local de Dispositivo Ingressado no Microsoft Entra | Os usuários atribuídos a essa função são adicionados ao grupo de administradores locais em dispositivos ingressados do Microsoft Entra. | 9F06204D-73C1-4D4C-880A-6EDB90606FD8 |
Administrador de Garantia de Hardware da Microsoft | Crie e gerencie todos os aspetos de reclamações de garantia e direitos para hardware fabricado pela Microsoft, como Surface e HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Especialista em Garantia de Hardware Microsoft | Crie e leia reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e o HoloLens. | 281FE777-FB20-4FBB-B7A3-CCEBCE5B0D96 |
Administrador de Comércio Moderno | Pode gerir compras comerciais para uma empresa, departamento ou equipa. | D24AEF57-1500-4070-84DB-2666F29CF966 |
Administrador de Redes | Pode gerenciar locais de rede e analisar informações de design de rede corporativa para aplicativos Microsoft 365 Software as a Service. | d37c8cama-0711-4417-ba38-b4abe66ce4c2 |
Administrador de Aplicativos do Office | Pode gerir os serviços na nuvem das aplicações do Office, incluindo a gestão de políticas e definições, e gerir a capacidade de selecionar, anular a seleção e publicar conteúdo de funcionalidades "novidades" nos dispositivos dos utilizadores finais. | 2B745BDF-0803-4D80-AA65-822C4493DAAC |
Administrador de Branding Organizacional | Gerencie todos os aspetos da marca organizacional em um locatário. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Aprovador de Mensagens Organizacionais | Revise, aprove ou rejeite novas mensagens organizacionais para entrega no centro de administração do Microsoft 365 antes de serem enviadas aos usuários. | E48398E2-F4BB-4074-8F31-4586725E205B |
Gravador de mensagens organizacionais | Escreva, publique, gerencie e revise as mensagens organizacionais para usuários finais por meio das superfícies de produtos da Microsoft. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Suporte de nível 1 do parceiro | Não utilizar - não se destina a uso geral. |
4BA39CA4-527C-499A-B93D-D9B492C50246 |
Suporte de nível 2 do parceiro | Não utilizar - não se destina a uso geral. |
E00E864A-17C5-4A4B-9C06-F5B95A8D5BD8 |
Administrador de senha | Pode redefinir senhas para não-administradores e administradores de senha. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Administrador de Gerenciamento de Permissões | Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra. | AF78DC32-CF4D-46F9-BA4E-4428526346B5 |
Administrador da Power Platform | Pode criar e gerenciar todos os aspetos do Microsoft Dynamics 365, Power Apps e Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Administrador de Impressoras | Pode gerenciar todos os aspetos de impressoras e conectores de impressoras. | 644EF478-E28F-4E28-B9DC-3FDDE9AA0B1F |
Técnico de Impressão | Pode registrar e cancelar o registro de impressoras e atualizar o status da impressora. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Administrador de autenticação privilegiada | Pode acessar para visualizar, definir e redefinir informações de método de autenticação para qualquer usuário (administrador ou não-administrador). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Administrador de Funções com Privilégios | Pode gerenciar atribuições de função no Microsoft Entra ID e todos os aspetos do Privileged Identity Management. |
E8611ab8-c189-46e8-94e1-60213ab1f814 |
Leitor de relatórios | Pode ler relatórios de entrada e auditoria. | 4A5D8F65-41DA-4DE4-8968-E035B65339CF |
Administrador de Pesquisa | Pode criar e gerenciar todos os aspetos das configurações de Pesquisa da Microsoft. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Editor de Pesquisa | Pode criar e gerenciar o conteúdo editorial, como favoritos, Q e As, locais, planta baixa. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Administrador de Segurança | Pode ler informações e relatórios de segurança e gerenciar a configuração no Microsoft Entra ID e no Office 365. |
194AE4CB-B126-40B2-BD5B-6091B380977D |
Operador de Segurança | Cria e gerencia eventos de segurança. |
5F2222B1-57C3-48BA-8AD5-D4759F1FDE6F |
Leitor de Segurança | Pode ler informações de segurança e relatórios no Microsoft Entra ID e no Office 365. |
5D6B6BB7-DE71-4623-B4AF-96380A352509 |
Administrador de Suporte de Serviços | Pode ler informações de integridade do serviço e gerenciar tíquetes de suporte. | f023fd81-a637-4b56-95fd-791ac0226033 |
Administrador do SharePoint | Pode gerenciar todos os aspetos do serviço do SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
Administrador incorporado do SharePoint | Gerencie todos os aspetos dos contêineres do SharePoint Embedded. | 1A7D78B6-429F-476B-B8EB-35FB715FFFD4 |
Administrador do Skype for Business | Pode gerenciar todos os aspetos do produto Skype for Business. | 75941009-915a-4869-abe7-691bff18279e |
Administrador de Equipas | Pode gerenciar o serviço Microsoft Teams. | 69091246-20E8-4A56-AA4D-066075B2A7A8 |
Administrador de Comunicações do Teams | Pode gerenciar recursos de chamadas e reuniões no serviço Microsoft Teams. | BAF37B3A-610E-45DA-9E62-D9D1E5E8914B |
Engenheiro de Suporte de Comunicação de Equipes | Pode solucionar problemas de comunicação no Teams usando ferramentas avançadas. | f70938a0-fc10-4177-9e90-2178f8765737 |
Especialista em Suporte de Comunicação de Equipes | Pode solucionar problemas de comunicação no Teams usando ferramentas básicas. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Administrador de dispositivos do Teams | Pode executar tarefas relacionadas ao gerenciamento em dispositivos certificados pelo Teams. | 3D762C5A-1B6C-493F-843E-55A3B42923D4 |
Administrador de Telefonia do Teams | Gerencie recursos de voz e telefonia e solucione problemas de comunicação no serviço Microsoft Teams. | AA38014F-0993-46E9-9B45-30501A20909D |
Criador de inquilinos | Crie novos locatários do Microsoft Entra ou do Azure AD B2C. | 112CA1A2-15AD-4102-995E-45B0BC479A6A |
Leitor de relatórios de resumo de uso | Leia Relatórios de uso e Pontuação de adoção, mas não pode acessar os detalhes do usuário. | 75934031-6C7E-415A-99D7-48DBD49E875E |
Administrador de Utilizadores | Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Gerente de Sucesso da Experiência do Usuário | Veja comentários sobre produtos, resultados de pesquisas e relatórios para encontrar oportunidades de treinamento e comunicação. | 27460883-1DF1-4691-B032-3B79643E5E63 |
Administrador de Visitas Virtuais | Gerencie e compartilhe informações e métricas de Visitas Virtuais de centros de administração ou do aplicativo Visitas Virtuais. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Administrador Viva Goals | Gerencie e configure todos os aspetos do Microsoft Viva Goals. | 92B086B3-E367-4EF2-B869-1DE128FB986E |
Administrador Viva Pulse | Pode gerenciar todas as configurações do aplicativo Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Administrador do Windows 365 | Pode provisionar e gerenciar todos os aspetos de Cloud PCs. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Administrador de Implantação do Windows Update | Pode criar e gerenciar todos os aspetos das implantações do Windows Update por meio do serviço de implantação do Windows Update for Business. | 32696413-001A-46AE-978C-CE0F6B3620D2 |
Administrador do Yammer | Gerencie todos os aspetos do serviço Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrador de IA
Atribua a função de Administrador de IA aos usuários que precisam executar as seguintes tarefas:
- Gerenciar todos os aspetos do Microsoft 365 Copilot
- Gerencie serviços corporativos relacionados à IA, extensibilidade e agentes copiloto na página Aplicativos integrados no centro de administração do Microsoft 365
- Aprovar e publicar agentes copiloto de linha de negócios
- Permitir que os usuários instalem um aplicativo ou instalem um aplicativo para usuários na organização se o aplicativo não exigir permissão
- Ler e configurar painéis de integridade do serviço Azure e Microsoft 365
- Visualize relatórios de uso, insights de adoção e insights organizacionais
- Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.office365.copilot/allEntities/allProperties/allTasks | Criar e gerenciar todas as configurações para o Microsoft 365 Copilot |
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.search/content/gerenciar | Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador da Aplicação
Trata-se de um papel privilegiado. Os utilizadores nesta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e definições do proxy de aplicações. Observe que os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativos ou aplicativos corporativos.
Essa função também concede a capacidade de consentir permissões delegadas e permissões de aplicativo, com exceção das permissões de aplicativo para o Azure AD Graph e o Microsoft Graph.
Importante
Essa exceção significa que você ainda pode consentir com permissões de aplicativos para outros aplicativos (por exemplo, outros aplicativos da Microsoft, aplicativos de terceiros ou aplicativos que você registrou). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas conceder (ou seja, consentir) essas permissões requer um administrador mais privilegiado, como o Privileged Role Administrator.
Essa função concede a capacidade de gerenciar credenciais de aplicativo. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usá-las para representar a identidade do aplicativo. Se a identidade do aplicativo tiver recebido acesso a um recurso, como a capacidade de criar ou atualizar Usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto representa o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio sobre o que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de Administrador de Aplicativos dá a ele a capacidade de representar a identidade de um aplicativo.
Programador de Aplicações
Trata-se de um papel privilegiado. Os usuários nessa função podem criar registros de aplicativos quando a configuração "Usuários podem registrar aplicativos" estiver definida como Não. Essa função também concede permissão para consentir em nome próprio quando a configuração "Usuários podem consentir que aplicativos acessem dados da empresa em seu nome" está definida como Não. Os utilizadores atribuídos a esta função são adicionados como proprietários ao criar novos registos de aplicações.
Autor da carga útil de ataque
Os usuários nessa função podem criar cargas úteis de ataque, mas não realmente iniciá-las ou programá-las. As cargas úteis de ataque ficam então disponíveis para todos os administradores no locatário que podem usá-las para criar uma simulação.
Para obter mais informações, consulte Permissões do Microsoft Defender para Office 365 no portal do Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.
Ações | Description |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Crie e gerencie cargas úteis de ataque no Attack Simulator |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leia relatórios de simulação de ataque, respostas e treinamento associado |
Administrador de Simulação de Ataque
Os usuários nessa função podem criar e gerenciar todos os aspetos da criação de simulação de ataque, lançamento/agendamento de uma simulação e revisão dos resultados da simulação. Os membros dessa função têm esse acesso para todas as simulações no locatário.
Para obter mais informações, consulte Permissões do Microsoft Defender para Office 365 no portal do Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.
Ações | Description |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Crie e gerencie cargas úteis de ataque no Attack Simulator |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leia relatórios de simulação de ataque, respostas e treinamento associado |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Crie e gerencie modelos de simulação de ataque no Attack Simulator |
Administrador de Atribuição de Atributos
Os usuários com essa função podem atribuir e remover chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados, como usuários, entidades de serviço e dispositivos.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.directory/attributeSets/allProperties/read | Leia todas as propriedades de conjuntos de atributos |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para identidades gerenciadas do Microsoft Entra |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para identidades gerenciadas do Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leia todas as propriedades das definições de atributos de segurança personalizados |
microsoft.directory/devices/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para dispositivos |
microsoft.directory/devices/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para dispositivos |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para entidades de serviço |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para entidades de serviço |
microsoft.directory/users/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para usuários |
microsoft.directory/users/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para usuários |
Leitor de atribuição de atributos
Os usuários com essa função podem ler chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.directory/attributeSets/allProperties/read | Leia todas as propriedades de conjuntos de atributos |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para identidades gerenciadas do Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leia todas as propriedades das definições de atributos de segurança personalizados |
microsoft.directory/devices/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para dispositivos |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para entidades de serviço |
microsoft.directory/users/customSecurityAttributes/read | Ler valores de atributos de segurança personalizados para usuários |
Administrador de Definição de Atributo
Os usuários com essa função podem definir um conjunto válido de atributos de segurança personalizados que podem ser atribuídos a objetos do Microsoft Entra suportados. Essa função também pode ativar e desativar atributos de segurança personalizados.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Gerenciar todos os aspetos dos conjuntos de atributos |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Gerenciar todos os aspetos das definições de atributos de segurança personalizados |
Leitor de definição de atributo
Os usuários com essa função podem ler a definição de atributos de segurança personalizados.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.directory/attributeSets/allProperties/read | Leia todas as propriedades de conjuntos de atributos |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leia todas as propriedades das definições de atributos de segurança personalizados |
Administrador de log de atributos
Atribua a função Leitor de Log de Atributos aos usuários que precisam executar as seguintes tarefas:
- Ler logs de auditoria para alterações de valor de atributo de segurança personalizado
- Ler logs de auditoria para alterações e atribuições de definição de atributo de segurança personalizado
- Definir configurações de diagnóstico para atributos de segurança personalizados
Os usuários com essa função não podem ler logs de auditoria para outros eventos.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Configurar todos os aspetos das configurações de diagnóstico de atributos de segurança personalizados |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Ler logs de auditoria relacionados a atributos de segurança personalizados |
Leitor de log de atributos
Atribua a função Leitor de Log de Atributos aos usuários que precisam executar as seguintes tarefas:
- Ler logs de auditoria para alterações de valor de atributo de segurança personalizado
- Ler logs de auditoria para alterações e atribuições de definição de atributo de segurança personalizado
Os usuários com essa função não podem executar as seguintes tarefas:
- Definir configurações de diagnóstico para atributos de segurança personalizados
- Ler logs de auditoria para outros eventos
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Ler logs de auditoria relacionados a atributos de segurança personalizados |
Administrador de Autenticação
Trata-se de um papel privilegiado. Atribua a função de Administrador de Autenticação aos usuários que precisam fazer o seguinte:
- Defina ou redefina qualquer método de autenticação (incluindo senhas) para não administradores e algumas funções. Para obter uma lista das funções que um Administrador de Autenticação pode ler ou atualizar métodos de autenticação, consulte Quem pode redefinir senhas.
