Quais são as permissões de usuário padrão no Microsoft Entra ID?

  • Artigo

No Microsoft Entra ID, todos os usuários recebem um conjunto de permissões padrão. O acesso de um usuário consiste no tipo de usuário, suas atribuições de função e sua propriedade de objetos individuais.

Este artigo descreve essas permissões padrão e compara os padrões de membro e usuário convidado. As permissões de usuário padrão podem ser alteradas somente nas configurações do usuário no Microsoft Entra ID.

Utilizadores membros e convidados

O conjunto de permissões padrão depende se o usuário é um membro nativo do locatário (usuário membro) ou é trazido de outro diretório, como um convidado de colaboração entre empresas (B2B) (usuário convidado). Para obter mais informações sobre como adicionar usuários convidados, consulte O que é a colaboração B2B do Microsoft Entra?. Aqui estão os recursos das permissões padrão:

  • Os usuários membros podem registrar aplicativos, gerenciar sua própria foto de perfil e número de telefone celular, alterar sua própria senha e convidar convidados B2B. Esses usuários também podem ler todas as informações do diretório (com algumas exceções).

  • Os usuários convidados têm permissões de diretório restritas. Eles podem gerenciar seu próprio perfil, alterar sua própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações do diretório.

    Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários, grupos e outros objetos de diretório. Os convidados podem ser adicionados a funções de administrador, que lhes concedem permissões completas de leitura e gravação. Os hóspedes também podem convidar outros hóspedes.

Comparar permissões padrão de membro e convidado

Área Permissões de usuário de membro Permissões de usuário convidado padrão Permissões restritas de usuário convidado
Utilizadores e contactos
  • Enumerar a lista de todos os usuários e contatos
  • Ler todas as propriedades públicas de usuários e contatos
  • Convide hóspedes
  • Alterar a sua própria palavra-passe
  • Gerir o seu próprio número de telemóvel
  • Gerenciar sua própria foto
  • Invalidar seus próprios tokens de atualização
  • Leia os seus próprios imóveis
  • Ler nome de exibição, e-mail, nome de entrada, foto, nome principal do usuário e propriedades de tipo de usuário de outros usuários e contatos
  • Alterar a sua própria palavra-passe
  • Procurar outro usuário por ID de objeto (se permitido)
  • Ler informações do gerente e reportar diretamente de outros usuários
  • Leia os seus próprios imóveis
  • Alterar a sua própria palavra-passe
  • Gerir o seu próprio número de telemóvel
Publicações
  • Criar grupos de segurança
  • Criar grupos do Microsoft 365
  • Enumerar a lista de todos os grupos
  • Ler todas as propriedades de grupos
  • Ler associação de grupo não oculta
  • Leia a associação oculta de grupo do Microsoft 365 para grupos ingressados
  • Gerenciar propriedades, propriedade e associação de grupos que o usuário possui
  • Adicionar convidados a grupos próprios
  • Gerenciar configurações de associação de grupo
  • Excluir grupos de propriedade
  • Restaurar grupos proprietários do Microsoft 365
  • Ler propriedades de grupos não ocultos, incluindo associação e propriedade (mesmo grupos não associados)
  • Leia a associação oculta de grupo do Microsoft 365 para grupos ingressados
  • Pesquisar grupos por nome de exibição ou ID do objeto (se permitido)
  • Ler ID de objeto para grupos associados
  • Ler a associação e a propriedade de grupos associados em algumas aplicações do Microsoft 365 (se permitido)
Aplicações
  • Registar (criar) novas aplicações
  • Enumerar a lista de todos os aplicativos
  • Ler propriedades de aplicações registadas e empresariais
  • Gerenciar propriedades, atribuições e credenciais de aplicativos para aplicativos de propriedade
  • Criar ou excluir senhas de aplicativos para usuários
  • Excluir aplicativos de propriedade
  • Restaurar aplicativos de propriedade
  • Listar permissões concedidas a aplicativos
  • Ler propriedades de aplicações registadas e empresariais
  • Listar permissões concedidas a aplicativos
  • Ler propriedades de aplicações registadas e empresariais
  • Listar permissões concedidas a aplicativos
Dispositivos
  • Enumerar a lista de todos os dispositivos
  • Ler todas as propriedades dos dispositivos
  • Gerenciar todas as propriedades de dispositivos próprios
 Sem permissões Sem permissões
Organização
  • Leia todas as informações da empresa
  • Ler todos os domínios
  • Ler a configuração da autenticação baseada em certificado
  • Leia todos os contratos de parceiros
  • Leia os detalhes básicos da organização multilocatária e os locatários ativos
  • Ler nome de exibição da empresa
  • Ler todos os domínios
  • Ler a configuração da autenticação baseada em certificado
  • Ler nome de exibição da empresa
  • Ler todos os domínios
Funções e escopos
  • Leia todas as funções administrativas e associações
  • Ler todas as propriedades e membros de unidades administrativas
 Sem permissões Sem permissões
Subscrições
  • Ler todas as subscrições de licenciamento
  • Habilitar associações de plano de serviço
 Sem permissões Sem permissões
Políticas
  • Ler todas as propriedades das políticas
  • Gerenciar todas as propriedades de políticas de propriedade
 Sem permissões Sem permissões

