Funções incorporadas do Azure AD
No Azure Ative Directory (Azure AD), se outro administrador ou não administrador precisar de gerir os recursos Azure AD, atribua-lhes uma função Azure AD que fornece as permissões de que necessitam. Por exemplo, pode atribuir funções para permitir adicionar ou alterar utilizadores, redefinir palavras-passe do utilizador, gerir licenças de utilizador ou gerir nomes de domínio.
Este artigo lista as funções Azure AD incorporadas que pode atribuir para permitir a gestão de recursos Azure AD. Para obter informações sobre como atribuir funções, consulte atribuir Azure AD funções aos utilizadores. Se procura papéis para gerir os recursos do Azure, consulte os papéis incorporados do Azure.
Todos os papéis
| Função | Description | ID do Modelo |
|---|---|---|
| Administrador de Aplicações | Pode criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais. | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Programador de Aplicações | Pode criar registos de aplicações independentemente da definição de "Os Utilizadores podem registar as aplicações". | cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autor de carga útil de ataque | Pode criar cargas de ataque que um administrador pode iniciar mais tarde. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administrador de simulação de ataque | Pode criar e gerir todos os aspetos das campanhas de simulação de ataque. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Administrador de atribuição de atributos | Atribua chaves e valores de atributo de segurança personalizados a objetos Azure AD suportados. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Leitor de atribuição de atributos | Leia as teclas e valores de atributos de segurança personalizados para objetos Azure AD suportados. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Administrador de Definição de Atributos | Definir e gerir a definição de atributos de segurança personalizados. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Leitor de Definição de Atributos | Leia a definição de atributos de segurança personalizados. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Administrador de Autenticação | Pode aceder à visualização, definição e reposição de informações do método de autenticação para qualquer utilizador não administrado. | c4e39bd9-1100-46d3-8c65-fb160da00071f |
| Administrador de Política de Autenticação | Pode criar e gerir a política de métodos de autenticação, configurações de MFA em todo o inquilino, política de proteção de senhas e credenciais verificáveis. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure AD administrador local do dispositivo | Os utilizadores destacados para esta função são adicionados ao grupo de administradores locais em dispositivos Azure AD-ligados. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Administrador da Azure DevOps | Pode gerir as políticas e configurações do Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Administrador de Information Protection Azure | Pode gerir todos os aspetos do produto Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Administrador do Keyset B2C IEF | Pode gerir segredos para a federação e encriptação no Quadro de Experiência de Identidade (IEF). | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Administrador de Política B2C IEF | Pode criar e gerir políticas-quadro de confiança no Quadro de Experiência de Identidade (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Administrador de Faturação | Pode executar tarefas comuns relacionadas com faturação, como atualizar informações de pagamento. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Administrador Cloud App Security | Pode gerir todos os aspetos do produto Defender for Cloud Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Administrador de Aplicações na Cloud | Pode criar e gerir todos os aspetos dos registos de aplicações e aplicações empresariais, exceto app Proxy. | 158c047a-c907-4556-b7ef-446551a6b5f7 |
| Administrador de dispositivos de nuvem | Acesso limitado a dispositivos de gestão em Azure AD. | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| Administrador de Conformidade | Pode ler e gerir a configuração e relatórios de conformidade em Azure AD e Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Administrador de Dados de Conformidade | Cria e gere o conteúdo de conformidade. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administrador de acesso condicional | Pode gerir as capacidades de Acesso Condicional. | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Aprovação de acesso ao cliente LockBox | Pode aprovar pedidos de suporte da Microsoft para aceder a dados organizacionais do cliente. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Administrador Análise de Computadores | Pode aceder e gerir ferramentas e serviços de gestão de desktop. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Leitores de Diretório | Pode ler informações básicas de diretório. Normalmente usado para conceder diretório ler acesso a aplicações e hóspedes. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Contas de Sincronização do Diretório | Utilizado apenas pelo serviço Azure AD Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Escritores do Diretório | Pode ler e escrever informações básicas de diretório. Para a concessão de acesso a aplicações, não destinadas aos utilizadores. | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| Administrador de Nome de Domínio | Pode gerir nomes de domínio em nuvem e no local. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Administrador dinâmico 365 | Pode gerir todos os aspetos do produto Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Administrador de borda | Gerencie todos os aspetos do Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Administrador do Exchange | Pode gerir todos os aspetos do produto Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Administrador do Destinatário de Intercâmbio | Pode criar ou atualizar Exchange Online destinatários dentro da organização Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Administrador de fluxo de id externo | Pode criar e gerir todos os aspetos dos fluxos de utilizadores. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administrador de atributo de fluxo de id de id externo | Pode criar e gerir o esquema de atributos disponível para todos os fluxos do utilizador. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Administrador de fornecedor de identidade externa | Pode configurar os fornecedores de identidade para uso na federação direta. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Administrador Global | Pode gerir todos os aspetos dos serviços Azure AD e Microsoft que utilizam Azure AD identidades. | 62e90394-69f5-4237-9190-012177145e10 |
| Leitor Global | Pode ler tudo o que um Administrador Global pode, mas não atualizar nada. | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Administrador de Grupos | Os membros desta função podem criar/gerir grupos, criar/gerir configurações de grupos como políticas de nomeação e expiração, e ver relatórios de atividade e auditoria de grupos. | fddd7a751-b60b-444a-984c-02652fe8fa1c |
| Convidado Convidado | Pode convidar utilizadores convidados independentemente da definição de "membros podem convidar os hóspedes". | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Administrador helpdesk | Pode redefinir palavras-passe para administradores não administradores e administradores de helpdesk. | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Administrador de identidade híbrida | Pode gerir a AD para Azure AD provisão em nuvem, Azure AD Ligar, Autenticação Pass-through (PTA), sincronização de hash de palavra-passe (PHS), insípido único sinal (SSO sem emenda) e configurações da federação. | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Administrador de Governação de Identidade | Gerir o acesso utilizando Azure AD para cenários de governação de identidade. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Administrador de Insights | Tem acesso administrativo na aplicação Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Analista de Insights | Aceda às capacidades analíticas em Informações Microsoft Viva e execute consultas personalizadas. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Pode ver e partilhar dashboards e insights através da aplicação Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Administrador Intune | Pode gerir todos os aspetos do produto Intune. | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Administrador kaizala | Pode gerir as definições para o Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Administrador de Conhecimento | Pode configurar conhecimento, aprendizagem e outras características inteligentes. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Gestor de Conhecimento | Pode organizar, criar, gerir e promover tópicos e conhecimentos. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Administrador de Licença | Pode gerir licenças de produtos em utilizadores e grupos. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Leitor de Privacidade do Centro de Mensagens | Pode ler mensagens de segurança e atualizações apenas no Office 365 Message Center. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Leitor do Centro de Mensagens | Pode ler mensagens e atualizações para a sua organização apenas no Office 365 Message Center. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Utilizador de Comércio Moderno | Pode gerir compras comerciais para uma empresa, departamento ou equipa. | d24aef57-1500-4070-84db-2666f29cf966 |