- Exija que os usuários que não são administradores ou atribuídos a algumas funções se registrem novamente em relação às credenciais não senhas existentes (por exemplo, MFA ou FIDO) e também pode revogar o MFA de memória no dispositivo, que solicita MFA no próximo login.
- Gerencie as configurações de MFA no portal de gerenciamento de MFA herdado.
- Execute ações confidenciais para alguns usuários. Para obter mais informações, consulte Quem pode executar ações confidenciais.
- Crie e gerencie tíquetes de suporte no Azure e no centro de administração do Microsoft 365.
Os usuários com essa função não podem fazer o seguinte:
- Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
- Não é possível gerenciar tokens OATH de hardware.
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
Função | Gerir os métodos de autenticação do utilizador | Ativar a MFA por utilizador | Gerir as definições da MFA | Gerir a política do método de autenticação | Gerir a política de proteção de palavras-passe | Atualizar as propriedades confidenciais | Eliminar e restaurar utilizadores |
---|---|---|---|---|---|---|---|
Administrador de autenticação | Sim para alguns utilizadores | Sim para alguns utilizadores | Sim | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Administrador de autenticação privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores | Sim para todos os utilizadores |
Administrador de políticas de autenticação | No | Sim | Sim | Sim | Sim | No | No |
Administrador de Utilizadores | No | No | No | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Importante
Os usuários com essa função podem alterar as credenciais de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar as credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:
- Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares não concedidos aos Administradores de Autenticação. Por meio desse caminho, um administrador de autenticação pode assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
- Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender, portal de conformidade Microsoft Purview e sistemas de recursos humanos.
- Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Administrador de Extensibilidade de Autenticação
Trata-se de um papel privilegiado. Atribua a função de Administrador de Extensibilidade de Autenticação aos usuários que precisam executar as seguintes tarefas:
- Crie e gerencie todos os aspetos das extensões de autenticação personalizadas.
Os usuários com essa função não podem fazer o seguinte:
- Não é possível atribuir extensões de autenticação personalizadas a aplicativos para modificar as experiências de autenticação e não pode consentir com permissões de aplicativo ou criar registros de aplicativo associados à extensão de autenticação personalizada. Em vez disso, você deve usar as funções de Administrador de Aplicativos, Desenvolvedor de Aplicativos ou Administrador de Aplicativos na Nuvem.
Uma extensão de autenticação personalizada é um ponto de extremidade de API criado por um desenvolvedor para eventos de autenticação e está registrado no Microsoft Entra ID. Os administradores e proprietários de aplicativos podem usar extensões de autenticação personalizadas para personalizar as experiências de autenticação de seus aplicativos, como entrar e se inscrever ou redefinir senha.
Ações | Description |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Criar e gerenciar extensões de autenticação personalizadas |
Administrador da Política de Autenticação
Atribua a função de Administrador de Política de Autenticação aos usuários que precisam fazer o seguinte:
- Configure a política de métodos de autenticação, as configurações de MFA em todo o locatário e a política de proteção por senha que determinam quais métodos cada usuário pode registrar e usar.
- Gerenciar configurações de proteção por senha: configurações inteligentes de bloqueio e atualização da lista de senhas proibidas personalizadas.
- Gerencie as configurações de MFA no portal de gerenciamento de MFA herdado.
- Crie e gerencie credenciais verificáveis.
- Crie e gerencie tíquetes de suporte do Azure.
Os usuários com essa função não podem fazer o seguinte:
- Não é possível atualizar propriedades confidenciais. Para obter mais informações, consulte Quem pode executar ações confidenciais.
- Não é possível excluir ou restaurar usuários. Para obter mais informações, consulte Quem pode executar ações confidenciais.
- Não é possível gerenciar tokens OATH de hardware.
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
Função | Gerir os métodos de autenticação do utilizador | Ativar a MFA por utilizador | Gerir as definições da MFA | Gerir a política do método de autenticação | Gerir a política de proteção de palavras-passe | Atualizar as propriedades confidenciais | Eliminar e restaurar utilizadores |
---|---|---|---|---|---|---|---|
Administrador de autenticação | Sim para alguns utilizadores | Sim para alguns utilizadores | Sim | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Administrador de autenticação privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores | Sim para todos os utilizadores |
Administrador de políticas de autenticação | No | Sim | Sim | Sim | Sim | No | No |
Administrador de Utilizadores | No | No | No | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Ações | Description |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/organization/strongAuthentication/allTasks | Gerenciar todos os aspetos das propriedades de autenticação forte de uma organização |
microsoft.directory/userCredentialPolicies/basic/update | Atualizar políticas básicas para usuários |
microsoft.directory/userCredentialPolicies/create | Criar políticas de credenciais para usuários |
microsoft.directory/userCredentialPolicies/excluir | Excluir políticas de credenciais para usuários |
microsoft.directory/userCredentialPolicies/owners/read | Ler proprietários de políticas de credenciais para usuários |
microsoft.directory/userCredentialPolicies/owners/update | Atualizar proprietários de políticas de credenciais para usuários |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Leia policy.appliesTo link de navegação |
microsoft.directory/userCredentialPolicies/padrão/leitura | Ler propriedades padrão de políticas de credenciais para usuários |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Atualizar propriedade policy.isOrganizationDefault |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Ler a configuração necessária para criar e gerenciar credenciais verificáveis |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Ler um contrato de credencial verificável |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Atualizar um contrato de credencial verificável |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Leia um cartão de credencial verificável |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revogar | Revogar um cartão de credencial verificável |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Criar um contrato de credencial verificável |
microsoft.directory/verifiableCredentials/configuration/create | Criar a configuração necessária para criar e gerenciar credenciais verificáveis |
microsoft.directory/verifiableCredentials/configuration/delete | Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis |
Administrador de DevOps do Azure
Os usuários com essa função podem gerenciar todas as políticas de DevOps do Azure corporativas, aplicáveis a todas as organizações de DevOps do Azure apoiadas pela ID do Microsoft Entra. Os usuários nessa função podem gerenciar essas políticas navegando para qualquer organização do Azure DevOps que seja apoiada pela ID do Microsoft Entra da empresa. Além disso, os usuários nessa função podem reivindicar a propriedade de organizações órfãs do Azure DevOps. Essa função não concede outras permissões específicas do Azure DevOps (por exemplo, Administradores de Coleção de Projetos) dentro de qualquer uma das organizações de DevOps do Azure apoiadas pela organização Microsoft Entra da empresa.
Ações | Description |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Ler e configurar o Azure DevOps |
Administrador de Proteção de Informações do Azure
Os usuários com essa função têm todas as permissões no serviço Proteção de Informações do Azure. Essa função permite configurar rótulos para a política de Proteção de Informações do Azure, gerenciar modelos de proteção e ativar a proteção. Esta função não concede permissões no Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender portal ou Microsoft Purview compliance portal.
Ações | Description |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Gerenciar todos os aspetos da Proteção de Informações do Azure |
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Conjuntos de Chaves B2C IEF
Trata-se de um papel privilegiado. O usuário pode criar e gerenciar chaves de política e segredos para criptografia de token, assinaturas de token e criptografia/descriptografia de declaração. Ao adicionar novas chaves a contêineres de chaves existentes, esse administrador limitado pode rolar segredos conforme necessário sem afetar os aplicativos existentes. Este usuário pode ver o conteúdo completo desses segredos e suas datas de validade, mesmo após a sua criação.
Importante
Trata-se de um papel sensível. A função de administrador do conjunto de chaves deve ser cuidadosamente auditada e atribuída com cuidado durante a pré-produção e a produção.
Ações | Description |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Ler e configurar conjuntos de chaves no Azure Ative Directory B2C |
Administrador de Políticas B2C IEF
Os usuários nessa função têm a capacidade de criar, ler, atualizar e excluir todas as políticas personalizadas no Azure AD B2C e, portanto, têm controle total sobre a Estrutura de Experiência de Identidade na organização relevante do Azure AD B2C. Ao editar políticas, esse usuário pode estabelecer federação direta com provedores de identidade externos, alterar o esquema de diretório, alterar todo o conteúdo voltado para o usuário (HTML, CSS, JavaScript), alterar os requisitos para concluir uma autenticação, criar novos usuários, enviar dados do usuário para sistemas externos, incluindo migrações completas, e editar todas as informações do usuário, incluindo campos confidenciais, como senhas e números de telefone. Por outro lado, essa função não pode alterar as chaves de criptografia ou editar os segredos usados para federação na organização.
Importante
O B2 IEF Policy Administrator é uma função altamente sensível que deve ser atribuída em uma base muito limitada para organizações em produção. As atividades desses usuários devem ser auditadas de perto, especialmente para organizações em produção.
Ações | Description |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Ler e configurar políticas personalizadas no Azure Ative Directory B2C |
Administrador de Faturação
Faz compras, gerencia assinaturas, gerencia tíquetes de suporte e monitora a integridade do serviço.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Gerir todos os aspetos da faturação do Office 365 |
microsoft.directory/organização/básico/update | Atualizar propriedades básicas na organização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Segurança de Aplicações na Nuvem
Os usuários com essa função têm permissões totais no Defender for Cloud Apps. Eles podem adicionar administradores, adicionar políticas e configurações do Microsoft Defender for Cloud Apps, carregar logs e executar ações de governança.
Ações | Description |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Defender for Cloud Apps |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Aplicações na Cloud
Trata-se de um papel privilegiado. Os utilizadores nesta função têm as mesmas permissões que a função de Administrador de Aplicação, à exceção da capacidade de gerir o proxy de aplicações. Esta função fornece a capacidade de criar e gerir todos os aspetos das aplicações empresariais e dos registos de aplicações. Os utilizadores atribuídos a esta função não são adicionados como proprietários ao criar novos registos de aplicação ou aplicações empresariais.
Essa função também concede a capacidade de consentir permissões delegadas e permissões de aplicativo, com exceção das permissões de aplicativo para o Azure AD Graph e o Microsoft Graph.
Importante
Essa exceção significa que você ainda pode consentir com permissões de aplicativos para outros aplicativos (por exemplo, outros aplicativos da Microsoft, aplicativos de terceiros ou aplicativos que você registrou). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas conceder (ou seja, consentir) essas permissões requer um administrador mais privilegiado, como o Privileged Role Administrator.
Essa função concede a capacidade de gerenciar credenciais de aplicativo. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usá-las para representar a identidade do aplicativo. Se a identidade do aplicativo tiver recebido acesso a um recurso, como a capacidade de criar ou atualizar Usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto representa o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio sobre o que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de Administrador de Aplicativos dá a ele a capacidade de representar a identidade de um aplicativo.
Administrador de dispositivos na nuvem
Trata-se de um papel privilegiado. Os usuários nessa função podem habilitar, desabilitar e excluir dispositivos no Microsoft Entra ID e ler chaves BitLocker do Windows 10 (se houver) no portal do Azure. A função não concede permissões para gerenciar quaisquer outras propriedades no dispositivo.
Administrador de conformidade
Os usuários com essa função têm permissões para gerenciar recursos relacionados à conformidade no portal de conformidade do Microsoft Purview, no centro de administração do Microsoft 365, no Azure e no portal do Microsoft 365 Defender. Os cessionários também podem gerenciar todos os recursos no centro de administração do Exchange e criar tíquetes de suporte para o Azure e o Microsoft 365. Para obter mais informações, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.
Em | Pode fazer |
---|---|
Portal de conformidade do Microsoft Purview | Proteja e gerencie os dados da sua organização nos serviços do Microsoft 365 Gerenciar alertas de conformidade |
Gerente de Conformidade Microsoft Purview | Rastreie, atribua e verifique as atividades de conformidade regulatória da sua organização |
Portal do Microsoft 365 Defender | Gerenciar governança de dados Realizar investigação legal e de dados Gerir Pedido do Titular dos Dados Essa função tem as mesmas permissões que o grupo de funções Administrador de Conformidade no controle de acesso baseado em função do portal do Microsoft 365 Defender. |
Intune | Exibir todos os dados de auditoria do Intune |
Aplicativos do Microsoft Defender para Nuvem | Tem permissões somente leitura e pode gerenciar alertas Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivos Pode visualizar todos os relatórios internos em Gerenciamento de Dados |
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/entitlementManagement/allProperties/read | Leia todas as propriedades no gerenciamento de direitos do Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Gerenciar todos os aspetos do Office 365 Compliance Manager |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de dados de conformidade
Os usuários com essa função têm permissões para rastrear dados no portal de conformidade do Microsoft Purview, no centro de administração do Microsoft 365 e no Azure. Os usuários também podem rastrear dados de conformidade no centro de administração do Exchange, no Gerenciador de Conformidade e no Centro de administração do Teams & Skype for Business e criar tíquetes de suporte para o Azure e o Microsoft 365. Para obter mais informações sobre as diferenças entre Administrador de Conformidade e Administrador de Dados de Conformidade, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.
