Quais são as permissões de usuário padrão no Microsoft Entra ID?

Em Microsoft Entra ID, todos os usuários recebem um conjunto de permissões padrão. Um acesso do usuário é composto por tipo de usuário, suas atribuições de função e sua posse de objetos individuais.

Este artigo descreve as permissões padrão e compara os padrões do usuário membro e convidado. As permissões de usuário padrão podem ser alteradas somente nas configurações de usuário no Microsoft Entra ID.

Usuários membros e convidados

O conjunto de permissões padrão depende de se o usuário é um membro nativo do locatário (usuário membro) ou se o usuário é trazido de outro diretório como um convidado de colaboração B2B (entre empresas) (usuário convidado). Para obter mais informações sobre como adicionar usuários convidados, veja O que é colaboração B2B do Microsoft Entra?. Aqui estão os recursos das permissões padrão:

  • Usuários membros podem registrar aplicativos, gerenciar seu próprio número de celular e foto de perfil, alterar sua senha e convidar pessoas B2B. Esses usuários também podem ler todas as informações de diretório (com algumas poucas exceções).

  • Usuários convidados têm permissões de diretório restritas. Eles podem gerenciar o próprio perfil, alterar a própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações de diretório.

    Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários, grupos e outros objetos do diretório. Convidados podem ser adicionados a funções de administrador, o que lhes concedem permissões totais de leitura e gravação. Os convidados também podem convidar outras pessoas.

Comparar permissões padrão de membro e convidado

Área Permissões de usuário membro Permissões padrão do usuário convidado Permissões restritas do usuário convidado
Usuários e contatos
  • Enumerar a lista de todos os usuários e contatos
  • Ler todas as propriedades públicas de usuários e contatos
  • Convidar pessoas
  • Alterar a própria senha
  • Gerenciar o próprio número de celular
  • Gerenciar a própria foto
  • Invalidar os próprios tokens de atualização
  • Ler as próprias propriedades
  • Ler nome de exibição, email, nome de entrada, foto, nome principal de usuário e propriedades de tipo de usuário de outros usuários e contatos
  • Alterar a própria senha
  • Pesquisar outro usuário por ID de objeto (se permitido)
  • Gerenciador de leitura e informações de subordinados direto de outros usuários
  • Ler as próprias propriedades
  • Alterar a própria senha
  • Gerenciar o próprio número de celular
Grupos
  • Criar grupos de segurança
  • Criar os grupos do Microsoft 365
  • Enumerar a lista de todos os grupos
  • Ler todas as propriedades de grupos
  • Ler associações de grupos não ocultos
  • Ler as associações de grupo ocultas do Microsoft 365 para grupos associados
  • Gerenciar propriedades, posse e associação de grupos pertencentes ao usuário
  • Adicionar convidados a grupos próprios
  • Gerenciar configurações da associação de grupo
  • Excluir grupos próprios
  • Restaurar grupos próprios do Microsoft 365
  • Ler propriedades de grupos não ocultos, incluindo associação e propriedade (até mesmo grupos não adicionados)
  • Ler as associações de grupo ocultas do Microsoft 365 para grupos associados
  • Pesquisar grupos por nome de exibição ou ID de objeto (se permitido)
  • Ler ID de objeto dos grupos unidos
  • Ler associação e propriedade de grupos unidos em alguns aplicativos Microsoft 365 (se permitido)
Aplicativos
  • Registrar (criar) novos aplicativos
  • Enumerar a lista de todos os aplicativos
  • Ler as propriedades de aplicativos registrados e corporativos
  • Gerenciar propriedades do aplicativo, atribuições e credenciais para aplicativos próprios
  • Criar ou excluir senhas de aplicativo dos usuários
  • Excluir aplicativos próprios
  • Restaurar aplicativos próprios
  • Listar as permissões concedidas a aplicativos
  • Ler as propriedades de aplicativos registrados e corporativos
  • Listar as permissões concedidas a aplicativos
  • Ler as propriedades de aplicativos registrados e corporativos
  • Listar as permissões concedidas a aplicativos
Dispositivos
  • Enumerar a lista de todos os dispositivos
  • Ler todas as propriedades de dispositivos
  • Gerenciar todas as propriedades de dispositivos próprios
Sem permissões Sem permissões
Organização
  • Ler todas as informações da empresa
  • Ler todos os domínios
  • Ler a configuração da autenticação baseada em certificado
  • Ler todos os contratos de parceiro
  • Leia os detalhes básicos e os locatários ativos da organização multilocatário
  • Ler nome de exibição da empresa
  • Ler todos os domínios
  • Ler a configuração da autenticação baseada em certificado
  • Ler nome de exibição da empresa
  • Ler todos os domínios
Funções e escopos
  • Ler todas as funções e associações administrativas
  • Ler todas as propriedades e associação de unidades administrativas
Sem permissões Sem permissões
Assinaturas
  • Ler todas as assinaturas de licenças
  • Habilitar associações de plano de serviço
Sem permissões Sem permissões
Políticas
  • Ler todas as propriedades de políticas
  • Gerenciar todas as propriedades de políticas próprias
Sem permissões Sem permissões