| Administrador de rede | Pode gerir as localizações da rede e rever insights de design de rede empresarial para o Microsoft 365 Software como aplicações de serviço. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Administrador de Aplicações de Escritório | Pode gerir os serviços de cloud de aplicações do Office, incluindo a gestão de políticas e definições, e gerir a capacidade de selecionar, desescolhê-lo e publicar conteúdo de funcionalidades "quais as novidades" para os dispositivos do utilizador final. | 2b745bdf-0803-4d80-aa65-822c493daac |
| Suporte parceiro Tier1 | Não utilizar - não se destina a uso geral. | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Suporte parceiro Tier2 | Não utilizar - não se destina a uso geral. | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Administrador de password | Pode redefinir palavras-passe para administradores não-administradores e administradores de passwords. | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Administrador de Bi de Energia | Pode gerir todos os aspetos do produto Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Administrador da Plataforma de Energia | Pode criar e gerir todos os aspetos do Microsoft Dynamics 365, Power Apps e Power Automamate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Administrador de impressora | Pode gerir todos os aspetos das impressoras e conectores de impressoras. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Técnico de impressora | Pode registar-se e não registar impressoras e atualizar o estado da impressora. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Administrador de Autenticação Privilegiada | Pode aceder à visualização, definição e reposição de informações do método de autenticação para qualquer utilizador (administrador ou não administrador). | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administrador de Funções com Privilégios | Pode gerir atribuições de papéis em Azure AD, e todos os aspetos da Privileged Identity Management. | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Leitor de Relatórios | Pode ler relatórios de inscrição e auditoria. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Administrador de Pesquisa | Pode criar e gerir todos os aspetos das definições de Pesquisa do Microsoft. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Editor de Pesquisa | Pode criar e gerir os conteúdos editoriais tais como marcadores, Q e As, localizações, planta. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Administrador de Segurança | Pode ler informações de segurança e relatórios e gerir a configuração em Azure AD e Office 365. | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operador de Segurança | Cria e gere eventos de segurança. | 5f222b1-57c3-48ba-8ad5-d4759f1f1fde6f |
| Leitor de Segurança | Pode ler informações de segurança e relatórios em Azure AD e Office 365. | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Administrador de Suporte de Serviço | Pode ler informações de saúde do serviço e gerir bilhetes de apoio. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Administrador do SharePoint | Pode gerir todos os aspetos do serviço SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Administrador Skype para Empresas | Pode gerir todos os aspetos do produto Skype para Empresas. | 75941009-915a-4869-abe7-691bff18279e |
| Administrador de Equipas | Pode gerir o serviço Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Administrador de Comunicações de Equipas | Pode gerir funcionalidades de chamadas e reuniões dentro do serviço Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Engenheiro de Suporte de Comunicações de Equipas | Pode resolver problemas de comunicação dentro das equipas usando ferramentas avançadas. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Especialista em Apoio às Comunicações das Equipas | Pode resolver problemas de comunicação dentro das equipas usando ferramentas básicas. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Administrador de Dispositivos de Equipas | Pode executar tarefas relacionadas com a gestão em dispositivos certificados por Equipas. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Leitor de Relatórios de Resumo de Utilização | Pode ver apenas agregados de nível de inquilino no Microsoft 365 Usage Analytics e Productivity Score. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Administrador de Utilizadores | Pode gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados. | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Administrador de Visitas Virtuais | Gerir e partilhar informações e métricas de Visitas Virtuais a partir de centros de administração ou da app Visitas Virtuais. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Administrador Windows 365 | Pode providenciar e gerir todos os aspetos dos Computadores Cloud. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Administrador de Windows Update De implementação | Pode criar e gerir todos os aspetos das implementações Windows Update através do Windows Update para o serviço de implementação de negócios. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Administrador da Aplicação
Os utilizadores desta função podem criar e gerir todos os aspetos das aplicações empresariais, registos de aplicações e configurações de procuração de aplicações. Note que os utilizadores destacados para esta função não são adicionados como proprietários ao criar novos registos de aplicações ou aplicações empresariais.
Esta função também concede a capacidade de consentir para permissões delegadas e permissões de aplicação, com exceção das permissões de aplicação para o Microsoft Graph.
Importante
Esta exceção significa que ainda pode consentir permissões de aplicações para outras aplicações (por exemplo, aplicações não Microsoft ou apps que tenha registado). Ainda pode solicitar estas permissões como parte do registo da app, mas conceder (isto é, consentir) estas permissões requer um administrador mais privilegiado, como o Administrador Global.
Esta função confere a capacidade de gerir as credenciais de aplicação. Os utilizadores designados para esta função podem adicionar credenciais a uma aplicação, e usar essas credenciais para personificar a identidade da aplicação. Se a identidade da aplicação tiver tido acesso a um recurso, como a capacidade de criar ou atualizar o Utilizador ou outros objetos, então um utilizador designado para esta função poderá executar essas ações enquanto se faz passar pela aplicação. Esta capacidade de personificar a identidade da aplicação pode ser uma elevação de privilégios sobre o que o utilizador pode fazer através das suas atribuições de funções. É importante entender que atribuir um utilizador à função de Administrador de Aplicação dá-lhes a capacidade de personificar a identidade de uma aplicação.
| Ações | Descrição |
|---|---|
| microsoft.directy/adminConsentRequestPolicy/allProperties/allTasks | Gerir políticas de pedido de consentimento administrativo em Azure AD |
| microsoft.diretório/appConsent/appConsentRequests/allProperties/read | Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD |
| microsoft.diretório/aplicações/criar | Criar todos os tipos de aplicações |
| microsoft.diretório/aplicações/delete | Eliminar todos os tipos de aplicações |
| microsoft.diretório/aplicações/applicationProxy/read | Leia todas as propriedades de procuração de aplicações |
| microsoft.diretório/aplicações/applicationProxy/update | Atualizar todas as propriedades de procuração de aplicações |
| microsoft.diretório/aplicações/applicationProxyAuthentication/update | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/aplicaçãoProxySslCertificate/update | Atualizar as definições de certificado SSL para procuração de aplicações |
| microsoft.diretório/aplicações/aplicaçãoProxyUrlSettings/update | Atualizar definições de URL para procuração de aplicação |
| microsoft.diretório/aplicações/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicações |
| microsoft.diretório/aplicações/audiência/atualização | Atualizar a propriedade do público para aplicações |
| microsoft.diretório/aplicações/autenticação/atualização | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/básico/atualização | Atualizar propriedades básicas para aplicações |
| microsoft.diretório/aplicações/credenciais/atualização | Atualizar credenciais de aplicação |
| microsoft.diretório/aplicações/extensõesProperties/update | Atualizar propriedades de extensão em aplicações |
| microsoft.diretório/aplicações/notas/atualização | Atualizações de notas de aplicações |
| microsoft.diretório/aplicações/proprietários/atualização | Atualizar os proprietários de aplicações |
| microsoft.diretório/aplicações/permissões/atualização | Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações |
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/aplicações/tag/update | Atualização de tags de aplicações |
| microsoft.diretório/aplicações/verificação/atualização | Atualizar propriedade de confirmação de aplicações |
| microsoft.diretório/aplicações/sincronização/standard/read | Leia as definições de provisionamento associadas ao objeto de aplicação |
| microsoft.diretório/aplicaçãoTemplates/instantiate | Aplicações instantâneas de galeria a partir de modelos de aplicação |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/conectores/criar | Criar conectores de procuração de aplicação |
| microsoft.diretório/conectores/allProperties/read | Leia todas as propriedades dos conectores de procuração de aplicação |
| microsoft.diretório/conectorGroups/criar | Criar grupos de conector de procuração de aplicação |
