Funções com privilégios mínimos por tarefa no Microsoft Entra ID
Este artigo descreve a função menos privilegiada que você deve usar para várias tarefas na ID do Microsoft Entra. Você encontrará as tarefas organizadas por área de recurso e a função com menos privilégios necessária para realizar cada uma delas, com funções adicionais de administrador não global que também podem executá-la.
É possível restringir ainda mais as permissões atribuindo funções em escopos menores ou criando suas próprias funções personalizadas. Para obter mais informações, consulte Atribuir funções do Microsoft Entra ou Criar uma função personalizada no Microsoft Entra ID.
Funções com menos privilégios do proxy de aplicativo
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas em de proxy de aplicativo do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar aplicativo proxy do aplicativo | Administrador de Aplicativos | |
| Configurar propriedades do grupo de conectores | Administrador de Aplicativos | |
| Criar registro de aplicativo quando a capacidade estiver desabilitada para todos os usuários | Desenvolvedor de Aplicativo |
Administrador de Aplicativos de Nuvem Administrador de Aplicativos |
| Criar grupo de conectores | Administrador de Aplicativos | |
| Excluir grupo de conectores | Administrador de Aplicativos | |
| Desabilitar proxy de aplicativo | Administrador de Aplicativos | |
| Baixar serviço do conector | Administrador de Aplicativos | |
| Ler todas as configurações | Administrador de Aplicativos |
Identidades externas/funções com privilégios mínimos do Azure AD B2C
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no microsoft Entra External ID e Azure Active Directory B2C.
Observação
Os Administradores Globais do Azure AD B2C não têm as mesmas permissões que os Administradores Globais do Microsoft Entra. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C, não em um diretório do Microsoft Entra.
Funções com privilégios mínimos de identidade visual da empresa
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de identidade visual da empresa na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar identidade visual da empresa | Administrador de Identidade Visual Organizacional | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Conectar funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no Microsoft Entra Connect.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de Identidade Híbrida | |
| Ler todas as configurações | Leitor global | Administrador de Identidade Híbrida |
| Logon único contínuo | Administrador de Identidade Híbrida |
Conectar funções com privilégios mínimos de Sincronização
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no Microsoft Entra Connect Sync.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar a sincronização de diretório no local | Administrador de Identidade Híbrida |
Funções com privilégios mínimos de provisionamento de nuvem
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de provisionamento de identidade na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Autenticação de passagem | Administrador de Identidade Híbrida | |
| Ler todas as configurações | Leitor global | Administrador de Identidade Híbrida |
| Logon único contínuo | Administrador de Identidade Híbrida |
Conectar funções com privilégios mínimos de integridade
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no de Integridade do Microsoft Entra Connect.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Adicionar ou excluir serviços | Proprietário | |
| Aplicar correções para erro de sincronização | Colaborador | Proprietário |
| Configurar notificações | Colaborador | Proprietário |
| Definir configurações | Proprietário | |
| Configurar notificações de sincronização | Colaborador | Proprietário |
| Ler os relatórios de segurança do ADFS | Leitor de segurança |
Colaborador Proprietário |
| Ler todas as configurações | Leitor |
Colaborador Proprietário |
| Ler os erros de sincronização | Leitor |
Colaborador Proprietário |
| Ler os serviços de sincronização | Leitor |
Colaborador Proprietário |
| Exibir métricas e alertas | Leitor |
Colaborador Proprietário |
| Exibir métricas e alertas | Leitor |
Colaborador Proprietário |
| Exibir métricas e alertas do serviço de sincronização | Leitor |
Colaborador Proprietário |
Domínio personalizado nomeia funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para nomes de domínio personalizados na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar domínios | Administrador de Nome de Domínio | |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
Funções com privilégios mínimos dos Serviços de Domínio
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no Microsoft Entra Domain Services.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Criar Microsoft Entra instância do Domain Services |
Administrador de Aplicativos Administrador de Grupos Colaborador do Serviço de Domínio |
|
| Executar todas as tarefas do Microsoft Entra Domain Services | Grupo de administradores do AAD DC | |
| Ler todas as configurações | Leitor na assinatura do Azure que contém o serviço AD DS |
Funções com privilégios mínimos de dispositivos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de identidade do dispositivo na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Excluir um dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
| Desabilitar dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
| Habilitar dispositivo | Administrador de dispositivo de nuvem | Administrador do Intune |
| Ler a configuração básica | Função de usuário padrão | |
| Ler as chaves do BitLocker | Administrador de dispositivo de nuvem |
Administrador de Assistência Técnica Administrador do Intune Administrador de segurança Leitor de segurança |
Funções com privilégios mínimos para aplicativos empresariais
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de gerenciamento de aplicativos na ID do Microsoft Entra.