Restringir permissões padrão de usuários membros

É possível adicionar restrições às permissões padrão dos usuários.

Você pode restringir as permissões padrão para usuários membros das seguintes maneiras:

Cuidado

O uso da opção Restringir o acesso ao portal de administração do Microsoft Entra NÃO é uma medida de segurança. Para obter mais informações sobre a funcionalidade, veja a tabela a seguir.

Permissão Explicação da configuração
Registrar aplicativos Definir essa opção como Não impede que os usuários criem registros de aplicativos. Você pode conceder a capacidade de volta a indivíduos específicos adicionando-os à função de desenvolvedor de aplicativos.
Permitir que os usuários conectem a conta corporativa ou de estudante ao LinkedIn Definir essa opção como Não impede que os usuários conectem sua conta corporativa ou de estudante com sua conta do LinkedIn. Para saber mais, veja Consentimento e compartilhamento de dados das conexões da conta do LinkedIn.
Criar grupos de segurança Definir essa opção como Não impede que os usuários criem grupos de segurança. Usuários que tiverem pelo menos a função Administradores de Usuários ainda poderão criar grupos de segurança. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo.
Criar os grupos do Microsoft 365 Definir essa opção como Não impede que os usuários criem grupos no Microsoft 365. Definir essa opção como Alguns permite que um conjunto de usuários crie grupos do Microsoft 365. Qualquer pessoa com pelo menos a função de Administrador de Usuários ainda poderá criar grupos do Microsoft 365. Para saber como, consulte Cmdlets do Microsoft Entra para definir as configurações de grupo.
Restringir o acesso ao portal de administração do Microsoft Entra O que essa alteração faz?
Não permite que não administradores naveguem pelo portal de administração do Microsoft Entra.
Sim Restringe os não administradores de navegar no portal de administração do Microsoft Entra. Não administradores proprietários de grupos ou aplicativos não podem usar o portal do Azure para gerenciar seus próprios recursos.

O que ela não faz?
Não restringe o acesso aos dados do Microsoft Entra usando o PowerShell, o Microsoft GraphAPI ou outros clientes, como o Visual Studio.
Não restringe o acesso desde que um usuário esteja atribuído a uma função personalizada (ou qualquer função).

Quando devo usar essa opção?
Use essa opção para impedir que os usuários configurem incorretamente os recursos de sua propriedade.

Quando não devo usar essa opção?
Não use essa opção como medida de segurança. Em vez disso, crie uma política de acesso condicional direcionada ao gerenciamento do Windows Azure que bloqueie o acesso de não administradores à API de Gerenciamento de Serviços do Windows Azure.

Como conceder somente a usuários não administradores específicos a capacidade de usar o portal de administração do Microsoft Entra?
Defina essa opção como Sim e, em seguida, atribua-lhes uma função como leitor global.

Restringir o acesso ao portal de administração do Microsoft Entra
Uma política de acesso condicional direcionada à API de Gerenciamento do Microsoft Azure tem como objetivo o acesso a todo o gerenciamento do Azure.

Restringir a criação de locatários por usuários não administradores Os usuários podem criar locatários no Microsoft Entra ID e no portal de administração do Microsoft Entra em Gerenciar locatário. A criação de um locatário é registrada no log de auditoria como categoria DirectoryManagement e atividade Criar Empresa. Qualquer pessoa que crie um locatário se torna o administrador global dele. O locatário recém-criado não herda nenhuma configuração ou configuração.