| microsoft.diretório/conectorGroups/delete | Eliminar grupos de conector de procuração de aplicação |
| microsoft.diretório/conectorGroups/allProperties/read | Leia todas as propriedades dos grupos de conector de procuração de aplicação |
| microsoft.diretório/conectorGroups/allProperties/update | Atualizar todas as propriedades dos grupos de conector de procuração de aplicação |
| microsoft.diretório/customAuthenticationExtensions/allProperties/allTasks | Criar e gerir extensões de autenticação personalizadas |
| microsoft.diretório/deletedItems.applications/delete | Eliminar permanentemente as aplicações, que já não podem ser restauradas |
| microsoft.diretório/deletedItems.applications/restore | Restaurar aplicações suaves eliminadas para o estado original |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/aplicaçãoPolicies/create | Criar políticas de aplicação |
| microsoft.diretório/aplicaçãoPolicies/delete | Eliminar políticas de aplicação |
| microsoft.diretório/aplicaçãoPolicies/standard/read | Ler propriedades padrão das políticas de aplicação |
| microsoft.diretório/aplicaçãoPolícias/proprietários/ler | Leia os proprietários sobre as políticas de aplicação |
| microsoft.diretório/aplicaçãoPolicies/policyAppliedTo/read | Ler políticas de aplicação aplicadas à lista de objetos |
| microsoft.diretório/aplicaçãoPolicies/basic/update | Atualizar propriedades padrão das políticas de aplicação |
| microsoft.diretório/aplicaçãoPolícias/proprietários/atualização | Atualizar a propriedade do proprietário das políticas de aplicação |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/serviçoPrincipals/criar | Criar principais de serviço |
| microsoft.diretório/serviçoPrincipals/delete | Eliminar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/desativar | Diretores de serviço para desativação |
| microsoft.diretório/serviçoPrincipals/enable | Ativar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/getPasswordSingleSignOnCredentials | Gerir credenciais de inscrição únicas de senha nos principais de serviço |
| microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage | Gerir o fornecimento de formulários e credenciais |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir | Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage | Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações |
| microsoft.diretório/serviçoPrincipals/managePasswordSingleSignOnCredentials | Leia credenciais de inscrição únicas na palavra-passe nos principais do serviço |
| microsoft.diretório/serviçoPrincipals/managePermissionGrantsForAll.microsoft-application-admin | Conceder consentimento para permissões de aplicação e permissões delegadas em nome de qualquer utilizador ou de todos os utilizadores, exceto para permissões de aplicação para Microsoft Graph |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/serviçoPrincipals/audience/update | Atualizar propriedades do público em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/autenticação/atualização | Atualizar propriedades de autenticação em principados de serviço |
| microsoft.diretório/serviçoPrincipals/básico/atualização | Atualizar propriedades básicas em principais serviços |
| microsoft.diretório/serviçoPrincipals/credenciais/atualização | Atualizar credenciais dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/notas/atualização | Atualização de notas dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/proprietários/atualização | Atualizar os proprietários dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/permissões/atualização | Atualizar permissões dos principais serviços |
| microsoft.diretório/serviçoPrincipals/políticas/atualização | Atualizar políticas dos principais serviços |
| microsoft.diretório/serviçoPrincipals/tag/update | Atualizar a propriedade tag para os principados de serviço |
| microsoft.diretório/serviçoPrincipals/sincronização/standard/read | Leia as definições de provisionamento associadas ao seu principal serviço |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Programador de Aplicações
Os utilizadores desta função podem criar registos de aplicações quando a definição de "Utilizadores podem registar aplicações" é definida como Nº. Esta função também concede permissão para consentir em nome próprio quando a definição de "Utilizadores podem consentir em aplicações que acedam aos dados da empresa em seu nome". Os utilizadores destacados para esta função são adicionados como proprietários ao criarem novos registos de aplicações.
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/createAsOwner | Crie todos os tipos de aplicações, e o criador é adicionado como o primeiro proprietário |
| microsoft.diretório/oAuth2PermissionGrants/createAsOwner | Criar bolsas de permissão OAuth 2.0, com o criador como o primeiro proprietário |
| microsoft.diretório/serviçoPrincipals/createAsOwner | Criar diretores de serviço, com o criador como o primeiro proprietário |
Autor de carga útil de ataque
Os utilizadores desta função podem criar cargas de ataque, mas não realmente lançá-las ou programar. As cargas de ataque estão então disponíveis para todos os administradores do inquilino que podem usá-los para criar uma simulação.
| Ações | Descrição |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Criar e gerir cargas de ataque no Simulador de Ataque |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leia relatos de respostas de simulação de ataque e treino associado |
Administrador de simulação de ataque
Os utilizadores desta função podem criar e gerir todos os aspetos da criação de simulação de ataque, lançamento/agendamento de uma simulação e revisão dos resultados da simulação. Os membros desta função têm este acesso a todas as simulações no arrendatário.
| Ações | Descrição |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Criar e gerir cargas de ataque no Simulador de Ataque |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leia relatos de respostas de simulação de ataque e treino associado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Criar e gerir modelos de simulação de ataque no Simulador de Ataque |
Administrador de atribuição de atributos
Os utilizadores com esta função podem atribuir e remover chaves e valores de atributos de segurança personalizados para objetos Azure AD suportados, tais como utilizadores, princípios de serviço e dispositivos.
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.
Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.
| Ações | Descrição |
|---|---|
| microsoft.diretório/atributoSets/allProperties/read | Leia todas as propriedades dos conjuntos de atributos |
| microsoft.diretório/customSecurityAttributeDefinitions/allProperties/read | Leia todas as propriedades das definições de atributos de segurança personalizadas |
| microsoft.diretório/dispositivos/customSecurityAttributes/read | Leia valores de atributos de segurança personalizados para dispositivos |
| microsoft.diretório/dispositivos/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para dispositivos |
| microsoft.diretório/serviçoPrincipals/customSecurityAttributes/read | Leia valores de atributos de segurança personalizados para os principados de serviço |
| microsoft.diretório/serviçoPrincipals/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para os principados de serviço |
| microsoft.diretório/utilizadores/customSecurityAttributes/read | Leia valores de atributos de segurança personalizados para os utilizadores |
| microsoft.diretório/utilizadores/customSecurityAttributes/update | Atualizar valores de atributos de segurança personalizados para utilizadores |
Leitor de atribuição de atributos
Os utilizadores com esta função podem ler chaves e valores de atributos de segurança personalizados para objetos Azure AD suportados.
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.
Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.
| Ações | Descrição |
|---|---|
| microsoft.diretório/atributoSets/allProperties/read | Leia todas as propriedades dos conjuntos de atributos |
| microsoft.diretório/customSecurityAttributeDefinitions/allProperties/read | Leia todas as propriedades das definições de atributos de segurança personalizadas |
| microsoft.diretório/dispositivos/customSecurityAttributes/read | Leia valores de atributos de segurança personalizados para dispositivos |
| microsoft.diretório/serviçoPrincipals/customSecurityAttributes/read | Leia valores de atributos de segurança personalizados para os principados de serviço |
| microsoft.diretório/utilizadores/customSecurityAttributes/read | Leia valores de atributos de segurança personalizados para os utilizadores |
Administrador de Definição de Atributos
Os utilizadores com esta função podem definir um conjunto válido de atributos de segurança personalizados que podem ser atribuídos a objetos Azure AD suportados. Esta função também pode ativar e desativar os atributos de segurança personalizados.
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.
Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.
| Ações | Descrição |
|---|---|
| microsoft.diretório/atributoSets/allProperties/allTasks | Gerir todos os aspetos dos conjuntos de atributos |
| microsoft.diretório/customSecurityAttributeDefinitions/allProperties/allTasks | Gerir todos os aspetos das definições de atributos de segurança personalizadas |
Leitor de Definição de Atributos
Os utilizadores com esta função podem ler a definição de atributos de segurança personalizados.
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados. Para trabalhar com atributos de segurança personalizados, deve ser-lhe atribuída uma das funções de atributo de segurança personalizada.