Em | Pode fazer |
---|---|
Portal de conformidade do Microsoft Purview | Monitore políticas relacionadas à conformidade nos serviços do Microsoft 365 Gerenciar alertas de conformidade |
Gerente de Conformidade Microsoft Purview | Rastreie, atribua e verifique as atividades de conformidade regulatória da sua organização |
Portal do Microsoft 365 Defender | Gerenciar governança de dados Realizar investigação legal e de dados Gerir Pedido do Titular dos Dados Essa função tem as mesmas permissões que o grupo de funções Administrador de Dados de Conformidade no controle de acesso baseado em função do portal do Microsoft 365 Defender. |
Intune | Exibir todos os dados de auditoria do Intune |
Aplicativos do Microsoft Defender para Nuvem | Tem permissões somente leitura e pode gerenciar alertas Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivos Pode visualizar todos os relatórios internos em Gerenciamento de Dados |
Ações | Description |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Gerenciar todos os aspetos da Proteção de Informações do Azure |
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Microsoft Defender for Cloud Apps |
microsoft.office365.complianceManager/allEntities/allTasks | Gerenciar todos os aspetos do Office 365 Compliance Manager |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Acesso Condicional
Trata-se de um papel privilegiado. Os usuários com essa função têm a capacidade de gerenciar as configurações de Acesso Condicional do Microsoft Entra.
Aprovador de Acesso ao Customer LockBox
Gerencia as solicitações do Microsoft Purview Customer Lockbox em sua organização. Eles recebem notificações por email para solicitações do Customer Lockbox e podem aprovar e negar solicitações do Centro de administração do Microsoft 365. Eles também podem ativar ou desativar o recurso Customer Lockbox. Apenas os Administradores Globais podem repor as palavras-passe das pessoas atribuídas a esta função.
Ações | Description |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Gerencie todos os aspetos do Customer Lockbox |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador do Desktop Analytics
Os usuários nessa função podem gerenciar o serviço Desktop Analytics. Isso inclui a capacidade de exibir o inventário de ativos, criar planos de implantação e exibir a implantação e o status de integridade.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Gerencie todos os aspetos do Desktop Analytics |
Leitores de Diretório
Os usuários nessa função podem ler informações básicas de diretório. Esta função deve ser utilizada para:
- Conceder a um conjunto específico de usuários convidados acesso de leitura em vez de concedê-lo a todos os usuários convidados.
- Conceder a um conjunto específico de usuários não administradores acesso ao centro de administração do Microsoft Entra quando "Restringir acesso ao centro de administração do Microsoft Entra" estiver definido como "Sim".
- Conceder às entidades de serviço acesso ao diretório onde Directory.Read.All não é uma opção.
Ações | Description |
---|---|
microsoft.directory/administrativeUnits/members/read | Ler os membros das unidades administrativas |
microsoft.directory/administrativeUnits/standard/leitura | Ler propriedades básicas em unidades administrativas |
microsoft.directory/applicationPolicies/standard/read | Leia as propriedades padrão das políticas de aplicativos |
microsoft.directory/aplicativos/proprietários/leitura | Ler proprietários de aplicativos |
microsoft.directory/aplicativos/políticas/leitura | Ler políticas de aplicativos |
microsoft.directory/aplicativos/padrão/leitura | Ler propriedades padrão de aplicativos |
microsoft.directory/contacts/memberOf/read | Leia a associação de grupo para todos os contatos no Microsoft Entra ID |
microsoft.directory/contatos/padrão/leitura | Leia as propriedades básicas dos contatos no Microsoft Entra ID |
microsoft.directory/contracts/standard/leitura | Leia propriedades básicas em contratos de parceiros |
microsoft.directory/devices/memberOf/read | Ler associações de dispositivos |
microsoft.directory/devices/registeredOwners/read | Ler proprietários registados de dispositivos |
microsoft.directory/devices/registeredUsers/read | Ler utilizadores registados de dispositivos |
microsoft.directory/devices/standard/leitura | Ler propriedades básicas em dispositivos |
microsoft.directory/directoryRoles/eligibleMembers/read | Leia os membros elegíveis das funções do Microsoft Entra |
microsoft.directory/directoryRoles/members/read | Leia todos os membros das funções do Microsoft Entra |
microsoft.directory/directoryRoles/standard/read | Leia as propriedades básicas das funções do Microsoft Entra |
microsoft.directory/domínios/padrão/leitura | Ler propriedades básicas em domínios |
microsoft.directory/groups/appRoleAssignments/read | Ler atribuições de função de aplicativo de grupos |
microsoft.directory/groupSettings/padrão/leitura | Ler propriedades básicas nas configurações de grupo |
microsoft.directory/groupSettingTemplates/standard/read | Ler propriedades básicas em modelos de configuração de grupo |
microsoft.directory/groups/memberOf/read | Leia a propriedade memberOf em Grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/grupos/membros/leitura | Ler membros de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/grupos/proprietários/leitura | Leia os proprietários de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/groups/settings/leitura | Ler configurações de grupos |
microsoft.directory/groups/standard/leitura | Leia as propriedades padrão de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis por função |
microsoft.directory/oAuth2PermissionGrants/standard/read | Leia as propriedades básicas nas concessões de permissão do OAuth 2.0 |
microsoft.directory/organização/padrão/leitura | Ler propriedades básicas em uma organização |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Leia autoridades de certificação confiáveis para autenticação sem senha |
microsoft.directory/roleAtribuições/padrão/leitura | Ler propriedades básicas em atribuições de função |
microsoft.directory/roleDefinitions/standard/read | Leia as propriedades básicas nas definições de função |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Ler atribuições de função principal de serviço |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Ler atribuições de função atribuídas a entidades de serviço |
microsoft.directory/servicePrincipals/memberOf/read | Leia as associações de grupo em entidades de serviço |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Ler concessões de permissão delegada em entidades de serviço |
microsoft.directory/servicePrincipals/ownedObjects/read | Ler objetos de propriedade de entidades de serviço |
microsoft.directory/servicePrincipals/owners/read | Ler proprietários de entidades de serviço |
microsoft.directory/servicePrincipals/policies/read | Ler políticas de entidades de serviço |
microsoft.directory/servicePrincipals/standard/read | Ler propriedades básicas de entidades de serviço |
microsoft.directory/subscribedSkus/standard/read | Ler propriedades básicas em subscrições |
microsoft.directory/users/appRoleAssignments/read | Ler atribuições de função de aplicativo para usuários |
microsoft.directory/users/deviceForResourceAccount/read | Leia deviceForResourceAccount de usuários |
microsoft.directory/users/directReports/read | Leia os relatórios diretos para usuários |
microsoft.directory/users/invitedBy/read | Leia o usuário que convidou um usuário externo para um locatário |
microsoft.directory/users/licenseDetails/read | Leia os detalhes da licença dos usuários |
microsoft.directory/usuários/gerente/leitura | Gerenciador de leitura de usuários |
microsoft.directory/users/memberOf/read | Leia as associações de grupo de usuários |
microsoft.directory/users/oAuth2PermissionGrants/read | Ler concessões de permissão delegada em usuários |
microsoft.directory/users/ownedDevices/ler | Ler dispositivos próprios dos utilizadores |
microsoft.directory/users/ownedObjects/read | Ler objetos de propriedade de usuários |
microsoft.directory/users/foto/leitura | Ler foto dos utilizadores |
microsoft.directory/users/registeredDevices/read | Ler dispositivos registados dos utilizadores |
microsoft.directory/users/scopedRoleMemberOf/read | Ler a associação do usuário a uma função do Microsoft Entra, que tem como escopo uma unidade administrativa |
microsoft.directory/users/sponsors/read | Leia os patrocinadores dos usuários |
microsoft.directory/users/standard/leitura | Ler propriedades básicas em usuários |
Contas de sincronização de diretórios
Não utilizar. Esta função é atribuída automaticamente ao serviço Microsoft Entra Connect e não se destina nem tem suporte para qualquer outro uso.
Ações | Description |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Ler e gerenciar objetos para habilitar a sincronização de diretórios local |
Escritores de Diretórios
Trata-se de um papel privilegiado. Os usuários nessa função podem ler e atualizar informações básicas de usuários, grupos e entidades de serviço.
Administrador de Nomes de Domínio
Trata-se de um papel privilegiado. Os usuários com essa função podem gerenciar (ler, adicionar, verificar, atualizar e excluir) nomes de domínio. Eles também podem ler informações de diretório sobre usuários, grupos e aplicativos, pois esses objetos possuem dependências de domínio. Para ambientes locais, os usuários com essa função podem configurar nomes de domínio para federação para que os usuários associados sejam sempre autenticados localmente. Esses usuários podem entrar nos serviços baseados no Microsoft Entra com suas senhas locais por meio do logon único. As configurações de federação precisam ser sincronizadas via Microsoft Entra Connect, para que os usuários também tenham permissões para gerenciar o Microsoft Entra Connect.
Administrador do Dynamics 365
Os usuários com essa função têm permissões globais no Microsoft Dynamics 365 Online, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, consulte Usar funções de administrador de serviço para gerenciar seu locatário.
Nota
Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do Dynamics 365. No portal do Azure, ele é chamado de Administrador do Dynamics 365.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.dynamics365/allEntities/allTasks | Gerenciar todos os aspetos do Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador do Dynamics 365 Business Central
Atribua a função de Administrador do Dynamics 365 Business Central aos usuários que precisam executar as seguintes tarefas:
- Acessar ambientes do Dynamics 365 Business Central
- Executar todas as tarefas administrativas em ambientes
- Gerencie o ciclo de vida dos ambientes do cliente
- Supervisionar as extensões instaladas em ambientes
- Controle upgrades de ambientes
- Realizar exportações de dados de ambientes
- Ler e configurar painéis de integridade do serviço Azure e Microsoft 365
Esta função não fornece permissões para outros produtos do Dynamics 365.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.directory/domínios/padrão/leitura | Ler propriedades básicas em domínios |
microsoft.directory/organização/padrão/leitura | Ler propriedades básicas em uma organização |
microsoft.directory/subscribedSkus/standard/read | Ler propriedades básicas em subscrições |
microsoft.directory/users/standard/leitura | Ler propriedades básicas em usuários |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Gerenciar todos os aspetos do Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Borda
Os usuários nessa função podem criar e gerenciar a lista de sites corporativos necessária para o modo Internet Explorer no Microsoft Edge. Essa função concede permissões para criar, editar e publicar a lista de sites e, adicionalmente, permite acesso para gerenciar tíquetes de suporte. Mais informações
Ações | Description |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Gerencie todos os aspetos do Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador do Exchange
Os usuários com essa função têm permissões globais no Microsoft Exchange Online, quando o serviço está presente. Também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para mais informações, consulte Sobre funções de administrador no centro de administração do Microsoft 365.
Nota
Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é denominada Administrador de Serviços do Exchange. No portal do Azure, ele é chamado de Administrador do Exchange. No centro de administração do Exchange, ele é chamado de administrador do Exchange Online.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Criar e gerenciar a política de proteção do Exchange Online no Backup do Microsoft 365 |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Ler e configurar a sessão de restauração para o Exchange Online no Backup do Microsoft 365 |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Gerenciar todos os pontos de restauração associados a caixas de correio selecionadas do Exchange Online no M365 Backup |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Gerenciar caixas de correio adicionadas à política de proteção do Exchange Online no Backup do Microsoft 365 |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Gerenciar caixas de correio adicionadas para restaurar a sessão do Exchange Online no Backup do Microsoft 365 |
microsoft.directory/groups/hiddenMembers/read | Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/basic/update | Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/create | Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/excluir | Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/members/update | Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/owners/update | Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/restore | Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função |
microsoft.office365.exchange/allEntities/basic/allTasks | Gerenciar todos os aspetos do Exchange Online |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de destinatários do Exchange
Os usuários com essa função têm acesso de leitura aos destinatários e acesso de gravação aos atributos desses destinatários no Exchange Online. Para obter mais informações, consulte Destinatários no Exchange Server.
Ações | Description |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Gerenciar todas as tarefas relacionadas à migração de destinatários no Exchange Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Criar e excluir todos os destinatários e ler e atualizar todas as propriedades dos destinatários no Exchange Online |
Administrador de fluxo de usuário de ID externo
Os usuários com essa função podem criar e gerenciar fluxos de usuários (também chamados de políticas "internas") no portal do Azure. Esses usuários podem personalizar o conteúdo HTML/CSS/JavaScript, alterar os requisitos de MFA, selecionar declarações no token, gerenciar conectores de API e suas credenciais e definir configurações de sessão para todos os fluxos de usuários na organização do Microsoft Entra. Por outro lado, essa função não inclui a capacidade de revisar dados do usuário ou fazer alterações nos atributos incluídos no esquema da organização. As alterações nas políticas do Identity Experience Framework (também conhecidas como políticas personalizadas) também estão fora do escopo dessa função.
Ações | Description |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Ler e configurar o fluxo de usuários no Azure Ative Directory B2C |
Administrador de Atributos de Fluxo de Usuário de ID Externo
Os usuários com essa função adicionam ou excluem atributos personalizados disponíveis para todos os fluxos de usuários na organização do Microsoft Entra. Como tal, os usuários com essa função podem alterar ou adicionar novos elementos ao esquema do usuário final e afetar o comportamento de todos os fluxos de usuários e, indiretamente, resultar em alterações nos dados que podem ser solicitados aos usuários finais e, finalmente, enviados como declarações para aplicativos. Essa função não pode editar fluxos de usuário.
Ações | Description |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Ler e configurar o atributo de usuário no Azure Ative Directory B2C |
Administrador de Provedor de Identidade Externo
Trata-se de um papel privilegiado. Este administrador gerencia a federação entre organizações do Microsoft Entra e provedores de identidade externos. Com essa função, os usuários podem adicionar novos provedores de identidade e definir todas as configurações disponíveis (por exemplo, caminho de autenticação, ID de serviço, contêineres de chave atribuídos). Esse usuário pode habilitar a organização do Microsoft Entra para confiar em autenticações de provedores de identidade externos. O impacto resultante nas experiências do usuário final depende do tipo de organização:
- Organizações do Microsoft Entra para funcionários e parceiros: a adição de uma federação (por exemplo, com o Gmail) afetará imediatamente todos os convites de convidados ainda não resgatados. Consulte Adicionar o Google como um provedor de identidade para usuários convidados B2B.