Restringir as permissões padrão dos usuários membros

É possível adicionar restrições às permissões padrão dos usuários.

Você pode restringir as permissões padrão para usuários membros das seguintes maneiras:

Atenção

Usar a opção Restringir acesso ao portal de administração do Microsoft Entra NÃO é uma medida de segurança. Para obter mais informações sobre a funcionalidade, consulte a tabela a seguir.

Permissão Explicação da configuração
Registar candidaturas Definir essa opção como Não impede que os usuários criem registros de aplicativos. Em seguida, você pode conceder a capacidade de volta a indivíduos específicos, adicionando-os à função de desenvolvedor de aplicativos.
Permitir que os usuários conectem uma conta corporativa ou de estudante ao LinkedIn Definir essa opção como Não impede que os usuários conectem suas contas corporativas ou de estudante à conta do LinkedIn. Para obter mais informações, consulte Conexões de conta do LinkedIn, compartilhamento de dados e consentimento.
Criar grupos de segurança Definir essa opção como Não impede que os usuários criem grupos de segurança. Os usuários atribuídos pelo menos a função Administradores de Usuário ainda podem criar grupos de segurança. Para saber como, consulte Cmdlets do Microsoft Entra para definir configurações de grupo.
Criar grupos do Microsoft 365 Definir essa opção como Não impede que os usuários criem grupos do Microsoft 365. Definir essa opção como Alguns permite que um conjunto de usuários crie grupos do Microsoft 365. Qualquer pessoa atribuída pelo menos a função de Administrador de Usuário ainda pode criar grupos do Microsoft 365. Para saber como, consulte Cmdlets do Microsoft Entra para definir configurações de grupo.
Restringir o acesso ao portal de administração do Microsoft Entra O que faz este interruptor?
Não permite que não-administradores naveguem no portal de administração do Microsoft Entra.
Sim Restringe a navegação de não-administradores no portal de administração do Microsoft Entra. Os não administradores que são proprietários de grupos ou aplicativos não podem usar o portal do Azure para gerenciar seus recursos próprios.

O que não faz?
Ele não restringe o acesso aos dados do Microsoft Entra usando PowerShell, Microsoft GraphAPI ou outros clientes, como o Visual Studio.
Ele não restringe o acesso, desde que um usuário receba uma função personalizada (ou qualquer função).

Quando devo usar este interruptor?
Use essa opção para evitar que os usuários configurem incorretamente os recursos que possuem.

Quando não devo usar este interruptor?
Não utilize este interruptor como medida de segurança. Em vez disso, crie uma política de Acesso Condicional direcionada à API de Gerenciamento de Serviços do Windows Azure que bloqueie o acesso de não administradores à API de Gerenciamento de Serviços do Windows Azure.

Como faço para conceder apenas a um usuário não administrador específico a capacidade de usar o portal de administração do Microsoft Entra?
Defina esta opção como Sim e, em seguida, atribua-lhes uma função como leitor global.

Restringir o acesso ao portal de administração do Microsoft Entra
Uma política de Acesso Condicional direcionada à API de Gerenciamento de Serviços do Windows Azure direciona o acesso a todo o gerenciamento do Azure.
Impedir que usuários não administradores criem locatários Os usuários podem criar locatários na ID do Microsoft Entra e no portal de administração do Microsoft Entra em Gerenciar locatário. A criação de um locatário é registrada no log de auditoria como categoria DirectoryManagement e activity Create Company. Qualquer pessoa que crie um locatário se torna o Administrador Global desse locatário. O locatário recém-criado não herda nenhuma definição ou configuração.