Para obter mais informações, consulte Gerir o acesso a atributos de segurança personalizados em Azure AD.
| Ações | Descrição |
|---|---|
| microsoft.diretório/atributoSets/allProperties/read | Leia todas as propriedades dos conjuntos de atributos |
| microsoft.diretório/customSecurityAttributeDefinitions/allProperties/read | Leia todas as propriedades das definições de atributos de segurança personalizadas |
Administrador de Autenticação
Os utilizadores com esta função podem definir ou redefinir qualquer método de autenticação (incluindo palavras-passe) para não administradores e algumas funções. Os Administradores de Autenticação podem exigir que os utilizadores que não sejam administradores ou que sejam designados para algumas funções se re-registem contra as credenciais não senhas existentes (por exemplo, MFA ou FIDO), podendo também revogar o recorde de MFA no dispositivo, que solicita mFA no próximo registo. Para obter uma lista das funções que um Administrador de Autenticação pode ler ou atualizar métodos de autenticação, consulte Quem pode redefinir as palavras-passe.
Os Administradores de Autenticação podem atualizar atributos sensíveis para alguns utilizadores. Para obter uma lista das funções que um Administrador de Autenticação pode atualizar atributos sensíveis, consulte Quem pode atualizar atributos sensíveis.
A função de Administrador de Autenticação Privilegiada tem permissão para forçar o reencamédrico e a autenticação multifactor para todos os utilizadores.
A função de Administrador de Política de Autenticação tem permissões para definir a política de método de autenticação do arrendatário que determina quais os métodos que cada utilizador pode registar e utilizar.
| Função | Gerir os métodos de auth do utilizador | Gerir por utilizador MFA | Gerir as definições de MFA | Gerir a política do método auth | Gerir a política de proteção de palavras-passe | Atualizar atributos sensíveis |
|---|---|---|---|---|---|---|
| Administrador de Autenticação | Sim para alguns utilizadores (ver acima) | Sim para alguns utilizadores (ver acima) | No | No | No | Sim para alguns utilizadores (ver acima) |
| Administrador de Autenticação Privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores |
| Administrador de Política de Autenticação | No | No | Yes | Yes | Yes | No |
Importante
Os utilizadores com esta função podem alterar credenciais para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar as credenciais de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:
- Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidas a Administradores de Autenticação. Por este caminho um Administrador de Autenticação pode assumir a identidade de titular de uma candidatura e, em seguida, assumir a identidade de uma aplicação privilegiada atualizando as credenciais para a aplicação.
- Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
- Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
- Administradores em outros serviços fora de Azure AD como Exchange Online, Office 365 & Security Compliance Center e sistemas de recursos humanos.
- Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.
Importante
Esta função não consegue gerir as definições de MFA no antigo portal de gestão de MFA ou fichas de OATH de Hardware. As mesmas funções podem ser realizadas utilizando o comando Set-MsolUser Azure AD módulo PowerShell.
Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.
| Ações | Descrição |
|---|---|
| microsoft.diretório/utilizadores/autenticaçãoMethods/criar | Criar métodos de autenticação para os utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/delete | Eliminar métodos de autenticação para utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/standard/restrictedRead | Leia as propriedades padrão dos métodos de autenticação que não incluam informações pessoalmente identificáveis para os utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/basic/update | Atualizar propriedades básicas dos métodos de autenticação para os utilizadores |
| microsoft.diretório/deletedItems.users/restore | Restaurar os utilizadores suaves eliminados para o estado original |
| microsoft.diretório/utilizadores/delete | Eliminar utilizadores |
| microsoft.diretório/utilizadores/desativar | Desativar utilizadores |
| microsoft.diretório/utilizadores/enable | Ativar os utilizadores |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/restaurar | Restaurar utilizadores eliminados |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.directiony/users/userPrincipalName/update | Atualizar o nome principal do utilizador dos utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Política de Autenticação
Os utilizadores com esta função podem configurar a política de métodos de autenticação, as definições de MFA em todo o inquilino e a política de proteção de senhas. Esta função permite gerir as definições de Proteção de Palavras-Passe: configurações de bloqueio inteligentes e atualização da lista de senhas proibidas personalizadas. Os Administradores de Política de Autenticação não podem atualizar atributos sensíveis para os utilizadores.
As funções de Administrador de Autenticação e Administrador de Autenticação Privilegiada têm permissão para gerir métodos de autenticação registados nos utilizadores e podem forçar o re-registo e a autenticação multifactor para todos os utilizadores.
| Função | Gerir os métodos de auth do utilizador | Gerir por utilizador MFA | Gerir as definições de MFA | Gerir a política do método auth | Gerir a política de proteção de palavras-passe | Atualizar atributos sensíveis |
|---|---|---|---|---|---|---|
| Administrador de Autenticação | Sim para alguns utilizadores (ver acima) | Sim para alguns utilizadores (ver acima) | No | No | No | Sim para alguns utilizadores (ver acima) |
| Administrador de Autenticação Privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores |
| Administrador de Política de Autenticação | No | No | Yes | Yes | Yes | No |
Importante
Esta função não consegue gerir as definições de MFA no antigo portal de gestão de MFA ou fichas de OATH de Hardware.
| Ações | Descrição |
|---|---|
| microsoft.diretório/organização/strongAuthentication/allTasks | Gerir todos os aspetos de propriedades de autenticação forte de uma organização |
| microsoft.diretório/userCredentialPolicies/create | Criar políticas de credencial para os utilizadores |
| microsoft.diretório/userCredentialPolicies/delete | Eliminar políticas de credencial para os utilizadores |
| microsoft.diretório/userCredentialPolicies/standard/read | Ler propriedades padrão das políticas de credencial para os utilizadores |
| microsoft.diretório/userCredentialPolicies/owners/read | Ler os proprietários de políticas de credencial para utilizadores |
| microsoft.diretório/userCredentialPolicies/policyAppliedTo/read | Ler política.aplica-se Para link de navegação |
| microsoft.diretório/userCredentialPolicies/basic/update | Atualizar políticas básicas para utilizadores |
| microsoft.diretório/userCredentialPolicies/owners/update | Atualizar os proprietários de políticas credenciais para os utilizadores |
| microsoft.diretório/userCredentialPolicies/tenantDefault/update | Política de atualização.isOrganizaçãoDefault propriedade |
| microsoft.diretório/verifiávelCredentais/configuração/contratos/cartões/allProperties/read | Leia um cartão de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/cartões/revogar | Revogar um cartão de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/criar | Criar um contrato de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/allProperties/read | Leia um contrato de credencial verificável |
| microsoft.diretório/verifiableCredentials/configuration/contracts/allProperties/update | Atualizar um contrato de credencial verificável |
| microsoft.diretório/verifiableCredentis/configuration/create | Criar configuração necessária para criar e gerir credenciais verificáveis |
| microsoft.diretório/verifiávelCredentais/configuração/delete | Eliminar a configuração necessária para criar e gerir credenciais verificáveis e eliminar todas as suas credenciais verificáveis |
| microsoft.diretório/verifiávelCredentis/configuração/allProperties/read | Leia a configuração necessária para criar e gerir credenciais verificáveis |
| microsoft.diretório/verifiávelCredentiss/configuração/allProperties/update | Configuração de atualização necessária para criar e gerir credenciais verificáveis |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
Azure AD administrador local do dispositivo
Esta função está disponível para atribuição apenas como administrador local adicional nas definições do Dispositivo. Os utilizadores com esta função tornam-se administradores de máquinas locais em todos os dispositivos Windows 10 que se juntam ao Azure Ative Directory. Não têm a capacidade de gerir objetos de dispositivos no Azure Ative Directory.