- Organizações B2C do Azure Ative Directory: a adição de uma federação (por exemplo, com o Facebook ou com outra organização do Microsoft Entra) não afeta imediatamente os fluxos de usuários finais até que o provedor de identidade seja adicionado como uma opção em um fluxo de usuário (também chamado de política interna). Consulte Configurando uma conta da Microsoft como um provedor de identidade para obter um exemplo. Para alterar os fluxos de usuários, é necessária a função limitada de "Administrador de Fluxo de Usuário B2C".
Administrador de malha
Os usuários com essa função têm permissões globais no Microsoft Fabric e no Power BI, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para obter mais informações, consulte Noções básicas sobre funções de administrador da malha.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Gerenciar todos os aspetos da malha e do Power BI |
Administrador Global
Trata-se de um papel privilegiado. Os usuários com essa função têm acesso a todos os recursos administrativos no Microsoft Entra ID, bem como a serviços que usam identidades do Microsoft Entra, como o portal Microsoft 365 Defender, o portal de conformidade Microsoft Purview, o Exchange Online, o SharePoint Online e o Skype for Business Online. Os Administradores Globais podem visualizar os logs de Atividades do Diretório. Além disso, os Administradores Globais podem elevar seu acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Isso permite que os Administradores Globais obtenham acesso total a todos os recursos do Azure usando o respetivo locatário do Microsoft Entra. A pessoa que se inscreve na organização do Microsoft Entra torna-se um Administrador Global. Pode haver mais do que um Administrador Global na sua empresa. Os Administradores Globais podem redefinir a senha de qualquer usuário e de todos os outros administradores. Um Administrador Global não pode remover sua própria atribuição de Administrador Global. Isso é para evitar uma situação em que uma organização tem zero Administradores Globais.
Nota
Como prática recomendada, a Microsoft recomenda que você atribua a função de Administrador Global a menos de cinco pessoas em sua organização. Para obter mais informações, consulte Práticas recomendadas para funções do Microsoft Entra.
Leitor Global
Trata-se de um papel privilegiado. Os usuários nessa função podem ler configurações e informações administrativas nos serviços do Microsoft 365, mas não podem executar ações de gerenciamento. O Global Reader é a contrapartida somente leitura do Global Administrator. Atribua Leitor Global em vez de Administrador Global para planejamento, auditorias ou investigações. Use o Global Reader em combinação com outras funções de administrador limitadas, como Administrador do Exchange, para facilitar o trabalho sem a atribuição da função de Administrador Global. O Global Reader funciona com o centro de administração do Microsoft 365, o centro de administração do Exchange, o centro de administração do SharePoint, o centro de administração do Teams, o portal do Microsoft 365 Defender, o portal de conformidade do Microsoft Purview, o portal do Azure e o centro de administração do Gerenciamento de Dispositivos.
Os usuários com essa função não podem fazer o seguinte:
- Não é possível aceder à área Serviços de Compra no centro de administração do Microsoft 365.
Nota
A função de Leitor Global tem as seguintes limitações:
- Centro de administração do OneDrive - O centro de administração do OneDrive não suporta a função de Leitor Global
- portal do Microsoft 365 Defender - O Global Reader não pode fazer pesquisa de conteúdo ou ver Pontuação segura.
- Centro de administração do Teams - O Global Reader não consegue ler o ciclo de vida do Teams, o Analytics & relatórios, a gestão de dispositivos de telefone IP e o catálogo de aplicações. Para obter mais informações, consulte Usar funções de administrador do Microsoft Teams para gerenciar o Teams.
- O Gerenciamento de Acesso Privilegiado não oferece suporte à função de Leitor Global.
- A Proteção de Informações do Azure - Global Reader é suportada apenas para relatórios centrais e quando a sua organização do Microsoft Entra não está na plataforma de etiquetagem unificada.
- SharePoint - O Global Reader tem acesso de leitura aos cmdlets do PowerShell do SharePoint Online e às APIs de leitura.
- Centro de administração da Power Platform - O Global Reader ainda não é suportado no centro de administração da Power Platform.
- O Microsoft Purview não suporta a função de Leitor Global.
Administrador de Acesso Seguro Global
Atribua a função de Administrador Global de Acesso Seguro aos usuários que precisam fazer o seguinte:
- Criar e gerenciar todos os aspetos do Microsoft Entra Internet Access e Microsoft Entra Private Access
- Gerencie o acesso a pontos de extremidade públicos e privados
Os usuários com essa função não podem fazer o seguinte:
- Não é possível gerenciar aplicativos corporativos, registros de aplicativos, acesso condicional ou configurações de proxy de aplicativo
Ações | Description |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/applicationPolicies/standard/read | Leia as propriedades padrão das políticas de aplicativos |
microsoft.directory/applications/applicationProxy/leitura | Leia todas as propriedades de proxy de aplicativo |
microsoft.directory/aplicativos/proprietários/leitura | Ler proprietários de aplicativos |
microsoft.directory/aplicativos/políticas/leitura | Ler políticas de aplicativos |
microsoft.directory/aplicativos/padrão/leitura | Ler propriedades padrão de aplicativos |
microsoft.directory/auditLogs/allProperties/read | Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
microsoft.directory/conditionalAccessPolicies/standard/read | Ler Acesso Condicional para políticas |
microsoft.directory/connectorGroups/allProperties/read | Leia todas as propriedades de grupos de conectores de rede privada |
microsoft.directory/connectors/allProperties/read | Leia todas as propriedades dos conectores de rede privada |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leia as propriedades básicas da política de acesso entre locatários padrão |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leia as propriedades básicas da política de acesso entre locatários para parceiros |
microsoft.directory/crossTenantAccessPolicy/standard/read | Leia as propriedades básicas da política de acesso entre locatários |
microsoft.directory/namedLocations/standard/read | Leia as propriedades básicas de regras personalizadas que definem locais de rede |
microsoft.directory/signInReports/allProperties/read | Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas |
microsoft.networkAccess/allEntities/allProperties/allTasks | Gerencie todos os aspetos do Microsoft Entra Network Access |
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Grupos
Os usuários nessa função podem criar/gerenciar grupos e suas configurações, como políticas de nomenclatura e expiração. É importante entender que atribuir um usuário a essa função dá a ele a capacidade de gerenciar todos os grupos da organização em várias cargas de trabalho, como Teams, SharePoint, Yammer, além do Outlook. Além disso, o usuário poderá gerenciar as várias configurações de grupos em vários portais de administração, como o centro de administração da Microsoft, o portal do Azure, bem como os específicos da carga de trabalho, como os centros de administração do Teams e do SharePoint.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/deletedItems.groups/delete | Excluir permanentemente grupos, que não podem mais ser restaurados |
microsoft.directory/deletedItems.groups/restore | Restaurar grupos excluídos suavemente para o estado original |
microsoft.directory/groups/assignLicense | Atribuir licenças de produto a grupos para licenciamento baseado em grupo |
microsoft.directory/groups/basic/update | Atualizar propriedades básicas em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups/classificação/atualização | Atualizar a propriedade de classificação em Grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups/criar | Criar grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups/excluir | Excluir grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função |
microsoft.directory/groups/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica em grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis de função |
microsoft.directory/groups/groupType/update | Atualizar propriedades que afetariam o tipo de grupo de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis por função |
microsoft.directory/groups/hiddenMembers/read | Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/groups/members/update | Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups/onPremWriteBack/update | Atualizar grupos do Microsoft Entra para serem gravados novamente no local com o Microsoft Entra Connect |
microsoft.directory/groups/owners/update | Atualizar proprietários de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups/reprocessLicenseAssignment | Reprocessar atribuições de licença para licenciamento baseado em grupo |
microsoft.directory/groups/restore | Restaurar grupos a partir de contêiner excluído por software |
microsoft.directory/groups/settings/update | Atualizar configurações de grupos |
microsoft.directory/groups/visibilidade/atualização | Atualizar a propriedade de visibilidade de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Convidado Inviter
Os usuários nessa função podem gerenciar convites de usuário convidado do Microsoft Entra B2B quando a configuração Membros podem convidar usuário estiver definida como Não. Mais informações sobre colaboração B2B em Sobre a colaboração B2B do Microsoft Entra. Não inclui quaisquer outras permissões.
Ações | Description |
---|---|
microsoft.directory/users/appRoleAssignments/read | Ler atribuições de função de aplicativo para usuários |
microsoft.directory/users/deviceForResourceAccount/read | Leia deviceForResourceAccount de usuários |
microsoft.directory/users/directReports/read | Leia os relatórios diretos para usuários |
microsoft.directory/users/invitedBy/read | Leia o usuário que convidou um usuário externo para um locatário |
microsoft.directory/users/inviteGuest | Convidar utilizadores convidados |
microsoft.directory/users/licenseDetails/read | Leia os detalhes da licença dos usuários |
microsoft.directory/usuários/gerente/leitura | Gerenciador de leitura de usuários |
microsoft.directory/users/memberOf/read | Leia as associações de grupo de usuários |
microsoft.directory/users/oAuth2PermissionGrants/read | Ler concessões de permissão delegada em usuários |
microsoft.directory/users/ownedDevices/ler | Ler dispositivos próprios dos utilizadores |
microsoft.directory/users/ownedObjects/read | Ler objetos de propriedade de usuários |
microsoft.directory/users/foto/leitura | Ler foto dos utilizadores |
microsoft.directory/users/registeredDevices/read | Ler dispositivos registados dos utilizadores |
microsoft.directory/users/scopedRoleMemberOf/read | Ler a associação do usuário a uma função do Microsoft Entra, que tem como escopo uma unidade administrativa |
microsoft.directory/users/sponsors/read | Leia os patrocinadores dos usuários |
microsoft.directory/users/standard/leitura | Ler propriedades básicas em usuários |
Administrador do Helpdesk
Trata-se de um papel privilegiado. Os usuários com essa função podem alterar senhas, invalidar tokens de atualização, criar e gerenciar solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365 e monitorar a integridade do serviço. Invalidar um token de atualização força o usuário a entrar novamente. Se um Administrador de Helpdesk pode redefinir a senha de um usuário e invalidar tokens de atualização depende da função atribuída ao usuário. Para obter uma lista das funções para as quais um Administrador de Helpdesk pode redefinir senhas e invalidar tokens de atualização, consulte Quem pode redefinir senhas.
Os usuários com essa função não podem fazer o seguinte:
- Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
Importante
Os usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar a senha de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:
- Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas na ID do Microsoft Entra e em outros lugares não concedidas aos Administradores de Helpdesk. Por meio desse caminho, um administrador de helpdesk pode assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
- Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender, portal de conformidade Microsoft Purview e sistemas de recursos humanos.
- Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Delegar permissões administrativas sobre subconjuntos de usuários e aplicar políticas a um subconjunto de usuários é possível com Unidades Administrativas.
Essa função foi anteriormente nomeada Administrador de Senha no portal do Azure. Ele foi renomeado para Helpdesk Administrator para se alinhar com o nome existente na API do Microsoft Graph e no Microsoft Graph PowerShell.
Administrador de identidade híbrida
Trata-se de um papel privilegiado. Os usuários nessa função podem criar, gerenciar e implantar a configuração de provisionamento do Ative Directory para o Microsoft Entra ID usando o Cloud Provisioning, bem como gerenciar o Microsoft Entra Connect, autenticação de passagem (PTA), sincronização de hash de senha (PHS), logon único contínuo (SSO contínuo) e configurações de federação. Não tem acesso para gerenciar o Microsoft Entra Connect Health. Os usuários também podem solucionar problemas e monitorar logs usando essa função.
Administrador de Governança de Identidade
Os usuários com essa função podem gerenciar a configuração de Governança de ID do Microsoft Entra, incluindo pacotes de acesso, revisões de acesso, catálogos e políticas, garantindo que o acesso seja aprovado e revisado e que os usuários convidados que não precisam mais de acesso sejam removidos.
Ações | Description |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (Preterido) Criar e excluir revisões de acesso, ler e atualizar todas as propriedades de revisões de acesso e gerenciar revisões de acesso de grupos no Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gerenciar revisões de acesso de atribuições de função de aplicativo no Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gerenciar revisões de acesso para atribuições de pacotes de acesso no gerenciamento de direitos |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leia todas as propriedades das análises de acesso para associação a grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis a funções. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Atualize todas as propriedades das revisões de acesso para associação a grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por função. |
microsoft.directory/accessReviews/definitions.groups/create | Crie revisões de acesso para associação em grupos de Segurança e Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Exclua as revisões de acesso para associação aos grupos Segurança e Microsoft 365. |
microsoft.directory/entitlementManagement/allProperties/allTasks | Criar e excluir recursos e ler e atualizar todas as propriedades no gerenciamento de direitos do Microsoft Entra |
microsoft.directory/groups/members/update | Atualizar membros de grupos de segurança e grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar atribuições de função principal de serviço |
Administrador de Insights
Os usuários nessa função podem acessar o conjunto completo de recursos administrativos no aplicativo Microsoft Viva Insights. Essa função tem a capacidade de ler informações de diretório, monitorar a integridade do serviço, tíquetes de suporte a arquivos e acessar os aspetos de configurações do Administrador de Insights.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.insights/allEntities/allProperties/allTasks | Gerencie todos os aspetos do aplicativo Insights |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Analista de Insights
Atribua a função de Analista de Insights aos usuários que precisam fazer o seguinte:
- Analise dados no aplicativo Microsoft Viva Insights, mas não pode gerenciar nenhuma definição de configuração
- Criar, gerenciar e executar consultas
- Ver definições básicas e relatórios no centro de administração do Microsoft 365
- Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365
Ações | Description |
---|---|
microsoft.insights/queries/allProperties/allTasks | Executar e gerenciar consultas no Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Líder de Negócios Insights
Os usuários nessa função podem acessar um conjunto de painéis e informações por meio do aplicativo Microsoft Viva Insights. Isso inclui acesso total a todos os painéis e informações apresentadas e funcionalidade de exploração de dados. Os usuários nessa função não têm acesso às definições de configuração do produto, que é de responsabilidade da função Administrador do Insights.