O que essa alteração faz?
Definir essa opção como Sim restringe a criação de locatários do Microsoft Entra a qualquer pessoa atribuída pelo menos à função Criador de Locatário. Definir essa opção como Não permite que usuários não administradores criem locatários do Microsoft Entra. A criação do locatário continua a ser registrada no log de auditoria.

Como conceder somente a usuários não administradores específicos a capacidade de criar novos locatários?
Defina essa opção como Sim e, depois, atribua a ela a função de Criador de Locatário.

Impedir que usuários recuperem as chaves do BitLocker dos próprios dispositivos Essa configuração pode ser encontrada no Centro de administração do Microsoft Entra nas configurações do dispositivo. A definição dessa opção como Sim impede os usuários de recuperar por autoatendimento as chaves do BitLocker para dispositivos próprios. Os usuários devem entrar em contato com a assistência técnica da organização para recuperar as chaves do BitLocker. A definição dessa opção como Não permite que os usuários recuperem as chaves do BitLocker.
Ler outros usuários Essa configuração está disponível somente no Microsoft Graph e no PowerShell. Definir esse sinalizador como $false impede que todos os não são administradores leiam informações de usuário no diretório. Esse sinalizador pode impedir a leitura de informações do usuário em outros serviços da Microsoft, como o Microsoft Teams.

Essa configuração destina-se a circunstâncias especiais, portanto, não é recomendável definir o sinalizador como $false.

A opção Restringir usuários não administradores de criar locatários é mostrada na captura de tela a seguir.

Captura de tela que mostra a opção de Restringir não administradores de criar locatários.

Restringir permissões padrão de usuários convidados

Você pode restringir as permissões padrão para usuários convidados das seguintes maneiras.

Observação

A configuração Restrições de acesso de usuários convidados substituiu a configuração As permissões de usuários convidados são limitadas. Para obter orientação sobre como usar esse recurso, veja Restringir permissões de acesso de convidado no Microsoft Entra ID.

Permissão Explicação da configuração
Restrições de acesso de usuários convidados Definir dessa opção como Os usuários convidados têm o mesmo acesso que os membros concede a permissão de todos os usuários membros para usuários convidados como padrão.

Definir essa opção como Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidado apenas a seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo ao pesquisar por nome principal do usuário, ID de objeto ou nome de exibição. O acesso a informações de grupos, incluindo associações de grupos, também não é mais permitido.

Essa configuração não impede o acesso a grupos unidos em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, consulte Acesso de convidado ao Microsoft Teams.

Os usuários convidados ainda podem ter funções de administrador, independentemente dessa configuração de permissão.

Convidados podem convidar Definir essa opção como Sim permite que os convidados convidem outros convidados. Para saber mais, confira Definir configurações de colaboração externa.

Propriedade do objeto

Permissões de proprietário de registro de aplicativo

Quando um usuário registra um aplicativo, ele é automaticamente adicionado como um proprietário do aplicativo. Como proprietário, ele pode gerenciar os metadados do aplicativo, como o nome e as permissões que o aplicativo solicita. Eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de logon único (SSO) e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos à função administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões do proprietário do aplicativo empresarial

Quando um usuário adiciona um novo aplicativo empresarial, ele é adicionado automaticamente como um proprietário. Como proprietário, eles também podem gerenciar a configuração de locatário específico do aplicativo, como configuração de SSO, provisionamento e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos à função administrador de aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões de proprietário do grupo

Quando um usuário cria um grupo, ele é automaticamente adicionado como um proprietário desse grupo. Como proprietário, eles podem gerenciar as propriedades do grupo, como o nome, bem como gerenciar a associação ao grupo.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos com pelo menos a função de Administrador de Grupos, os proprietários podem gerenciar apenas os grupos de sua propriedade e podem adicionar ou remover membros do grupo somente se o tipo de associação do grupo for Atribuído.

Para atribuir um proprietário do grupo, consulte Gerenciando proprietários para um grupo.

Para usar o Privileged Access Management (PIM) para tornar um grupo qualificado para uma atribuição de função, confira Usar grupos do Microsoft Entra para gerenciar atribuições de função.