| Ações | Descrição |
|---|---|
| microsoft.diretório/grupoSettings/standard/read | Ler propriedades básicas nas definições de grupo |
| microsoft.diretório/groupSettingTemplates/standard/read | Leia propriedades básicas em modelos de definição de grupo |
Administrador da Azure DevOps
Os utilizadores com esta função podem gerir todas as políticas da empresa Azure DevOps, aplicáveis a todas as organizações Azure DevOps apoiadas pela Azure AD. Os utilizadores desta função podem gerir estas políticas navegando para qualquer organização Azure DevOps que seja apoiada pela Azure AD da empresa. Além disso, os utilizadores desta função podem reivindicar a propriedade de organizações órfãs de Azure DevOps. Esta função não concede outras permissões específicas da Azure DevOps (por exemplo, Administradores de Cobrança de Projetos) dentro de qualquer uma das organizações Azure DevOps apoiadas pela organização Azure AD da empresa.
| Ações | Descrição |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Ler e configurar Azure DevOps |
Administrador de Information Protection Azure
Os utilizadores com esta função têm todas as permissões no serviço Azure Information Protection. Esta função permite configurar rótulos para a política de Information Protection Azure, gerir modelos de proteção e ativar a proteção. Esta função não concede quaisquer permissões no Centro de Proteção de Identidade, Privileged Identity Management, Monitor Microsoft 365 Service Health ou Office 365 Security & Compliance Center.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.azure.informationProtection/allEntities/allTasks | Gerir todos os aspetos do Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador do Keyset B2C IEF
O utilizador pode criar e gerir chaves e segredos de política para encriptação simbólica, assinaturas simbólicas e alegar encriptação/desencriptação. Ao adicionar novas chaves aos recipientes-chave existentes, este administrador limitado pode revirar os segredos necessários sem afetar as aplicações existentes. Este utilizador pode ver todo o conteúdo destes segredos e as datas de validade mesmo após a sua criação.
Importante
Este é um papel sensível. A função de administrador do keyset deve ser cuidadosamente auditada e atribuída com cuidado durante a pré-produção e a produção.
| Ações | Descrição |
|---|---|
| microsoft.directy/b2cTrustFrameworkKeySet/allProperties/allTasks | Leia e configuure conjuntos de chaves no Azure Ative Directory B2C |
Administrador de Política B2C IEF
Os utilizadores desta função têm a capacidade de criar, ler, atualizar e eliminar todas as políticas personalizadas em Azure AD B2C e, portanto, ter total controlo sobre o Quadro de Experiência de Identidade na organização Azure AD B2C relevante. Ao editar políticas, este utilizador pode estabelecer uma federação direta com fornecedores de identidade externos, alterar o esquema de diretório, alterar todos os conteúdos voltados para o utilizador (HTML, CSS, JavaScript), alterar os requisitos para completar uma autenticação, criar novos utilizadores, enviar dados de utilizadores para sistemas externos, incluindo migrações completas, e editar todas as informações do utilizador, incluindo campos sensíveis, como palavras-passe e números de telefone. Inversamente, este papel não pode alterar as chaves de encriptação ou editar os segredos usados para a federação na organização.
Importante
O Administrador de Política B2 IEF é um papel altamente sensível que deve ser atribuído numa base muito limitada às organizações em produção. As atividades destes utilizadores devem ser auditadas de perto, especialmente para as organizações em produção.
| Ações | Descrição |
|---|---|
| microsoft.directy/b2cTrustFrameworkPolicy/allProperties/allTasks | Leia e configuure políticas personalizadas no Azure Ative Directory B2C |
Administrador de Faturação
Efetua compras, gere subscrições, gere pedidos de suporte e monitoriza o estado de funcionamento do serviço.
| Ações | Descrição |
|---|---|
| microsoft.diretório/organização/básico/atualização | Atualizar propriedades básicas na organização |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Gerir todos os aspetos da faturação Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador Cloud App Security
Os utilizadores com esta função têm permissões completas no Defender para aplicações cloud. Podem adicionar administradores, adicionar políticas e configurações Microsoft Defender for Cloud Apps, carregar registos e executar ações de governação.
| Ações | Descrição |
|---|---|
| microsoft.directy/cloudAppSecurity/allProperties/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Aplicações na Cloud
Os utilizadores nesta função têm as mesmas permissões que a função de Administrador de Aplicação, excluindo a capacidade de gerir o proxy da aplicação. Esta função confere a capacidade de criar e gerir todos os aspetos dos pedidos de empresa e dos registos de candidaturas. Os utilizadores destacados para esta função não são adicionados como proprietários ao criar novos registos de aplicações ou aplicações empresariais.
Esta função também concede a capacidade de consentir para permissões delegadas e permissões de aplicação, com exceção das permissões de aplicação para o Microsoft Graph.
Importante
Esta exceção significa que ainda pode consentir permissões de aplicações para outras aplicações (por exemplo, aplicações não Microsoft ou apps que tenha registado). Ainda pode solicitar estas permissões como parte do registo da app, mas conceder (isto é, consentir) estas permissões requer um administrador mais privilegiado, como o Administrador Global.
Esta função confere a capacidade de gerir as credenciais de aplicação. Os utilizadores designados para esta função podem adicionar credenciais a uma aplicação, e usar essas credenciais para personificar a identidade da aplicação. Se a identidade da aplicação tiver tido acesso a um recurso, como a capacidade de criar ou atualizar o Utilizador ou outros objetos, então um utilizador designado para esta função poderá executar essas ações enquanto se faz passar pela aplicação. Esta capacidade de personificar a identidade da aplicação pode ser uma elevação de privilégios sobre o que o utilizador pode fazer através das suas atribuições de funções. É importante entender que atribuir um utilizador à função de Administrador de Aplicação dá-lhes a capacidade de personificar a identidade de uma aplicação.