Ações | Description |
---|---|
microsoft.insights/programas/allProperties/update | Implantar e gerenciar programas no aplicativo Insights |
microsoft.insights/reports/allProperties/read | Exibir relatórios e painéis no aplicativo Insights |
Administrador do Intune
Trata-se de um papel privilegiado. Os usuários com essa função têm permissões globais no Microsoft Intune Online, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar políticas, bem como criar e gerenciar grupos. Para obter mais informações, consulte RBAC (controle de administração baseado em função) com o Microsoft Intune.
Essa função pode criar e gerenciar todos os grupos de segurança. No entanto, o Administrador do Intune não tem direitos de administrador sobre grupos do Microsoft 365. Isso significa que o administrador não pode atualizar proprietários ou associações de todos os grupos do Microsoft 365 na organização. No entanto, ele / ela pode gerenciar o grupo do Microsoft 365 que ele cria que vem como parte de seus privilégios de usuário final. Portanto, qualquer grupo do Microsoft 365 (não grupo de segurança) que ele / ela cria deve ser contado em sua cota de 250.
Nota
Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do Intune. No portal do Azure, ele é chamado de Administrador do Intune.
Kaizala Administrador
Os usuários com essa função têm permissões globais para gerenciar configurações no Microsoft Kaizala, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Além disso, o usuário pode acessar relatórios relacionados à adoção e uso do Kaizala pelos membros da Organização e relatórios de negócios gerados usando as ações do Kaizala.
Ações | Description |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador do Conhecimento
Os utilizadores nesta função têm acesso total a todas as definições de conhecimento, aprendizagem e funcionalidades inteligentes no centro de administração do Microsoft 365. Eles têm uma compreensão geral do conjunto de produtos, detalhes de licenciamento e têm a responsabilidade de controlar o acesso. O Administrador de Conhecimento pode criar e gerenciar conteúdo, como tópicos, siglas e recursos de aprendizagem. Além disso, esses usuários podem criar centros de conteúdo, monitorar a integridade do serviço e criar solicitações de serviço.
Ações | Description |
---|---|
microsoft.directory/groups.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função |
microsoft.directory/groups.security/criar | Criar grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/createAsOwner | Crie grupos de segurança, excluindo grupos atribuíveis por função. Creator é adicionado como o primeiro proprietário. |
microsoft.directory/groups.security/excluir | Excluir grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/owners/update | Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leia e atualize todas as propriedades de compreensão de conteúdo no Centro de administração do Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leia e atualize todas as propriedades da rede de conhecimento no centro de administração do Microsoft 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gerencie fontes de aprendizagem e todas as suas propriedades no Learning App. |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Leia todas as propriedades dos rótulos de sensibilidade nos centros de segurança e conformidade |
microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Gestor da Base de Dados de Conhecimento
Os usuários nessa função podem criar e gerenciar conteúdo, como tópicos, siglas e conteúdo de aprendizagem. Estes utilizadores são os principais responsáveis pela qualidade e estrutura do conhecimento. Esse usuário tem direitos totais para ações de gerenciamento de tópicos para confirmar um tópico, aprovar edições ou excluir um tópico. Essa função também pode gerenciar taxonomias como parte da ferramenta de gerenciamento de repositório de termos e criar centros de conteúdo.
Ações | Description |
---|---|
microsoft.directory/groups.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função |
microsoft.directory/groups.security/criar | Criar grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/createAsOwner | Crie grupos de segurança, excluindo grupos atribuíveis por função. Creator é adicionado como o primeiro proprietário. |
microsoft.directory/groups.security/excluir | Excluir grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/owners/update | Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leia relatórios analíticos de compreensão de conteúdo no centro de administração do Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gerenciar a visibilidade do tópico da rede de conhecimento no centro de administração do Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Licenças
Os usuários nessa função podem ler, adicionar, remover e atualizar atribuições de licença em usuários, grupos (usando licenciamento baseado em grupo) e gerenciar o local de uso em usuários. A função não concede a capacidade de comprar ou gerenciar assinaturas, criar ou gerenciar grupos, ou criar ou gerenciar usuários além do local de uso. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.directory/groups/assignLicense | Atribuir licenças de produto a grupos para licenciamento baseado em grupo |
microsoft.directory/groups/reprocessLicenseAssignment | Reprocessar atribuições de licença para licenciamento baseado em grupo |
microsoft.directory/users/assignLicense | Gerenciar licenças de usuário |
microsoft.directory/users/reprocessLicenseAssignment | Reprocessar atribuições de licença para usuários |
microsoft.directory/users/usageLocation/update | Atualizar o local de uso dos usuários |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de fluxos de trabalho de ciclo de vida
Trata-se de um papel privilegiado. Atribua a função de Administrador de Fluxos de Trabalho de Ciclo de Vida aos usuários que precisam executar as seguintes tarefas:
- Crie e gerencie todos os aspetos de fluxos de trabalho e tarefas associadas aos Fluxos de Trabalho do Ciclo de Vida no Microsoft Entra ID
- Verificar a execução de fluxos de trabalho agendados
- Iniciar execuções de fluxo de trabalho sob demanda
- Inspecionar logs de execução do fluxo de trabalho
Leitor de Privacidade do Centro de Mensagens
Os utilizadores nesta função podem monitorizar todas as notificações no Centro de Mensagens, incluindo mensagens de privacidade de dados. Os leitores de privacidade do Message Center recebem notificações por e-mail, incluindo aquelas relacionadas à privacidade de dados, e podem cancelar a inscrição usando as Preferências do Message Center. Apenas o Administrador Global e o Leitor de Privacidade do Centro de Mensagens podem ler mensagens de privacidade de dados. Além disso, essa função contém a capacidade de exibir grupos, domínios e assinaturas. Essa função não tem permissão para exibir, criar ou gerenciar solicitações de serviço.
Ações | Description |
---|---|
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.messageCenter/securityMessages/read | Ler mensagens de segurança no Centro de Mensagens no Centro de administração do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Leitor do Centro de Mensagens
Os usuários nessa função podem monitorar notificações e atualizações de integridade de aviso no Centro de mensagens para sua organização em serviços configurados, como Exchange, Intune e Microsoft Teams. Os leitores do Centro de Mensagens recebem resumos semanais de e-mails de postagens, atualizações e podem compartilhar postagens do centro de mensagens no Microsoft 365. No Microsoft Entra ID, os usuários atribuídos a essa função só terão acesso somente leitura nos serviços do Microsoft Entra, como usuários e grupos. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.
Ações | Description |
---|---|
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de migração do Microsoft 365
Atribua a função de Administrador de Migração do Microsoft 365 aos usuários que precisam executar as seguintes tarefas:
- Use o Gerenciador de Migração no centro de administração do Microsoft 365 para gerenciar a migração de conteúdo para o Microsoft 365, incluindo sites do Teams, OneDrive for Business e SharePoint, do Google Drive, Dropbox, Box e Egnyte
- Selecione fontes de migração, crie inventários de migração (como listas de usuários do Google Drive), agende e execute migrações e faça download de relatórios
- Crie novos sites do SharePoint se os sites de destino ainda não existirem, crie listas do SharePoint nos sites de administração do SharePoint e crie e atualize itens nas listas do SharePoint
- Gerenciar configurações de projeto de migração e ciclo de vida de migração para tarefas
- Gerenciar mapeamentos de permissão da origem ao destino
Nota
Essa função não permite que você migre de fontes de compartilhamento de arquivos usando o centro de administração do SharePoint. Você pode usar a função de Administrador do SharePoint para migrar de fontes de compartilhamento de arquivos.
Ações | Description |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Gerenciar todos os aspetos das migrações do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador Local de Dispositivo Ingressado no Microsoft Entra
Esta função está disponível para atribuição apenas como um administrador local adicional nas configurações do dispositivo. Os usuários com essa função tornam-se administradores de máquinas locais em todos os dispositivos Windows 10 que ingressaram na ID do Microsoft Entra. Eles não têm a capacidade de gerenciar objetos de dispositivos no Microsoft Entra ID.
Ações | Description |
---|---|
microsoft.directory/groupSettings/padrão/leitura | Ler propriedades básicas nas configurações de grupo |
microsoft.directory/groupSettingTemplates/standard/read | Ler propriedades básicas em modelos de configuração de grupo |
Administrador de Garantia de Hardware da Microsoft
Atribua a função de Administrador de Garantia de Hardware da Microsoft aos usuários que precisam executar as seguintes tarefas:
- Crie novas reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e o HoloLens
- Pesquisar e ler reclamações de garantia abertas ou fechadas
- Pesquisar e ler reclamações de garantia por número de série
- Criar, ler, atualizar e excluir endereços de remessa
- Leia o status do envio para reclamações de garantia em aberto
- Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365
- Leia os anúncios do centro de mensagens no centro de administração do Microsoft 365
Uma reclamação de garantia é um pedido para que o hardware seja reparado ou substituído de acordo com os termos da garantia. Para obter mais informações, consulte Autoatendimento à garantia do Surface & solicitações de serviço.
Ações | Description |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Criar, ler, atualizar e excluir endereços de entrega para reclamações de garantia de hardware da Microsoft, incluindo endereços de entrega criados por outras pessoas |
microsoft.hardware.support/shippingStatus/allProperties/read | Ler o estado de envio para reclamações de garantia de hardware Microsoft abertas |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Crie e gerencie todos os aspetos das reclamações de garantia de hardware da Microsoft |
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Especialista em Garantia de Hardware Microsoft
Atribua a função de Especialista em Garantia de Hardware da Microsoft aos usuários que precisam executar as seguintes tarefas:
- Crie novas reclamações de garantia para hardware fabricado pela Microsoft, como o Surface e o HoloLens
- Leia as reclamações de garantia que eles criaram
- Ler e atualizar endereços de envio existentes
- Leia o status do envio para reclamações de garantia aberta que eles criaram
- Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365
Uma reclamação de garantia é um pedido para que o hardware seja reparado ou substituído de acordo com os termos da garantia. Para obter mais informações, consulte Autoatendimento à garantia do Surface & solicitações de serviço.
Ações | Description |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Leia os endereços de envio para reclamações de garantia de hardware da Microsoft, incluindo endereços de entrega existentes criados por outras pessoas |
microsoft.hardware.support/warrantyClaims/createAsOwner | Criar reclamações de garantia de hardware da Microsoft onde o criador é o proprietário |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Ler o estado de envio para reclamações de garantia de hardware Microsoft abertas |
microsoft.hardware.support/warrantyClaims/allProperties/read | Leia as reclamações de garantia de hardware da Microsoft |
Administrador de Comércio Moderno
Não utilizar. Esta função é atribuída automaticamente a partir do Comércio e não se destina nem é suportada para qualquer outra utilização. Veja os detalhes abaixo.
A função de Administrador de Comércio Moderno dá permissão a determinados usuários para acessar o Centro de administração do Microsoft 365 e ver as entradas de navegação à esquerda para Casa, Cobrança e Suporte. O conteúdo disponível nessas áreas é controlado por funções específicas do comércio atribuídas aos usuários para gerenciar produtos que eles compraram para si mesmos ou para sua organização. Isso pode incluir tarefas como pagar contas ou para acessar contas de faturamento e perfis de cobrança.
Os usuários com a função de Administrador de Comércio Moderno normalmente têm permissões administrativas em outros sistemas de compras da Microsoft, mas não têm as funções de Administrador Global ou Administrador de Cobrança usadas para acessar o centro de administração.
Quando é atribuída a função de Administrador de Comércio Moderno?
- Compra de autoatendimento no centro de administração do Microsoft 365 – A compra de autoatendimento dá aos usuários a chance de experimentar novos produtos comprando ou inscrevendo-se por conta própria. Esses produtos são gerenciados no centro de administração. Os usuários que fazem uma compra de autoatendimento recebem uma função no sistema de comércio e a função de Administrador de Comércio Moderno para que possam gerenciar suas compras no centro de administração. Os administradores podem bloquear compras de autoatendimento (para Malha, Power BI, Power Apps, Power Automate) por meio do PowerShell. Para obter mais informações, consulte Perguntas frequentes sobre compras de autoatendimento.
- Compras no mercado comercial da Microsoft – Semelhante à compra de autoatendimento, quando um usuário compra um produto ou serviço do Microsoft AppSource ou do Azure Marketplace, a função de Administrador de Comércio Moderno é atribuída se ele não tiver a função de Administrador Global ou Administrador de Cobrança. Em alguns casos, os usuários podem ser impedidos de fazer essas compras. Para obter mais informações, consulte Microsoft commercial marketplace.