Funções com privilégios mínimos de gerenciamento de direitos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de gerenciamento de direitos na Governança de ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Tarefas no Gerenciamento de Direitos | administrador de governança de identidade . Para funções menos privilegiadas do que essa no sistema de Gerenciamento de Direitos, consulte: delegação de e funções no gerenciamento de direitos. |
Agrupa funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para grupos de na ID do Microsoft Entra.
Funções com privilégios mínimos de licenças
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de licenciamento do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Atribuir licença | Administrador de Licenças | Administrador de usuários |
| Ler todas as configurações | Leitores de Diretório | Função de usuário padrão |
| Revogar licença | Administrador de Licenças | Administrador de usuários |
| Experimentar ou comprar uma assinatura | Administrador de Cobrança |
Funções com menos privilégios de fluxos de trabalho de ciclo de vida
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para fluxos de trabalho do ciclo de vida na Governança de ID do Microsoft Entra.
Funções menos privilegiadas do Microsoft Entra Health
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no de monitoramento do Microsoft Entra Health.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Exibir sinais de monitoramento de cenário | Leitor de relatórios |
Leitor de segurança Operador de Segurança Administrador de segurança Administrador de Assistência Técnica Leitor global |
Funções com privilégios mínimos do Microsoft Entra ID Protection
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no do Microsoft Entra ID Protection.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar notificações de alerta | Administrador de segurança | |
| Configurar e habilitar ou desabilitar política de MFA | Administrador de segurança | |
| Configurar e habilitar ou desabilitar política de risco de entrada | Administrador de segurança | |
| Configurar e habilitar ou desabilitar política de risco do usuário | Administrador de segurança | |
| Configurar resumos semanais | Administrador de segurança | |
| Ignorar todas as detecções de risco | Operador de Segurança | |
| Corrigir ou ignorar vulnerabilidade | Administrador de segurança | |
| Ler todas as configurações | Leitor de segurança | |
| Ler todas as detecções de risco | Leitor de segurança | |
| Ler vulnerabilidades | Leitor de segurança |
Monitoramento e integridade – A auditoria e a entrada registram funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para auditoria e logs de entrada no de monitoramento do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler logs de auditoria | Leitor de relatórios |
Administrador de Aplicativos Administrador de Aplicativos de Nuvem Administrador de dispositivo de nuvem Administrador de Acesso Global Seguro Administrador de Identidade Híbrida Administrador de segurança Operador de Segurança Leitor de segurança |
Monitoramento e integridade – O provisionamento registra funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para provisionar logs no de monitoramento do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler logs de entrada | Leitor de relatórios |
Administrador de Aplicativos Administrador de Aplicativos de Nuvem Administrador de dispositivo de nuvem Administrador de Identidade Híbrida Administrador de segurança Operador de Segurança Leitor de segurança |
Monitoramento e integridade – Recomendações de funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para recomendações de identidade no de monitoramento do Microsoft Entra.
Funções com privilégios mínimos de autenticação multifator
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no de autenticação do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Excluir todas as senhas de aplicativos existentes geradas pelos usuários selecionados | Administrador de política de autenticação | Administrador de autenticação |
| Desabilitar a MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Habilitar MFA por usuário | Administrador de autenticação | Administrador de autenticação privilegiada |
| Gerenciar configurações do serviço de MFA | Administrador de política de autenticação | |
| Exigir que os usuários selecionados forneçam métodos de contato novamente | Administrador de autenticação | |
| Restaurar a autenticação multifator em todos os dispositivos lembrados | Administrador de autenticação |
Funções com privilégios mínimos do Servidor MFA
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas em servidor MFA.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Bloquear/desbloquear usuários | Administrador de política de autenticação | |
| Configurar bloqueio de conta | Administrador de política de autenticação | |
| Configurar regras de cache | Administrador de política de autenticação | |
| Configurar alerta de fraude | Administrador de política de autenticação | |
| Configurar notificações | Administrador de política de autenticação | |
| Configurar bypass avulso | Administrador de política de autenticação | |
| Definir configurações de chamada telefônica | Administrador de política de autenticação | |
| Configurar provedores | Administrador de política de autenticação | |
| Definir configurações do servidor | Administrador de política de autenticação | |
| Ler relatório de atividades | Leitor global | |
| Ler todas as configurações | Leitor global | |
| Ler o status do servidor | Leitor global |
Relações organizacionais com menos privilégios
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para configurações de colaboração externa na ID Externa do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar provedores de identidade | Administrador do provedor de identidade externa | |