| Ações | Descrição |
|---|---|
| microsoft.directy/adminConsentRequestPolicy/allProperties/allTasks | Gerir políticas de pedido de consentimento administrativo em Azure AD |
| microsoft.diretório/appConsent/appConsentRequests/allProperties/read | Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD |
| microsoft.diretório/aplicações/criar | Criar todos os tipos de aplicações |
| microsoft.diretório/aplicações/delete | Eliminar todos os tipos de aplicações |
| microsoft.diretório/aplicações/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicações |
| microsoft.diretório/aplicações/audiência/atualização | Atualizar a propriedade do público para aplicações |
| microsoft.diretório/aplicações/autenticação/atualização | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/básico/atualização | Atualizar propriedades básicas para aplicações |
| microsoft.diretório/aplicações/credenciais/atualização | Atualizar credenciais de aplicação |
| microsoft.diretório/aplicações/extensõesProperties/update | Atualizar propriedades de extensão em aplicações |
| microsoft.diretório/aplicações/notas/atualização | Atualizações de notas de aplicações |
| microsoft.diretório/aplicações/proprietários/atualização | Atualizar os proprietários de aplicações |
| microsoft.diretório/aplicações/permissões/atualização | Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações |
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/aplicações/tag/update | Atualização de tags de aplicações |
| microsoft.diretório/aplicações/verificação/atualização | Atualizar propriedade de confirmação de aplicações |
| microsoft.diretório/aplicações/sincronização/standard/read | Leia as definições de provisionamento associadas ao objeto de aplicação |
| microsoft.diretório/aplicaçãoTemplates/instantiate | Aplicações instantâneas de galeria a partir de modelos de aplicação |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/deletedItems.applications/delete | Eliminar permanentemente as aplicações, que já não podem ser restauradas |
| microsoft.diretório/deletedItems.applications/restore | Restaurar aplicações suaves eliminadas para o estado original |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/aplicaçãoPolicies/create | Criar políticas de aplicação |
| microsoft.diretório/aplicaçãoPolicies/delete | Eliminar políticas de aplicação |
| microsoft.diretório/aplicaçãoPolicies/standard/read | Ler propriedades padrão das políticas de aplicação |
| microsoft.diretório/aplicaçãoPolícias/proprietários/ler | Leia os proprietários sobre as políticas de aplicação |
| microsoft.diretório/aplicaçãoPolicies/policyAppliedTo/read | Ler políticas de aplicação aplicadas à lista de objetos |
| microsoft.diretório/aplicaçãoPolicies/basic/update | Atualizar propriedades padrão das políticas de aplicação |
| microsoft.diretório/aplicaçãoPolícias/proprietários/atualização | Atualizar a propriedade do proprietário das políticas de aplicação |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/serviçoPrincipals/criar | Criar principais de serviço |
| microsoft.diretório/serviçoPrincipals/delete | Eliminar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/desativar | Diretores de serviço para desativação |
| microsoft.diretório/serviçoPrincipals/enable | Ativar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/getPasswordSingleSignOnCredentials | Gerir credenciais de inscrição únicas de senha nos principais de serviço |
| microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage | Gerir o fornecimento de formulários e credenciais |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir | Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage | Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações |
| microsoft.diretório/serviçoPrincipals/managePasswordSingleSignOnCredentials | Leia credenciais de inscrição únicas na palavra-passe nos principais do serviço |
| microsoft.diretório/serviçoPrincipals/managePermissionGrantsForAll.microsoft-application-admin | Conceder consentimento para permissões de aplicação e permissões delegadas em nome de qualquer utilizador ou de todos os utilizadores, exceto para permissões de aplicação para Microsoft Graph |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/serviçoPrincipals/audience/update | Atualizar propriedades do público em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/autenticação/atualização | Atualizar propriedades de autenticação em principados de serviço |
| microsoft.diretório/serviçoPrincipals/básico/atualização | Atualizar propriedades básicas em principais serviços |
| microsoft.diretório/serviçoPrincipals/credenciais/atualização | Atualizar credenciais dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/notas/atualização | Atualização de notas dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/proprietários/atualização | Atualizar os proprietários dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/permissões/atualização | Atualizar permissões dos principais serviços |
| microsoft.diretório/serviçoPrincipals/políticas/atualização | Atualizar políticas dos principais serviços |
| microsoft.diretório/serviçoPrincipals/tag/update | Atualizar a propriedade tag para os principados de serviço |
| microsoft.diretório/serviçoPrincipals/sincronização/standard/read | Leia as definições de provisionamento associadas ao seu principal serviço |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de dispositivos de nuvem
Os utilizadores desta função podem ativar, desativar e eliminar dispositivos em Azure AD e ler Windows 10 teclas BitLocker (se presente) no portal do Azure. A função não concede permissões para gerir quaisquer outras propriedades no dispositivo.
| Ações | Descrição |
|---|---|
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.diretório/dispositivos/delete | Eliminar dispositivos de Azure AD |
| microsoft.diretório/dispositivos/desativar | Desativar dispositivos em Azure AD |
| microsoft.diretório/dispositivos/permitir | Ativar dispositivos em Azure AD |
| microsoft.diretório/dispositivoManagementPolicies/standard/read | Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoManagementPolicies/basic/update | Atualizar propriedades básicas sobre políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/standard/read | Leia propriedades padrão nas políticas de registo de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/basic/update | Atualizar propriedades básicas nas políticas de registo de dispositivos |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
Administrador de Conformidade
Os utilizadores com esta função têm permissões para gerir funcionalidades relacionadas com a conformidade no Portal de Conformidade do Microsoft Purview, centro de administração do Microsoft 365, Azure e Office 365 Security & Compliance Center. Os assignees também podem gerir todas as funcionalidades dentro do Centro de Administração Exchange e equipas & Skype para Empresas centros de administração e criar bilhetes de suporte para Azure e Microsoft 365. Mais informações estão disponíveis em funções de administração da Microsoft 365.
| Em | Pode fazer |
|---|---|
| Portal de Conformidade do Microsoft Purview | Proteja e gere os dados da sua organização através dos serviços microsoft 365 Gerir alertas de conformidade |
| Gestor de Conformidade | Acompanhe, atribua e verifique as atividades de conformidade regulamentar da sua organização |
| Segurança & Office 365 Centro de Conformidade | Gerir a governação de dados Realizar investigação legal e de dados Gerir pedido de assunto de dados Esta função tem as mesmas permissões que o RoleGroup do Administrador de Conformidade no Office 365 & controlo de acesso baseado em funções do Security Compliance Center. |
| Intune | Ver todos os dados de auditoria Intune |
| Cloud App Security | Tem permissões só de leitura e pode gerir alertas Pode criar e modificar políticas de ficheiros e permitir ações de governação de ficheiros Pode ver todos os relatórios incorporados sob Gestão de Dados |
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.diretório/direitoManagement/allProperties/read | Leia todos os imóveis em Azure AD gestão de direitos |
| microsoft.office365.complianceManager/allEntities/allTasks | Gerir todos os aspetos do Office 365 Compliance Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Dados de Conformidade
Os utilizadores com esta função têm permissões para rastrear dados nos Portal de Conformidade do Microsoft Purview, centro de administração do Microsoft 365 e Azure. Os utilizadores também podem rastrear dados de conformidade dentro do centro de administração Exchange, Compliance Manager e Teams & Skype para Empresas centro de administração e criar bilhetes de suporte para Azure e Microsoft 365. Esta documentação tem detalhes sobre diferenças entre o Administrador de Conformidade e o Administrador de Dados de Conformidade.
| Em | Pode fazer |
|---|---|
| Portal de Conformidade do Microsoft Purview | Monitorize as políticas relacionadas com a conformidade em todos os serviços da Microsoft 365 Gerir alertas de conformidade |
| Gestor de Conformidade | Acompanhe, atribua e verifique as atividades de conformidade regulamentar da sua organização |
| Segurança & Office 365 Centro de Conformidade | Gerir a governação de dados Realizar investigação legal e de dados Gerir pedido de assunto de dados Esta função tem as mesmas permissões que o Grupo de Função de Administrador de Dados de Conformidade em Office 365 & controlo de acesso baseado em funções do Security Compliance Center. |
| Intune | Ver todos os dados de auditoria Intune |
| Cloud App Security | Tem permissões só de leitura e pode gerir alertas Pode criar e modificar políticas de ficheiros e permitir ações de governação de ficheiros Pode ver todos os relatórios incorporados sob Gestão de Dados |
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.directy/cloudAppSecurity/allProperties/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps |
| microsoft.azure.informationProtection/allEntities/allTasks | Gerir todos os aspetos do Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.complianceManager/allEntities/allTasks | Gerir todos os aspetos do Office 365 Compliance Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de acesso condicional
Os utilizadores com esta função têm a capacidade de gerir as definições de Acesso Condicional do Diretório Ativo Azure.
| Ações | Descrição |
|---|---|
| microsoft.diretório/nomeadosLocações/criar | Criar regras personalizadas que definem localizações de rede |
| microsoft.diretório/nomeadosLocações/delete | Eliminar regras personalizadas que definem as localizações da rede |
| microsoft.diretório/nomeadosLocações/standard/read | Leia propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/nomeadosLocações/básico/atualização | Atualizar propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/condicionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/delete | Eliminar políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.diretório/condicionalAccessPolicies/owners/read | Leia os proprietários de políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/policyAppliedTo/read | Leia a propriedade "aplicada" para políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/proprietários/update | Atualizar os proprietários para políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/tenantDefault/update | Atualizar o inquilino predefinido para políticas de acesso condicional |
Aprovação de acesso ao cliente LockBox
Gere os pedidos de Lockbox do Cliente na sua organização. Recebem notificações por e-mail para pedidos de Bloqueio de Clientes e podem aprovar e negar pedidos da centro de administração do Microsoft 365. Também podem ligar ou desligar a função 'Lockbox' do cliente. Apenas os Administradores Globais podem redefinir as palavras-passe das pessoas afetadas a esta função.
| Ações | Descrição |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Gerir todos os aspetos do Lockbox do Cliente |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador Análise de Computadores
Os utilizadores desta função podem gerir o serviço Análise de Computadores. Isto inclui a capacidade de visualizar o inventário de ativos, criar planos de implementação e ver a implementação e o estado de saúde.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gerir todos os aspetos da Análise de Computadores |
Leitores de Diretório
Os utilizadores desta função podem ler informações básicas do diretório. Esta função deve ser utilizada para:
- Concedendo um conjunto específico de utilizadores convidados leia o acesso em vez de conceder a todos os utilizadores convidados.