- Propostas da Microsoft – Uma proposta é uma oferta formal da Microsoft para a sua organização comprar produtos e serviços Microsoft. Quando a pessoa que está aceitando a proposta não tem uma função de Administrador Global ou Administrador de Cobrança na ID do Microsoft Entra, ela recebe uma função específica de comércio para concluir a proposta e a função de Administrador de Comércio Moderno para acessar o centro de administração. Quando acedem ao centro de administração, só podem utilizar funcionalidades autorizadas pela sua função específica do comércio.
- Funções específicas do comércio – Alguns usuários recebem funções específicas do comércio. Se um usuário não for um Administrador Global ou Administrador de Cobrança, ele receberá a função de Administrador de Comércio Moderno para poder acessar o centro de administração.
Se a função de Administrador de Comércio Moderno não for atribuída a um usuário, ele perderá o acesso ao Centro de administração do Microsoft 365. Se eles estavam gerenciando quaisquer produtos, seja para si mesmos ou para sua organização, eles não serão capazes de gerenciá-los. Isso pode incluir atribuir licenças, alterar métodos de pagamento, pagar contas ou outras tarefas para gerenciar assinaturas.
Ações | Description |
---|---|
microsoft.commerce.faturação/parceiros/leitura | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Gerencie todos os aspetos do Centro de Serviços de Licenciamento por Volume |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/basic/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Redes
Os usuários nessa função podem revisar as recomendações de arquitetura de perímetro de rede da Microsoft baseadas na telemetria de rede de seus locais de usuário. O desempenho de rede para o Microsoft 365 depende de uma cuidadosa arquitetura de perímetro de rede do cliente corporativo, que geralmente é específica do local do usuário. Essa função permite a edição de locais de usuários descobertos e a configuração de parâmetros de rede para esses locais para facilitar medições de telemetria aprimoradas e recomendações de projeto
Ações | Description |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Gerencie todos os aspetos dos locais de rede |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Aplicativos do Office
Os usuários nessa função podem gerenciar as configurações de nuvem dos aplicativos do Microsoft 365. Isso inclui o gerenciamento de políticas de nuvem, o gerenciamento de download de autoatendimento e a capacidade de exibir relatórios relacionados a aplicativos do Office. Essa função também concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço no centro de administração principal. Os usuários atribuídos a essa função também podem gerenciar a comunicação de novos recursos em aplicativos do Office.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.userCommunication/allEntities/allTasks | Ler e atualizar as novidades da visibilidade das mensagens |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Branding Organizacional
Atribua a função de Administrador de Branding Organizacional aos usuários que precisam executar as seguintes tarefas:
- Gerenciar todos os aspetos da marca organizacional em um locatário
- Leia, crie, atualize e exclua temas de identidade visual
- Gerencie o tema de identidade visual padrão e todos os temas de localização de identidade visual
Ações | Description |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Crie e exclua loginTenantBranding, e leia e atualize todas as propriedades |
Aprovador de Mensagens Organizacionais
Atribua a função de Aprovador de Mensagens Organizacionais aos usuários que precisam executar as seguintes tarefas:
- Revise, aprove ou rejeite novas mensagens organizacionais para entrega no centro de administração do Microsoft 365 antes de serem enviadas aos usuários usando a plataforma de Mensagens Organizacionais do Microsoft 365
- Leia todos os aspetos das mensagens organizacionais
- Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
Ações | Description |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Leia todos os aspetos das Mensagens Organizacionais do Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Aprovar ou rejeitar novas mensagens organizacionais para entrega no centro de administração do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Gravador de mensagens organizacionais
Atribua a função Gravador de Mensagens Organizacionais aos usuários que precisam executar as seguintes tarefas:
- Escrever, publicar e excluir mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
- Gerenciar opções de entrega de mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
- Ler resultados de entrega de mensagens organizacionais usando o Centro de administração do Microsoft 365 ou o Microsoft Intune
- Exibir relatórios de uso e a maioria das configurações no Centro de administração do Microsoft 365, mas não pode fazer alterações
Ações | Description |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Gerenciar todos os aspetos de criação de mensagens organizacionais do Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Ler relatórios de utilização agregados do Office 365 ao nível do inquilino |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Suporte de nível 1 do parceiro
Trata-se de um papel privilegiado. Não utilizar. Esta função foi preterida e será removida do Microsoft Entra ID no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft e não se destina a utilização geral.
Importante
Essa função pode redefinir senhas e invalidar tokens de atualização apenas para não-administradores. Essa função não deve ser usada porque foi preterida.
Suporte de nível 2 do parceiro
Trata-se de um papel privilegiado. Não utilizar. Esta função foi preterida e será removida do Microsoft Entra ID no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft e não se destina a utilização geral.
Importante
Essa função pode redefinir senhas e invalidar tokens de atualização para todos os não-administradores e administradores (incluindo Administradores Globais). Essa função não deve ser usada porque foi preterida.
Administrador de senha
Trata-se de um papel privilegiado. Os usuários com essa função têm capacidade limitada de gerenciar senhas. Essa função não concede a capacidade de gerenciar solicitações de serviço ou monitorar a integridade do serviço. Se um administrador de senha pode redefinir a senha de um usuário depende da função que o usuário está atribuído. Para obter uma lista das funções para as quais um Administrador de Senhas pode redefinir senhas, consulte Quem pode redefinir senhas.
Os usuários com essa função não podem fazer o seguinte:
- Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
Administrador de Gerenciamento de Permissões
Atribua a função de Administrador de Gerenciamento de Permissões aos usuários que precisam executar as seguintes tarefas:
- Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra, quando o serviço estiver presente
Saiba mais sobre as funções e políticas do Gerenciamento de Permissões em Exibir informações sobre funções/políticas.
Ações | Description |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Gerencie todos os aspetos do Gerenciamento de Permissões do Microsoft Entra |
Administrador da Power Platform
Os usuários nessa função podem criar e gerenciar todos os aspetos de ambientes, Power Apps, fluxos, políticas de prevenção de perda de dados. Além disso, os usuários com essa função têm a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.dynamics365/allEntities/allTasks | Gerenciar todos os aspetos do Dynamics 365 |
microsoft.flow/allEntities/allTasks | Gerencie todos os aspetos do Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.powerApps/allEntities/allTasks | Gerir todos os aspetos das Power Apps |
Administrador de Impressoras
Os usuários nessa função podem registrar impressoras e gerenciar todos os aspetos de todas as configurações de impressora na solução Microsoft Universal Print, incluindo as configurações do Universal Print Connector. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os administradores de impressora também têm acesso a relatórios de impressão.
Ações | Description |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Criar e excluir impressoras e conectores e ler e atualizar todas as propriedades no Microsoft Print |
Técnico de Impressão
Os usuários com essa função podem registrar impressoras e gerenciar o status da impressora na solução Microsoft Universal Print. Eles também podem ler todas as informações do conector. A principal tarefa que um técnico de impressora não pode fazer é definir permissões de usuário em impressoras e compartilhar impressoras.
Ações | Description |
---|---|
microsoft.azure.print/connectors/allProperties/read | Leia todas as propriedades dos conectores no Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Leia todas as propriedades de impressoras no Microsoft Print |
microsoft.azure.print/printers/basic/update | Atualizar propriedades básicas de impressoras no Microsoft Print |
microsoft.azure.print/printers/register | Registrar impressoras no Microsoft Print |
microsoft.azure.print/printers/cancelar o registro | Cancelar o registro de impressoras no Microsoft Print |
Administrador de Autenticação Privilegiada
Trata-se de um papel privilegiado. Atribua a função de Administrador de Autenticação Privilegiada aos usuários que precisam fazer o seguinte:
- Defina ou redefina qualquer método de autenticação (incluindo senhas) para qualquer usuário, incluindo Administradores Globais.
- Exclua ou restaure todos os usuários, incluindo Administradores Globais. Para obter mais informações, consulte Quem pode executar ações confidenciais.
- Forçar os usuários a se registrarem novamente em relação a credenciais não confiáveis existentes (como MFA ou FIDO2) e revogar lembrar MFA no dispositivo, solicitando MFA no próximo login de todos os usuários.
- Atualize propriedades confidenciais para todos os usuários. Para obter mais informações, consulte Quem pode executar ações confidenciais.
- Crie e gerencie tíquetes de suporte no Azure e no centro de administração do Microsoft 365.
- Configurar autoridades de certificação com um armazenamento confiável baseado em PKI (visualização)
Os usuários com essa função não podem fazer o seguinte:
- Não é possível gerenciar MFA por usuário no portal de gerenciamento de MFA herdado.
A tabela a seguir compara os recursos de funções relacionadas à autenticação.
Função | Gerir os métodos de autenticação do utilizador | Ativar a MFA por utilizador | Gerir as definições da MFA | Gerir a política do método de autenticação | Gerir a política de proteção de palavras-passe | Atualizar as propriedades confidenciais | Eliminar e restaurar utilizadores |
---|---|---|---|---|---|---|---|
Administrador de autenticação | Sim para alguns utilizadores | Sim para alguns utilizadores | Sim | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Administrador de autenticação privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores | Sim para todos os utilizadores |
Administrador de políticas de autenticação | No | Sim | Sim | Sim | Sim | No | No |
Administrador de Utilizadores | No | No | No | No | No | Sim para alguns utilizadores | Sim para alguns utilizadores |
Importante
Os usuários com essa função podem alterar as credenciais de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar as credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:
- Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas no Microsoft Entra ID e em outros lugares não concedidos aos Administradores de Autenticação. Por meio desse caminho, um administrador de autenticação pode assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado atualizando as credenciais do aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
- Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender e portal de conformidade Microsoft Purview, e sistemas de recursos humanos.
- Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Administrador de Funções com Privilégios
Trata-se de um papel privilegiado. Os usuários com essa função podem gerenciar atribuições de função no Microsoft Entra ID, bem como no Microsoft Entra Privileged Identity Management. Eles podem criar e gerenciar grupos que podem ser atribuídos a funções do Microsoft Entra. Além disso, esta função permite a gestão de todos os aspetos da Gestão de Identidade Privilegiada e unidades administrativas.
Importante
Essa função concede a capacidade de gerenciar atribuições para todas as funções do Microsoft Entra, incluindo a função de Administrador Global. Essa função não inclui outras habilidades privilegiadas no Microsoft Entra ID, como criar ou atualizar usuários. No entanto, os usuários atribuídos a essa função podem conceder a si mesmos ou a outros privilégios adicionais atribuindo funções adicionais.
Leitor de Relatórios
Os usuários com essa função podem exibir dados de relatório de uso e o painel de relatórios no centro de administração do Microsoft 365 e o pacote de contexto de adoção no Fabric e no Power BI. Além disso, a função fornece acesso a todos os logs de entrada, logs de auditoria e relatórios de atividade na ID do Microsoft Entra e dados retornados pela API de relatórios do Microsoft Graph. Um usuário atribuído à função Leitor de Relatórios pode acessar apenas métricas relevantes de uso e adoção. Eles não têm permissões de administrador para definir configurações ou acessar os centros de administração específicos do produto, como o Exchange. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.directory/auditLogs/allProperties/read | Leia todas as propriedades em logs de auditoria, excluindo logs de auditoria de atributos de segurança personalizados |
microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades dos logs de provisionamento |
microsoft.directory/signInReports/allProperties/read | Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Pesquisa
Os usuários nessa função têm acesso total a todos os recursos de gerenciamento da Pesquisa da Microsoft no centro de administração do Microsoft 365. Além disso, esses usuários podem exibir o centro de mensagens, monitorar a integridade do serviço e criar solicitações de serviço.
Ações | Description |
---|---|
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.search/content/gerenciar | Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Editor de Pesquisa
Os utilizadores nesta função podem criar, gerir e eliminar conteúdo para o Microsoft Search no centro de administração do Microsoft 365, incluindo marcadores, perguntas e respostas e localizações.
Ações | Description |
---|---|
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.search/content/gerenciar | Criar e excluir conteúdo, ler e atualizar todas as propriedades na Pesquisa da Microsoft |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Segurança
Trata-se de um papel privilegiado. Os usuários com essa função têm permissões para gerenciar recursos relacionados à segurança no portal Microsoft 365 Defender, Proteção de ID do Microsoft Entra, Autenticação do Microsoft Entra, Proteção de Informações do Azure e Portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.
Em | Pode fazer |
---|---|
Portal do Microsoft 365 Defender | Monitorar políticas relacionadas à segurança nos serviços do Microsoft 365 Gerencie ameaças e alertas de segurança Ver relatórios |
Proteção de ID do Microsoft Entra | Todas as permissões da função Leitor de Segurança Execute todas as operações de Proteção de ID, exceto a redefinição de senhas |
Privileged Identity Management | Todas as permissões da função Leitor de Segurança Não é possível gerenciar atribuições ou configurações de função do Microsoft Entra |
Portal de conformidade do Microsoft Purview | Manage security policies (Gerir políticas de segurança) Visualize, investigue e responda a ameaças à segurança Ver relatórios |
Azure Advanced Threat Protection | Monitorize e responda a atividades de segurança suspeitas |
Microsoft Defender para Ponto de Extremidade | Atribuir funções Gerir grupos de computadores Configurar a deteção de ameaças de endpoint e a correção automatizada Visualizar, investigar e responder a alertas Ver inventário de máquinas/dispositivos |
Intune | Mapeia para a função Intune Endpoint Security Manager |
Aplicativos do Microsoft Defender para Nuvem | Adicione administradores, adicione políticas e configurações, carregue logs e execute ações de governança |
Estado de funcionamento do serviço Microsoft 365 | Exibir a integridade dos serviços do Microsoft 365 |
Bloqueio inteligente | Defina o limite e a duração dos bloqueios quando ocorrerem eventos de entrada com falha. |
Proteção por palavra-passe | Configure a lista de senhas proibidas personalizadas ou a proteção por senha local. |
Sincronização entre locatários | Configure as configurações de acesso entre locatários para usuários em outro locatário. Os administradores de segurança não podem criar e excluir usuários diretamente, mas podem criar e excluir indiretamente usuários sincronizados de outro locatário quando ambos os locatários estão configurados para sincronização entre locatários, que é uma permissão privilegiada. |
Operador de Segurança
Trata-se de um papel privilegiado. Os usuários com essa função podem gerenciar alertas e ter acesso global somente leitura em recursos relacionados à segurança, incluindo todas as informações no portal Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management e portal de conformidade Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.