| Ler todas as configurações | Leitor global |
Redefinir funções com privilégios mínimos de redefinição de senha
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de redefinição de senha na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Configurar métodos de autenticação | Administrador de política de autenticação | |
| Configurar personalização | Administrador de política de autenticação | |
| Configurar notificação | Administrador de política de autenticação | |
| Configurar integração local | Administrador de política de autenticação | |
| Configurar propriedades de redefinição de senha | Administrador de usuários | Administrador de política de autenticação |
| Configurar registro | Administrador de política de autenticação | |
| Ler todas as configurações | Administrador de segurança | Administrador de usuários |
Permissões gerenciam funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas no de Gerenciamento de Permissões do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Integração do locatário | Administrador de Gerenciamento de Permissões | |
| Ambientes de nuvem integrados | Administrador de Gerenciamento de Permissões | |
| Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra | Administrador de Gerenciamento de Permissões | |
| Comece a avaliação e compre licenças do Microsoft Entra Permissions Management | Administrador de Cobrança |
Funções com privilégios mínimos do Privileged Identity Management
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para o Microsoft Entra Privileged Identity Management na Governança de ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Atribuir usuários a funções | Administrador de Função com Privilégios | |
| Definir configurações de função | Administrador de Função com Privilégios | |
| Exibir atividade de auditoria | Leitor de segurança | |
| Exibir associações de função | Leitor de segurança |
Funções e administradores com menos privilégios
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para funções e administradores na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Gerenciar atribuições de função | Administrador de Função com Privilégios | |
| Revisão de acesso de leitura de uma função de Microsoft Entra | Leitor de segurança |
Administrador de segurança Administrador de Função com Privilégios |
| Ler todas as configurações | Função de usuário padrão |
Segurança – Métodos de autenticação com menos privilégios
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para métodos de autenticação na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Habilitar ou desabilitar os métodos de autenticação | Administrador de política de autenticação | |
| Exibir, provisionar em nome de e gerenciar métodos de autenticação de usuários individuais | Administrador de autenticação | Administrador de autenticação privilegiada |
| Configurar a proteção de senha | Administrador de segurança | |
| Configurar o bloqueio inteligente | Administrador de segurança | |
| Ler todas as configurações | Leitor global |
Segurança – Acesso Condicional com menos privilégios
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de Acesso Condicional na ID do Microsoft Entra.
Segurança – Funções com privilégios mínimos de Pontuação de Segurança de Identidade
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de Pontuação de Segurança de Identidade na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de segurança | Administrador de segurança |
| Ler pontuação de segurança | Leitor de segurança | Administrador de segurança |
| Atualizar status do evento | Administrador de segurança |
Segurança – Funções com privilégios mínimos de entradas arriscadas
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para entradas arriscadas no Microsoft Entra ID Protection.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Ler todas as configurações | Leitor de segurança | |
| Ler as entradas arriscadas | Leitor de segurança |
Segurança – Usuários sinalizados para funções com privilégios mínimos de risco
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para usuários sinalizados para de risco no Microsoft Entra ID Protection.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Descartar todos os eventos | Administrador de segurança | |
| Ler todas as configurações | Leitor de segurança | |
| Ler usuários sinalizados para risco | Leitor de segurança |
Funções com privilégios mínimos de passagem de acesso temporário
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para de Passagem de Acesso Temporário na ID do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Criar, excluir ou ver uma senha de acesso temporária de administradores ou membros (exceto eles mesmos) | Administrador de autenticação privilegiada | |
| Criar, excluir ou ver uma senha de acesso temporária de membros (exceto eles mesmos) | Administrador de autenticação | |
| Ver os detalhes de uma senha de acesso temporária de um usuário (sem ler o próprio código) | Leitor global | |
| Configurar ou atualizar a política de método de autenticação da senha de acesso temporária | Administrador de política de autenticação |
Funções com privilégios mínimos para locatários
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas em locatários do Microsoft Entra.
| Tarefa | Função com privilégios mínimos | Funções adicionais |
|---|---|---|
| Crie novos locatários do Microsoft Entra ID ou Azure AD B2C | Criador de Locatários | |
| Atualizar as propriedades do locatário do Microsoft Entra | Administrador de Cobrança | |
| Gerenciar a declaração de privacidade e o contato | Administrador de Cobrança |
Funções com privilégios mínimos para usuários
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para usuários na ID do Microsoft Entra.
Suporte a funções com privilégios mínimos
Aqui estão as funções menos privilegiadas que você deve usar ao executar tarefas para suporte na ID do Microsoft Entra.