- Conceder um conjunto específico de utilizadores não administrativos ao acesso a portal do Azure quando "Restringir o acesso a Azure AD portal apenas para administradores" está definido para "Sim".
- Conceder aos diretores de serviço acesso ao diretório onde o Diretório.Read.Tudo não é uma opção.
| Ações | Descrição |
|---|---|
| microsoft.diretório/administrativoSSunits/standard/read | Ler propriedades básicas em unidades administrativas |
| microsoft.diretório/administrativoSIns/membros/ler | Ler membros das unidades administrativas |
| microsoft.diretório/aplicações/standard/read | Ler propriedades padrão das aplicações |
| microsoft.diretório/aplicações/proprietários/ler | Ler proprietários de candidaturas |
| microsoft.diretório/aplicações/políticas/ler | Ler políticas de aplicações |
| microsoft.diretório/contactos/standard/read | Leia propriedades básicas em contactos em Azure AD |
| microsoft.diretório/contactos/memberOf/read | Leia a adesão ao grupo para todos os contactos em Azure AD |
| microsoft.diretório/contratos/standard/read | Ler propriedades básicas em contratos de parceiros |
| microsoft.diretório/dispositivos/standard/read | Ler propriedades básicas em dispositivos |
| microsoft.diretório/dispositivos/memberOf/read | Leia os membros do dispositivo |
| microsoft.diretório/dispositivos/registadosSowners/read | Ler os proprietários registados de dispositivos |
| microsoft.diretório/dispositivos/registros/ler | Ler utilizadores registados de dispositivos |
| microsoft.diretório/directórioRoles/standard/read | Ler propriedades básicas em papéis Azure AD |
| microsoft.diretório/directórioRoles/elegíveisMembers/read | Leia os membros elegíveis das funções Azure AD |
| microsoft.diretório/diretório/membros/ler | Leia todos os membros das funções Azure AD |
| microsoft.diretório/domínios/standard/read | Ler propriedades básicas em domínios |
| microsoft.diretório/grupos/standard/read | Leia propriedades padrão de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/appRoleAssignments/read | Ler atribuições de funções de candidatura de grupos |
| microsoft.diretório/grupos/memberOf/read | Leia a propriedade membroOf em grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/membros/ler | Leia membros de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/proprietários/ler | Leia os proprietários de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/definições/ler | Ler configurações de grupos |
| microsoft.diretório/grupoSettings/standard/read | Ler propriedades básicas nas definições de grupo |
| microsoft.diretório/groupSettingTemplates/standard/read | Leia propriedades básicas em modelos de definição de grupo |
| microsoft.diretório/oAuth2PermissionGrants/standard/read | Ler propriedades básicas em bolsas de autorização OAuth 2.0 |
| microsoft.diretório/organização/standard/read | Ler propriedades básicas em uma organização |
| microsoft.diretório/organização/trustedCAsForPasslessAuth/read | Ler autoridades de certificados fidedignos para autenticação sem palavra-passe |
| microsoft.diretório/aplicaçãoPolicies/standard/read | Ler propriedades padrão das políticas de aplicação |
| microsoft.diretório/papelAssignments/standard/read | Ler propriedades básicas em atribuições de funções |
| microsoft.diretório/roleDefinitions/standard/read | Ler propriedades básicas sobre definições de funções |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/read | Ler atribuições principais de funções de serviço |
| microsoft.diretório/serviçoPrincipals/appRoleAssignments/read | Ler atribuições de funções atribuídas a diretores de serviço |
| microsoft.diretório/serviçoPrincipals/standard/read | Ler propriedades básicas dos principados de serviço |
| microsoft.diretório/serviçoPrincipals/memberOf/read | Leia os membros do grupo em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/oAuth2PermissionGrants/read | Ler subsídios de autorização delegados em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/proprietários/ler | Ler os proprietários dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/ownedObjects/read | Ler objetos de propriedade de diretores de serviço |
| microsoft.diretório/serviçoPrincipals/políticas/ler | Ler políticas dos diretores de serviços |
| microsoft.diretório/subscritoSkus/standard/read | Ler propriedades básicas em subscrições |
| microsoft.diretório/utilizadores/standard/read | Ler propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/appRoleAssignments/read | Ler atribuições de funções de aplicação para utilizadores |
| microsoft.diretório/utilizadores/deviceForResourceAccount/read | Ler dispositivoForResourceA contagem de utilizadores |
| microsoft.directy/users/directReports/read | Leia os relatórios diretos para os utilizadores |
| microsoft.diretório/utilizadores/licenseDetails/read | Ler detalhes da licença dos utilizadores |
| microsoft.diretório/utilizadores/gestor/leitura | Ler gestor de utilizadores |
| microsoft.diretório/utilizadores/membroOf/read | Leia os membros do grupo dos utilizadores |
| microsoft.diretório/utilizadores/oAuth2PermissionGrants/read | Ler subsídios de autorização delegados aos utilizadores |
| microsoft.diretório/utilizadores/propriedadeDevices/ler | Ler dispositivos de propriedade dos utilizadores |
| microsoft.diretório/utilizadores/ownedObjects/read | Ler objetos de propriedade dos utilizadores |
| microsoft.diretório/utilizadores/foto/ler | Ler foto dos utilizadores |
| microsoft.diretório/utilizadores/registradoDevices/read | Ler dispositivos registados de utilizadores |
| microsoft.diretório/utilizadores/scopedRoleMemberOf/read | Leia a adesão do utilizador a uma função Azure AD, que é alargada a uma unidade administrativa |
Contas de Sincronização do Diretório
Não utilizar. Esta função é automaticamente atribuída ao serviço Azure AD Connect, e não se destina ou suporta qualquer outra utilização.