O que faz este interruptor?
Definir essa opção como Sim restringe a criação de locatários do Microsoft Entra a qualquer pessoa atribuída pelo menos à função de Criador de Locatários. Definir essa opção como Não permite que usuários não administradores criem locatários do Microsoft Entra. A criação de locatário continua a ser registrada no log de auditoria.

Como faço para conceder apenas a um usuário não administrador específico a capacidade de criar novos locatários?
Defina esta opção como Sim e, em seguida, atribua-lhes a função de Criador de Inquilino.
Impedir que os utilizadores recuperem a(s) chave(s) BitLocker para os seus dispositivos próprios Essa configuração pode ser encontrada no centro de administração do Microsoft Entra nas Configurações do dispositivo. Definir essa opção como Sim restringe os usuários de poderem recuperar chave(s) BitLocker de autoatendimento para seus dispositivos próprios. Os usuários devem entrar em contato com o helpdesk de sua organização para recuperar suas chaves BitLocker. Definir essa opção como Não permite que os usuários recuperem sua(s) chave(s) BitLocker.
Ler outros utilizadores Essa configuração está disponível somente no Microsoft Graph e no PowerShell. Definir esse sinalizador para $false impedir que todos os não-administradores leiam informações do usuário do diretório. Esse sinalizador pode impedir a leitura de informações do usuário em outros serviços da Microsoft, como o Microsoft Teams.

Esta definição destina-se a circunstâncias especiais, pelo que não recomendamos definir o sinalizador como $false.

A opção Impedir que usuários não administradores criem locatários é mostrada na captura de tela a seguir.

Captura de ecrã a mostrar a opção Restringir a criação de inquilinos por não-administradores.

Restringir as permissões padrão dos usuários convidados

Você pode restringir as permissões padrão para usuários convidados das seguintes maneiras.

Observação

A configuração de restrições de acesso de usuário convidado substituiu a configuração de permissões de usuários convidados são limitadas . Para obter orientação sobre como usar esse recurso, consulte Restringir permissões de acesso de convidado no Microsoft Entra ID.

Permissão Explicação da configuração
Restrições de acesso de usuário convidado Definir essa opção para que os usuários convidados tenham o mesmo acesso que os membros concede a todos os usuários membros permissões aos usuários convidados por padrão.

Definir essa opção como Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório restringe o acesso de convidado apenas ao seu próprio perfil de usuário por padrão. O acesso a outros usuários não é mais permitido, mesmo quando eles pesquisam por nome principal do usuário, ID do objeto ou nome para exibição. O acesso a informações de grupos, incluindo associações a grupos, também não é mais permitido.

Essa configuração não impede o acesso a grupos ingressados em alguns serviços do Microsoft 365, como o Microsoft Teams. Para saber mais, consulte Acesso de convidado do Microsoft Teams.

Os usuários convidados ainda podem ser adicionados às funções de administrador, independentemente dessa configuração de permissão.
Os hóspedes podem convidar Definir essa opção como Sim permite que os hóspedes convidem outros convidados. Para saber mais, consulte Definir configurações de colaboração externa.

Propriedade do objeto

Permissões de proprietário do registro de aplicativo

Quando um usuário registra um aplicativo, ele é automaticamente adicionado como proprietário do aplicativo. Como proprietário, eles podem gerenciar os metadados do aplicativo, como o nome e as permissões que o aplicativo solicita. Eles também podem gerenciar a configuração específica do locatário do aplicativo, como a configuração de logon único (SSO) e atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos a função de Administrador de Aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões de proprietário de aplicativo corporativo

Quando um usuário adiciona um novo aplicativo corporativo, ele é adicionado automaticamente como proprietário. Como proprietário, eles podem gerenciar a configuração específica do locatário do aplicativo, como a configuração de SSO, o provisionamento e as atribuições de usuário.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos a função de Administrador de Aplicativos, os proprietários podem gerenciar apenas os aplicativos que possuem.

Permissões de proprietário do grupo

Quando um usuário cria um grupo, ele é adicionado automaticamente como proprietário desse grupo. Como proprietário, eles podem gerenciar propriedades do grupo (como o nome) e gerenciar a associação ao grupo.

Um proprietário também pode adicionar ou remover outros proprietários. Ao contrário dos usuários atribuídos pelo menos a função de Administrador de Grupos, os proprietários podem gerenciar apenas os grupos que possuem e podem adicionar ou remover membros do grupo somente se o tipo de associação do grupo for atribuído.

Para atribuir um proprietário de grupo, consulte Gerenciando proprietários de um grupo.