Em | Pode fazer |
---|---|
Portal do Microsoft 365 Defender | Todas as permissões da função Leitor de Segurança Visualize, investigue e responda a alertas de ameaças à segurança Gerenciar configurações de segurança no portal do Microsoft 365 Defender |
Proteção de ID do Microsoft Entra | Todas as permissões da função Leitor de Segurança Execute todas as operações de Proteção de ID, exceto para configurar ou alterar políticas baseadas em risco, redefinir senhas e configurar e-mails de alerta. |
Privileged Identity Management | Todas as permissões da função Leitor de Segurança |
Portal de conformidade do Microsoft Purview | Todas as permissões da função Leitor de Segurança Visualize, investigue e responda a alertas de segurança |
Microsoft Defender para Ponto de Extremidade | Todas as permissões da função Leitor de Segurança Visualize, investigue e responda a alertas de segurança Quando você ativa o controle de acesso baseado em função no Microsoft Defender for Endpoint, os usuários com permissões somente leitura, como a função Leitor de Segurança, perdem o acesso até que lhes seja atribuída uma função do Microsoft Defender for Endpoint. |
Intune | Todas as permissões da função Leitor de Segurança |
Aplicativos do Microsoft Defender para Nuvem | Todas as permissões da função Leitor de Segurança Visualize, investigue e responda a alertas de segurança |
Estado de funcionamento do serviço Microsoft 365 | Exibir a integridade dos serviços do Microsoft 365 |
Leitor de Segurança
Trata-se de um papel privilegiado. Os usuários com essa função têm acesso global somente leitura no recurso relacionado à segurança, incluindo todas as informações no portal Microsoft 365 Defender, Proteção de ID do Microsoft Entra, Gerenciamento Privilegiado de Identidades, bem como a capacidade de ler relatórios de entrada e logs de auditoria do Microsoft Entra e no portal de conformidade do Microsoft Purview. Para obter mais informações sobre as permissões do Office 365, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade com o Microsoft Purview.
Em | Pode fazer |
---|---|
Portal do Microsoft 365 Defender | Exibir políticas relacionadas à segurança nos serviços do Microsoft 365 Ver ameaças e alertas de segurança Ver relatórios |
Proteção de ID do Microsoft Entra | Ver todos os relatórios e visão geral da Proteção de ID |
Privileged Identity Management | Tem acesso somente leitura a todas as informações exibidas no Microsoft Entra Privileged Identity Management: Políticas e relatórios para atribuições de função e revisões de segurança do Microsoft Entra. Não é possível se inscrever no Microsoft Entra Privileged Identity Management ou fazer alterações nele. No portal de Gerenciamento de Identidades Privilegiadas ou por meio do PowerShell, alguém nessa função pode ativar funções adicionais (por exemplo, Administrador de Função Privilegiada), se o usuário estiver qualificado para elas. |
Portal de conformidade do Microsoft Purview | Ver as políticas de segurança Visualize e investigue ameaças à segurança Ver relatórios |
Microsoft Defender para Ponto de Extremidade | Ver e investigar alertas Quando você ativa o controle de acesso baseado em função no Microsoft Defender for Endpoint, os usuários com permissões somente leitura, como a função Leitor de Segurança, perdem o acesso até que lhes seja atribuída uma função do Microsoft Defender for Endpoint. |
Intune | Exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune. |
Aplicativos do Microsoft Defender para Nuvem | Tem permissões de leitura. |
Estado de funcionamento do serviço Microsoft 365 | Exibir a integridade dos serviços do Microsoft 365 |
Administrador de Suporte de Serviços
Os usuários com essa função podem criar e gerenciar solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365 e exibir o painel de serviços e o centro de mensagens no portal do Azure e no centro de administração do Microsoft 365. Para mais informações, consulte Sobre funções de administrador no centro de administração do Microsoft 365.
Nota
Essa função foi anteriormente nomeada Administrador de Serviço no portal do Azure e no centro de administração do Microsoft 365. Ele foi renomeado para Service Support Administrator para se alinhar com o nome existente na API do Microsoft Graph e no Microsoft Graph PowerShell.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador do SharePoint
Os usuários com essa função têm permissões globais no Microsoft SharePoint Online, quando o serviço está presente, bem como a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Para mais informações, consulte Sobre funções de administrador no centro de administração do Microsoft 365.
Nota
Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do SharePoint. No portal do Azure, ele é chamado de Administrador do SharePoint.
Nota
Essa função também concede permissões com escopo à API do Microsoft Graph para Microsoft Intune, permitindo o gerenciamento e a configuração de políticas relacionadas aos recursos do SharePoint e do OneDrive.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Criar e gerenciar a política de proteção do OneDrive no Backup do Microsoft 365 |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Leia e configure a sessão de restauração para o OneDrive no Backup do Microsoft 365 |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Gerenciar todos os pontos de restauração associados a sites selecionados do SharePoint no M365 Backup |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Gerencie todos os pontos de restauração associados a contas selecionadas do OneDrive no M365 Backup |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Criar e gerenciar a política de proteção do SharePoint no Backup do Microsoft 365 |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Ler e configurar a sessão de restauração para o SharePoint no Backup do Microsoft 365 |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Gerenciar sites adicionados à política de proteção do SharePoint no Backup do Microsoft 365 |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Gerenciar sites adicionados para restaurar a sessão do SharePoint no Backup do Microsoft 365 |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Gerenciar contas adicionadas à política de proteção do OneDrive no Backup do Microsoft 365 |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Gerenciar contas adicionadas para restaurar a sessão do OneDrive no Backup do Microsoft 365 |
microsoft.directory/groups/hiddenMembers/read | Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/basic/update | Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/create | Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/excluir | Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/members/update | Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/owners/update | Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/restore | Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Gerenciar todos os aspetos das migrações do Microsoft 365 |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Criar e excluir todos os recursos e ler e atualizar propriedades padrão no SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador incorporado do SharePoint
Atribua a função de Administrador Incorporado do SharePoint aos usuários que precisam executar as seguintes tarefas:
- Execute todas as tarefas usando o PowerShell, a API do Microsoft Graph ou o centro de administração do SharePoint
- Gerencie, configure e mantenha contêineres do SharePoint Embedded
- Enumerar e gerenciar contêineres do SharePoint Embedded
- Enumerar e gerenciar permissões para contêineres do SharePoint Embedded
- Gerenciar o armazenamento de contêineres do SharePoint Embedded em um locatário
- Atribuir políticas de segurança e conformidade em contêineres do SharePoint Embedded
- Aplicar políticas de segurança e conformidade em contêineres do SharePoint Embedded em um locatário
Ações | Description |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Gerenciar todos os aspetos dos contêineres do SharePoint Embedded |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador do Skype for Business
Os usuários com essa função têm permissões globais no Microsoft Skype for Business, quando o serviço está presente, bem como gerenciam atributos de usuário específicos do Skype na ID do Microsoft Entra. Além disso, essa função concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço, além de acessar o Centro de administração do Teams e do Skype for Business. A conta também deve ser licenciada para o Teams ou não pode executar cmdlets do Teams PowerShell. Para obter mais informações, consulte Informações de licenciamento do Skype for Business Online Admin e Teams em Licenciamento de complementos do Skype for Business.
Nota
Na API do Microsoft Graph e no Microsoft Graph PowerShell, essa função é chamada de Administrador de Serviço do Lync. No portal do Azure, ele é chamado Skype for Business Administrator.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspetos do Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Equipas
Os usuários nessa função podem gerenciar todos os aspetos da carga de trabalho do Microsoft Teams por meio do centro de administração do Microsoft Teams & Skype for Business e dos respetivos módulos do PowerShell. Isso inclui, entre outras áreas, todas as ferramentas de gestão relacionadas a telefonia, mensagens, reuniões e as próprias equipes. Essa função também concede a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade de nuvem permitidos da política de acesso entre locatários |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários padrão |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leia as propriedades básicas da política de acesso entre locatários padrão |
microsoft.directory/crossTenantAccessPolicy/partners/create | Criar política de acesso entre locatários para parceiros |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leia as propriedades básicas da política de acesso entre locatários para parceiros |
microsoft.directory/crossTenantAccessPolicy/standard/read | Leia as propriedades básicas da política de acesso entre locatários |
microsoft.directory/externalUserProfiles/basic/update | Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams |
microsoft.directory/externalUserProfiles/delete | Excluir perfis de usuário externo no diretório estendido do Teams |
microsoft.directory/externalUserProfiles/padrão/leitura | Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams |
microsoft.directory/groups/hiddenMembers/read | Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/basic/update | Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/create | Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/excluir | Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/members/update | Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/owners/update | Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/restore | Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função |
microsoft.directory/pendingExternalUserProfiles/basic/update | Atualizar propriedades básicas de perfis de usuários externos no diretório estendido do Teams |
microsoft.directory/pendingExternalUserProfiles/create | Criar perfis de usuário externo no diretório estendido para o Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Excluir perfis de usuário externo no diretório estendido do Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Leia as propriedades padrão de perfis de usuário externo no diretório estendido do Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Leia as propriedades padrão das políticas de concessão de permissão |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspetos do Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.teams/allEntities/allProperties/allTasks | Gerencie todos os recursos no Teams |
Administrador de Comunicações do Teams
Os usuários nessa função podem gerenciar aspetos da carga de trabalho do Microsoft Teams relacionados à voz ou telefonia. Isso inclui as ferramentas de gerenciamento para atribuição de número de telefone, políticas de voz e reunião e acesso total ao conjunto de ferramentas de análise de chamadas.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspetos do Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Leia todos os dados no Painel de Qualidade de Chamadas (CQD) |
microsoft.teams/meetings/allProperties/allTasks | Gerenciar reuniões, incluindo políticas de reunião, configurações e pontes de conferência |
microsoft.teams/voice/allProperties/allTasks | Gerencie voz, incluindo políticas de chamadas e inventário e atribuição de números de telefone |
Engenheiro de Suporte de Comunicação de Equipes
Os usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams & Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no centro de administração do Microsoft Teams & Skype for Business. Os usuários nessa função podem exibir informações completas de registro de chamadas para todos os participantes envolvidos. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspetos do Skype for Business Online |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Leia todos os dados no Painel de Qualidade de Chamadas (CQD) |
Especialista em Suporte de Comunicação de Equipes
Os usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams & Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no centro de administração do Microsoft Teams & Skype for Business. Os usuários nessa função só podem exibir os detalhes do usuário na chamada para o usuário específico que pesquisaram. Essa função não tem acesso para exibir, criar ou gerenciar tíquetes de suporte.
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspetos do Skype for Business Online |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.teams/callQuality/standard/read | Ler dados básicos no Painel de Qualidade de Chamadas (CQD) |
Administrador de dispositivos do Teams
Os usuários com essa função podem gerenciar dispositivos certificados pelo Teams no centro de administração do Teams. Esta função permite visualizar todos os dispositivos de uma só vez, com a capacidade de pesquisar e filtrar dispositivos. O usuário pode verificar os detalhes de cada dispositivo, incluindo conta logada, marca e modelo do dispositivo. O usuário pode alterar as configurações no dispositivo e atualizar as versões do software. Essa função não concede permissões para verificar a atividade do Teams e a qualidade da chamada do dispositivo.
Ações | Description |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.teams/devices/standard/leitura | Gerencie todos os aspetos dos dispositivos certificados pelo Teams, incluindo políticas de configuração |
Administrador de Telefonia do Teams
Atribua a função de Administrador de Telefonia do Teams aos usuários que precisam executar as seguintes tarefas:
- Gerencie voz e telefonia, incluindo políticas de chamadas, gerenciamento e atribuição de números de telefone e aplicativos de voz
- Acesso apenas a relatórios de utilização da Rede Telefónica Pública Comutada (PSTN) a partir do centro de administração do Teams
- Ver página de perfil de utilizador
- Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365
Ações | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço do Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.directory/authorizationPolicy/standard/read | Leia as propriedades padrão da política de autorização |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerenciar todos os aspetos do Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Leia todos os dados no Painel de Qualidade de Chamadas (CQD) |
microsoft.teams/voice/allProperties/allTasks | Gerencie voz, incluindo políticas de chamadas e inventário e atribuição de números de telefone |
Criador de inquilinos
Atribua a função de Criador de Locatário aos usuários que precisam executar as seguintes tarefas:
- Crie locatários do Microsoft Entra e do Azure Ative Directory B2C, mesmo que a alternância de criação de locatário esteja desativada nas configurações do usuário
Nota
Os criadores de locatários receberão a função de Administrador Global nos novos locatários que criarem.