Permissões de propriedade

As tabelas a seguir descrevem as permissões específicas que os usuários membros têm sobre objetos de sua propriedade no Microsoft Entra ID. Os usuários têm essas permissões somente nos objetos de sua propriedade.

Registros de aplicativo de sua propriedade

Os usuários podem executar as seguintes ações nos registros de aplicativo de sua propriedade:

Ação Descrição
microsoft.directory/applications/audience/update Atualize a propriedade applications.audience no Microsoft Entra ID.
microsoft.directory/applications/authentication/update Atualize a propriedade applications.authentication no Microsoft Entra ID.
microsoft.directory/applications/basic/update Atualizar as propriedades básicas em aplicativos no Microsoft Entra ID.
microsoft.directory/applications/credentials/update Atualize a propriedade applications.credentials no Microsoft Entra ID.
microsoft.directory/applications/delete Excluir aplicativos em Microsoft Entra ID.
microsoft.directory/applications/owners/update Atualize a propriedade applications.owners no Microsoft Entra ID.
microsoft.directory/applications/permissions/update Atualize a propriedade applications.permissions no Microsoft Entra ID.
microsoft.directory/applications/policies/update Atualize a propriedade applications.policies no Microsoft Entra ID.
microsoft.directory/applications/restore Restaurar aplicativos em Microsoft Entra ID.

Aplicativos empresariais de sua propriedade

Os usuários podem executar as seguintes ações nos aplicativos empresariais de sua propriedade. Um aplicativo empresarial consiste em uma entidade de serviço, uma ou mais políticas de aplicativo e, às vezes, um objeto de aplicativo no mesmo locatário que a entidade de serviço.

Ação Descrição
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades (incluindo as propriedades privilegiadas) nos logs de auditoria no Microsoft Entra ID.
microsoft.directory/policies/basic/update Atualizar as propriedades básicas em políticas no Microsoft Entra ID.
microsoft.directory/policies/delete Excluir políticas no Microsoft Entra ID.
microsoft.directory/policies/owners/update Atualize a propriedade policies.owners no Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualize a propriedade servicePrincipals.appRoleAssignedTo no Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Atualize a propriedade users.appRoleAssignments no Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Atualize a propriedade servicePrincipals.audience no Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Atualize a propriedade servicePrincipals.authentication no Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Atualizar as propriedades básicas em entidades de serviço no Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update Atualize a propriedade servicePrincipals.credentials no Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete Excluir entidades de serviço em Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update Atualize a propriedade servicePrincipals.owners no Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Atualize a propriedade servicePrincipals.permissions no Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Atualize a propriedade servicePrincipals.policies no Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades (incluindo as propriedades privilegiadas) nos relatórios de entrada no Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à entidade de serviço

Dispositivos de sua propriedade

Os usuários podem executar as seguintes ações nos dispositivos de sua propriedade:

Ação Descrição
microsoft.directory/devices/bitLockerRecoveryKeys/read Leia a devices.bitLockerRecoveryKeys propriedade em Microsoft Entra ID.
microsoft.directory/devices/disable Desabilitar dispositivos no ID Microsoft Entra ID.

Grupos de sua propriedade

Os usuários podem executar as seguintes ações nos grupos de sua propriedade.

Observação

Os proprietários de grupos de associação dinâmica devem ter uma função de Administrador de grupos, Administrador do Intune ou Administrador de usuários para editar regras de grupos de associação dinâmica. Para mais informações, confira Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID.

Ação Descrição
microsoft.directory/groups/appRoleAssignments/update Atualize a propriedade groups.appRoleAssignments no Microsoft Entra ID.
microsoft.directory/groups/basic/update Atualizar as propriedades básicas em grupos no Microsoft Entra ID.
microsoft.directory/groups/delete Excluir grupos em Microsoft Entra ID.
microsoft.directory/groups/members/update Atualize a propriedade groups.members no Microsoft Entra ID.
microsoft.directory/groups/owners/update Atualize a propriedade groups.owners no Microsoft Entra ID.
microsoft.directory/groups/restore Restaurar grupos em Microsoft Entra ID.
microsoft.directory/groups/settings/update Atualize a propriedade groups.settings no Microsoft Entra ID.

Próximas etapas