Para usar o Gerenciamento de Acesso Privilegiado (PIM) para tornar um grupo elegível para uma atribuição de função, consulte Usar grupos do Microsoft Entra para gerenciar atribuições de função.

Permissões de propriedade

As tabelas a seguir descrevem as permissões específicas no Microsoft Entra ID que os usuários membros têm sobre objetos de propriedade. Os usuários têm essas permissões somente em objetos que possuem.

Registros de aplicativos próprios

Os usuários podem executar as seguintes ações em registros de aplicativos próprios:

Ação Descrição
microsoft.directory/aplicativos/audiência/atualização Atualize a applications.audience propriedade no Microsoft Entra ID.
microsoft.directory/aplicativos/autenticação/atualização Atualize a applications.authentication propriedade no Microsoft Entra ID.
microsoft.directory/applications/basic/update Atualize as propriedades básicas em aplicativos no Microsoft Entra ID.
microsoft.directory/aplicativos/credenciais/atualização Atualize a applications.credentials propriedade no Microsoft Entra ID.
microsoft.directory/aplicativos/excluir Exclua aplicativos no Microsoft Entra ID.
microsoft.directory/aplicativos/proprietários/atualização Atualize a applications.owners propriedade no Microsoft Entra ID.
microsoft.directory/aplicativos/permissões/atualização Atualize a applications.permissions propriedade no Microsoft Entra ID.
microsoft.directory/aplicativos/políticas/atualização Atualize a applications.policies propriedade no Microsoft Entra ID.
microsoft.directory/aplicativos/restauração Restaure aplicativos no Microsoft Entra ID.

Aplicações empresariais próprias

Os usuários podem executar as seguintes ações em aplicativos corporativos próprios. Um aplicativo corporativo consiste em uma entidade de serviço, uma ou mais políticas de aplicativo e, às vezes, um objeto de aplicativo no mesmo locatário que a entidade de serviço.

Ação Descrição
microsoft.directory/auditLogs/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em logs de auditoria no Microsoft Entra ID.
microsoft.directory/policies/basic/update Atualize as propriedades básicas das políticas no Microsoft Entra ID.
microsoft.directory/policies/excluir Exclua políticas no Microsoft Entra ID.
microsoft.directory/policies/owners/update Atualize a policies.owners propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualize a servicePrincipals.appRoleAssignedTo propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Atualize a users.appRoleAssignments propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Atualize a servicePrincipals.audience propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Atualize a servicePrincipals.authentication propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Atualize as propriedades básicas em entidades de serviço no Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update Atualize a servicePrincipals.credentials propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/excluir Exclua entidades de serviço no Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update Atualize a servicePrincipals.owners propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Atualize a servicePrincipals.permissions propriedade no Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Atualize a servicePrincipals.policies propriedade no Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Leia todas as propriedades (incluindo propriedades privilegiadas) em relatórios de entrada no Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar Gerenciar segredos e credenciais de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar o provisionamento de aplicativos, trabalhos de sincronização e esquema
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à sua entidade de serviço

Dispositivos próprios

Os usuários podem executar as seguintes ações em dispositivos próprios:

Ação Descrição
microsoft.directory/devices/bitLockerRecoveryKeys/leitura Leia a devices.bitLockerRecoveryKeys propriedade em Microsoft Entra ID.
microsoft.directory/devices/disable Desative dispositivos no Microsoft Entra ID.

Grupos próprios

Os usuários podem executar as seguintes ações em grupos de propriedade.

Observação

Os proprietários de grupos de associação dinâmica devem ter a função de Administrador de Grupos, Administrador do Intune ou Administrador de Usuários para editar regras para grupos de associação dinâmica. Para obter mais informações, consulte Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID.

Ação Descrição
microsoft.directory/groups/appRoleAssignments/update Atualize a groups.appRoleAssignments propriedade no Microsoft Entra ID.
microsoft.directory/groups/basic/update Atualize as propriedades básicas em grupos no Microsoft Entra ID.
microsoft.directory/groups/excluir Exclua grupos no Microsoft Entra ID.
microsoft.directory/groups/members/update Atualize a groups.members propriedade no Microsoft Entra ID.
microsoft.directory/groups/owners/update Atualize a groups.owners propriedade no Microsoft Entra ID.
microsoft.directory/groups/restore Restaure grupos no Microsoft Entra ID.
microsoft.directory/groups/settings/update Atualize a groups.settings propriedade no Microsoft Entra ID.

Próximos passos