Ações | Description |
---|---|
microsoft.directory/tenantManagement/tenants/create | Criar novos locatários no Microsoft Entra ID |
Leitor de relatórios de resumo de uso
Atribua a função Leitor de Relatórios de Resumo de Uso aos usuários que precisam executar as seguintes tarefas no Centro de administração do Microsoft 365:
- Exibir os relatórios de uso e a pontuação de adoção
- Leia insights organizacionais, mas não informações de identificação pessoal (PII) dos usuários
Essa função só permite que os usuários exibam dados no nível organizacional com as seguintes exceções:
- Os usuários membros podem visualizar dados e configurações de gerenciamento de usuários.
- Os usuários convidados atribuídos a essa função não podem exibir dados e configurações de gerenciamento de usuários.
Ações | Description |
---|---|
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Ler relatórios de utilização agregados do Office 365 ao nível do inquilino |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Utilizadores
Trata-se de um papel privilegiado. Atribua a função de Administrador de Usuários aos usuários que precisam fazer o seguinte:
Permissão | Mais informações |
---|---|
Criar utilizadores | |
Atualizar a maioria das propriedades de usuário para todos os usuários, incluindo todos os administradores | Quem pode executar ações sensíveis |
Atualizar propriedades confidenciais (incluindo o nome principal do usuário) para alguns usuários | Quem pode executar ações sensíveis |
Desativar ou ativar alguns utilizadores | Quem pode executar ações sensíveis |
Excluir ou restaurar alguns usuários | Quem pode executar ações sensíveis |
Criar e gerenciar visualizações de usuário | |
Criar e gerir todos os grupos | |
Atribuir e ler licenças para todos os utilizadores, incluindo todos os administradores | |
Repor palavras-passe | Quem pode repor palavras-passe |
Invalidar tokens de atualização | Quem pode repor palavras-passe |
Atualizar chaves de dispositivo (FIDO) | |
Atualizar políticas de expiração de senha | |
Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365 | |
Monitorizar o estado de funcionamento do serviço |
Os usuários com essa função não podem fazer o seguinte:
- Não é possível gerenciar MFA.
- Não é possível alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
- Não é possível gerenciar caixas de correio compartilhadas.
- Não é possível modificar perguntas de segurança para a operação de redefinição de senha.
Importante
Os usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou privadas ou configuração crítica dentro e fora da ID do Microsoft Entra. Alterar a senha de um usuário pode significar a capacidade de assumir a identidade e as permissões desse usuário. Por exemplo:
- Registro de aplicativos e proprietários de aplicativos corporativos, que podem gerenciar credenciais de aplicativos de sua propriedade. Esses aplicativos podem ter permissões privilegiadas no ID do Microsoft Entra e em outros lugares não concedidas aos Administradores de Usuário. Através desse caminho, um administrador de usuário pode ser capaz de assumir a identidade de um proprietário de aplicativo e, em seguida, assumir ainda mais a identidade de um aplicativo privilegiado, atualizando as credenciais para o aplicativo.
- Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica no Azure.
- Security Group e proprietários de grupos do Microsoft 365, que podem gerenciar a associação ao grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configuração crítica no Microsoft Entra ID e em outros lugares.
- Administradores em outros serviços fora do Microsoft Entra ID, como Exchange Online, portal Microsoft 365 Defender, portal de conformidade Microsoft Purview e sistemas de recursos humanos.
- Não administradores, como executivos, consultores jurídicos e funcionários de recursos humanos que podem ter acesso a informações confidenciais ou privadas.
Gerente de Sucesso da Experiência do Usuário
Atribua a função Gerenciador de Sucesso da Experiência do Usuário aos usuários que precisam executar as seguintes tarefas:
- Leia relatórios de uso em nível organizacional para aplicativos e serviços do Microsoft 365, mas não detalhes do usuário
- Veja o feedback sobre os produtos da sua organização, os resultados da pesquisa Net Promoter Score (NPS) e as visualizações dos artigos de ajuda para identificar oportunidades de comunicação e treinamento
- Ler publicações do centro de mensagens e dados de estado de funcionamento do serviço
Ações | Description |
---|---|
microsoft.commerce.billing/compras/padrão/leitura | Leia os serviços de compra no Centro de Administração M365. |
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Leia todos os aspetos das Mensagens Organizacionais do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Ler relatórios de utilização agregados do Office 365 ao nível do inquilino |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Visitas Virtuais
Os usuários com essa função podem executar as seguintes tarefas:
- Gerencie e configure todos os aspetos das Visitas Virtuais em Reservas no centro de administração do Microsoft 365 e no conector EHR do Teams
- Exibir relatórios de uso de Visitas Virtuais no centro de administração do Teams, no centro de administração do Microsoft 365, no Fabric e no Power BI
- Exibir recursos e configurações no Centro de administração do Microsoft 365, mas não pode editar nenhuma configuração
As visitas virtuais são uma maneira simples de agendar e gerenciar compromissos on-line e por vídeo para funcionários e participantes. Por exemplo, o relatório de uso pode mostrar como o envio de mensagens de texto SMS antes de compromissos pode reduzir o número de pessoas que não comparecem aos compromissos.
Ações | Description |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Gerencie e compartilhe informações e métricas de Visitas Virtuais de centros de administração ou do aplicativo Visitas Virtuais |
Administrador Viva Goals
Atribua a função de Administrador de Metas Viva aos usuários que precisam executar as seguintes tarefas:
- Gerenciar e configurar todos os aspetos do aplicativo Microsoft Viva Goals
- Definir configurações de administrador do Microsoft Viva Goals
- Leia as informações do locatário do Microsoft Entra
- Monitorar a integridade do serviço Microsoft 365
- Criar e gerenciar solicitações de serviço do Microsoft 365
Para obter mais informações, consulte Funções e permissões no Viva Goals e Introdução ao Microsoft Viva Goals.
Ações | Description |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Gerencie todos os aspetos das Metas do Microsoft Viva |
Administrador Viva Pulse
Atribua a função de Administrador do Viva Pulse aos usuários que precisam executar as seguintes tarefas:
- Leia e configure todas as configurações do Viva Pulse
- Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
- Ler e configurar o Estado de Funcionamento do Serviço do Azure
- Criar e gerenciar tíquetes de suporte do Azure
- Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança
- Ler relatórios de utilização no centro de administração do Microsoft 365
Para obter mais informações, consulte Atribuir um administrador do Viva Pulse no centro de administração do Microsoft 365.
Ações | Description |
---|---|
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Gerencie todos os aspetos do Microsoft Viva Pulse |
Administrador do Windows 365
Os usuários com essa função têm permissões globais nos recursos do Windows 365, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar políticas, bem como criar e gerenciar grupos.
Essa função pode criar e gerenciar grupos de segurança, mas não tem direitos de administrador sobre grupos do Microsoft 365. Isso significa que os administradores não podem atualizar proprietários ou associações de grupos do Microsoft 365 na organização. No entanto, eles podem gerenciar o grupo do Microsoft 365 que criam, que faz parte de seus privilégios de usuário final. Assim, qualquer grupo do Microsoft 365 (não grupo de segurança) que eles criam é contado em sua cota de 250.
Atribua a função de Administrador do Windows 365 aos usuários que precisam executar as seguintes tarefas:
- Gerir computadores na nuvem do Windows 365 no Microsoft Intune
- Registrar e gerenciar dispositivos no Microsoft Entra ID, incluindo a atribuição de usuários e políticas
- Criar e gerenciar grupos de segurança, mas não grupos atribuíveis a funções
- Ver propriedades básicas no centro de administração do Microsoft 365
- Ler relatórios de utilização no centro de administração do Microsoft 365
- Criar e gerenciar tíquetes de suporte no Azure e no centro de administração do Microsoft 365
Ações | Description |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerenciar tíquetes de suporte do Azure |
microsoft.cloudPC/allEntities/allProperties/allTasks | Gerenciar todos os aspetos do Windows 365 |
microsoft.directory/deletedItems.devices/delete | Excluir permanentemente dispositivos, que não podem mais ser restaurados |
microsoft.directory/deletedItems.devices/restore | Restaurar dispositivos apagados suaves para o estado original |
microsoft.directory/deviceManagementPolicies/standard/read | Leia as propriedades padrão sobre gerenciamento de dispositivos móveis e políticas de gerenciamento de aplicativos móveis |
microsoft.directory/deviceRegistrationPolicy/standard/read | Leia as propriedades padrão nas políticas de registro de dispositivos |
microsoft.directory/devices/basic/update | Atualizar propriedades básicas em dispositivos |
microsoft.directory/devices/criar | Criar dispositivos (inscrever-se no Microsoft Entra ID) |
microsoft.directory/devices/excluir | Excluir dispositivos do Microsoft Entra ID |
microsoft.directory/devices/disable | Desativar dispositivos no Microsoft Entra ID |
microsoft.directory/devices/enable | Ativar dispositivos no Microsoft Entra ID |
microsoft.directory/devices/extensionAttributeSet1/update | Atualizar as propriedades extensionAttribute1 para extensionAttribute5 em dispositivos |
microsoft.directory/devices/extensionAttributeSet2/update | Atualize as propriedades extensionAttribute6 para extensionAttribute10 em dispositivos |
microsoft.directory/devices/extensionAttributeSet3/update | Atualize as propriedades extensionAttribute11 para extensionAttribute15 em dispositivos |
microsoft.directory/devices/registeredOwners/update | Atualizar proprietários registados de dispositivos |
microsoft.directory/devices/registeredUsers/update | Atualizar utilizadores registados de dispositivos |
microsoft.directory/groups.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por função |
microsoft.directory/groups.security/classificação/atualização | Atualizar a propriedade de classificação em Grupos de segurança, excluindo grupos atribuíveis por função |
microsoft.directory/groups.security/criar | Criar grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/excluir | Excluir grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/dynamicMembershipRule/update | Atualizar a regra de associação dinâmica em grupos de segurança, excluindo grupos atribuíveis por função |
microsoft.directory/groups.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/owners/update | Atualizar proprietários de grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.security/visibilidade/atualização | Atualizar a propriedade visibility em Grupos de segurança, excluindo grupos atribuíveis a funções |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
Administrador de Implantação do Windows Update
Os usuários nessa função podem criar e gerenciar todos os aspetos das implantações do Windows Update por meio do serviço de implantação do Windows Update for Business. O serviço de implantação permite que os usuários definam configurações para quando e como as atualizações são implantadas e especifiquem quais atualizações são oferecidas a grupos de dispositivos em seu locatário. Ele também permite que os usuários monitorem o progresso da atualização.
Ações | Description |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Ler e configurar todos os aspetos do Windows Update Service |
Administrador do Yammer
Atribua a função de Administrador do Yammer aos usuários que precisam executar as seguintes tarefas:
- Gerenciar todos os aspetos do Yammer
- Criar, gerenciar e restaurar grupos do Microsoft 365, mas não grupos atribuíveis por função
- Exibir os membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis de função
- Ler relatórios de utilização no centro de administração do Microsoft 365
- Criar e gerenciar solicitações de serviço no centro de administração do Microsoft 365
- Ver anúncios no Centro de mensagens, mas não anúncios de segurança
- Ver estado de funcionamento do serviço
Ações | Description |
---|---|
microsoft.directory/groups/hiddenMembers/read | Ler membros ocultos de grupos de segurança e grupos do Microsoft 365, incluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/basic/update | Atualizar propriedades básicas em grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/create | Criar grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/excluir | Excluir grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/members/update | Atualizar membros de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/owners/update | Atualizar proprietários de grupos do Microsoft 365, excluindo grupos atribuíveis a funções |
microsoft.directory/groups.unified/restore | Restaurar grupos do Microsoft 365 do contêiner excluído por software, excluindo grupos atribuíveis por função |
microsoft.office365.messageCenter/mensagens/leitura | Ler mensagens no Centro de Mensagens no Centro de administração do Microsoft 365, excluindo mensagens de segurança |
microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho de rede no centro de administração do Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar o Estado de Funcionamento do Serviço no centro de administração do Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerenciar solicitações de serviço do Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Ler relatórios de utilização do Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Leia as propriedades básicas em todos os recursos no centro de administração do Microsoft 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Gerenciar todos os aspetos do Yammer |
Funções preteridas
As seguintes funções não devem ser usadas. Eles foram preteridos e serão removidos do Microsoft Entra ID no futuro.
- Administrador de Licenças AdHoc
- Adesão ao dispositivo
- Gerenciadores de dispositivos
- Utilizadores de dispositivos
- Criador de usuário verificado por e-mail
- Administrador de Caixa de Correio
- Ingresso no dispositivo do local de trabalho
Funções não mostradas no portal
Nem todas as funções retornadas pelo PowerShell ou pela API do MS Graph são visíveis no portal do Azure. A tabela a seguir organiza essas diferenças.
Nome da API | Nome do portal do Azure | Notas |
---|---|---|
Adesão ao dispositivo | Preterido | Documentação de funções preteridas |
Gerenciadores de dispositivos | Preterido | Documentação de funções preteridas |
Utilizadores de dispositivos | Preterido | Documentação de funções preteridas |
Contas de sincronização de diretórios | Não mostrado porque não deve ser usado | Documentação de Contas de Sincronização de Diretórios |
Utilizador Convidado | Não mostrado porque não pode ser usado | ND |
Suporte de nível 1 para parceiros | Não mostrado porque não deve ser usado | Documentação de suporte do Partner Tier1 |
Suporte de nível 2 para parceiros | Não mostrado porque não deve ser usado | Documentação de suporte do Partner Tier2 |
Usuário convidado restrito | Não mostrado porque não pode ser usado | ND |
User | Não mostrado porque não pode ser usado | ND |
Ingresso no dispositivo do local de trabalho | Preterido | Documentação de funções preteridas |