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/criar | Criar todos os tipos de aplicações |
| microsoft.diretório/aplicações/delete | Eliminar todos os tipos de aplicações |
| microsoft.diretório/aplicações/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicações |
| microsoft.diretório/aplicações/audiência/atualização | Atualizar a propriedade do público para aplicações |
| microsoft.diretório/aplicações/autenticação/atualização | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/básico/atualização | Atualizar propriedades básicas para aplicações |
| microsoft.diretório/aplicações/credenciais/atualização | Atualizar credenciais de aplicação |
| microsoft.diretório/aplicações/notas/atualização | Atualizações de notas de aplicações |
| microsoft.diretório/aplicações/proprietários/atualização | Atualizar os proprietários de aplicações |
| microsoft.diretório/aplicações/permissões/atualização | Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações |
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/aplicações/tag/update | Atualização de tags de aplicações |
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/híbridoAuthenticationPolicy/allProperties/allTasks | Gerir a política de autenticação híbrida em Azure AD |
| microsoft.diretório/organização/dirSync/update | Atualizar a propriedade de sincronização de diretórios de organização |
| microsoft.diretório/passwordHashSync/allProperties/allTasks | Gerir todos os aspetos da Sincronização de Hash (PHS) de password em Azure AD |
| microsoft.diretório/políticas/criar | Criar políticas em Azure AD |
| microsoft.diretório/políticas/excluir | Eliminar políticas em Azure AD |
| microsoft.diretório/políticas/standard/read | Ler propriedades básicas sobre políticas |
| microsoft.diretório/políticas/proprietários/ler | Ler os proprietários de políticas |
| microsoft.diretório/políticas/policyAppliedTo/read | Ler políticas.policyAppliedTo propriedade |
| microsoft.diretório/políticas/básico/atualização | Atualizar propriedades básicas sobre políticas |
| microsoft.diretório/políticas/proprietários/atualização | Atualizar os proprietários de políticas |
| microsoft.diretório/políticas/tenantDefault/update | Atualizar políticas de organização padrão |
| microsoft.diretório/serviçoPrincipals/criar | Criar principais de serviço |
| microsoft.diretório/serviçoPrincipals/delete | Eliminar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/enable | Ativar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/desativar | Diretores de serviço para desativação |
| microsoft.diretório/serviçoPrincipals/getPasswordSingleSignOnCredentials | Gerir credenciais de inscrição únicas de senha nos principais de serviço |
| microsoft.diretório/serviçoPrincipals/managePasswordSingleSignOnCredentials | Leia credenciais de inscrição únicas na palavra-passe nos principais do serviço |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/read | Ler atribuições principais de funções de serviço |
| microsoft.diretório/serviçoPrincipals/appRoleAssignments/read | Ler atribuições de funções atribuídas a diretores de serviço |
| microsoft.diretório/serviçoPrincipals/standard/read | Ler propriedades básicas dos principados de serviço |
| microsoft.diretório/serviçoPrincipals/memberOf/read | Leia os membros do grupo em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/oAuth2PermissionGrants/read | Ler subsídios de autorização delegados em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/proprietários/ler | Ler os proprietários dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/ownedObjects/read | Ler objetos de propriedade de diretores de serviço |
| microsoft.diretório/serviçoPrincipals/políticas/ler | Ler políticas dos diretores de serviços |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/serviçoPrincipals/audience/update | Atualizar propriedades do público em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/autenticação/atualização | Atualizar propriedades de autenticação em principados de serviço |
| microsoft.diretório/serviçoPrincipals/básico/atualização | Atualizar propriedades básicas em principais serviços |
| microsoft.diretório/serviçoPrincipals/credenciais/atualização | Atualizar credenciais dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/notas/atualização | Atualização de notas dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/proprietários/atualização | Atualizar os proprietários dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/permissões/atualização | Atualizar permissões dos principais serviços |
| microsoft.diretório/serviçoPrincipals/políticas/atualização | Atualizar políticas dos principais serviços |
| microsoft.diretório/serviçoPrincipals/tag/update | Atualizar a propriedade tag para os principados de serviço |
Escritores do Diretório
Os utilizadores desta função podem ler e atualizar informações básicas de utilizadores, grupos e diretores de serviço. Atribua esta função apenas a aplicações que não suportam o Quadro de Consentimento. Não deve ser atribuído a nenhum utilizadores.
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/extensõesProperties/update | Atualizar propriedades de extensão em aplicações |
| microsoft.diretório/grupos/assignLicense | Atribuir licenças de produtos a grupos para licenciamento baseado em grupo |
| microsoft.diretório/grupos/criar | Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para licenciamento baseado em grupo |
| microsoft.diretório/grupos/básico/atualização | Atualizar propriedades básicas em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/classificação/atualização | Atualizar a propriedade de classificação em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/dynamicMembershipRule/update | Atualizar a regra de adesão dinâmica sobre grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/grupoType/atualização | Atualizar propriedades que afetariam o tipo de grupo de grupos de grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/membros/atualização | Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/onPremWriteBack/update | Atualizar os grupos de Diretório Ativo Azure para serem reensitados para as instalações com Azure AD Connect |
| microsoft.diretório/grupos/proprietários/atualização | Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/configurações/atualização | Configurações de atualização de grupos |
| microsoft.diretório/grupos/visibilidade/atualização | Atualizar a propriedade de visibilidade dos grupos de segurança e da Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupoSettings/create | Criar definições de grupo |
| microsoft.diretório/grupoSettings/delete | Eliminar definições do grupo |
| microsoft.diretório/grupoSettings/basic/update | Atualizar propriedades básicas nas definições do grupo |
| microsoft.diretório/oAuth2PermissionGrants/create | Criar bolsas de autorização OAuth 2.0 |
| microsoft.diretório/oAuth2PermissionGrants/basic/update | Atualizar bolsas de autorização OAuth 2.0 |
| microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage | Gerir o fornecimento de formulários e credenciais |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir | Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage | Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/utilizadores/assignLicense | Gerir licenças de utilizador |
| microsoft.diretório/utilizadores/criar | Adicionar utilizadores |
| microsoft.diretório/utilizadores/desativar | Desativar utilizadores |
| microsoft.diretório/utilizadores/enable | Ativar os utilizadores |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/convidarGuest | Convidar utilizadores |
| microsoft.diretório/utilizadores/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para utilizadores |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/foto/atualização | Atualizar foto dos utilizadores |
| microsoft.directiony/users/userPrincipalName/update | Atualizar o nome principal do utilizador dos utilizadores |
Administrador de Nome de Domínio
Os utilizadores com esta função podem gerir (ler, adicionar, verificar, atualizar e eliminar) nomes de domínio. Também podem ler informações sobre utilizadores, grupos e aplicações, uma vez que estes objetos possuem dependências de domínio. Para ambientes no local, os utilizadores com esta função podem configurar nomes de domínio para a federação para que os utilizadores associados sejam sempre autenticados no local. Estes utilizadores podem então assinar serviços baseados em Azure AD com as suas senhas no local através de um único s-sign-on. As definições da Federação precisam de ser sincronizadas através do Azure AD Connect, para que os utilizadores também tenham permissões para gerir Azure AD Connect.
| Ações | Descrição |
|---|---|
| microsoft.diretório/domínios/allProperties/allTasks | Criar e eliminar domínios, e ler e atualizar todas as propriedades |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador dinâmico 365
Os utilizadores com esta função têm permissões globais dentro do Microsoft Dynamics 365 Online, quando o serviço está presente, bem como a capacidade de gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações na Utilização do papel de administrador de serviço para gerir a sua organização Azure AD.
Nota
No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço Dinâmico 365". É "Administrador Dinâmico 365" no portal do Azure.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.dynamics365/allEntities/allTasks | Gerir todos os aspetos da Dinâmica 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de borda
Os utilizadores desta função podem criar e gerir a lista de sites da empresa necessária para o modo Internet Explorer no Microsoft Edge. Esta função concede permissões para criar, editar e publicar a lista do site e, além disso, permite o acesso à gestão de bilhetes de apoio. Saiba mais
| Ações | Descrição |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Gerir todos os aspetos do Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador do Exchange
Os utilizadores com esta função têm permissões globais dentro de Microsoft Exchange Online, quando o serviço está presente. Também tem a capacidade de criar e gerir todos os grupos Microsoft 365, gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações sobre as funções de administração da Microsoft 365.
Nota
No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço de Câmbio". É "Administrador de Câmbio" no portal do Azure. É "administrador Exchange Online" no centro de administração exchange.
| Ações | Descrição |
|---|---|
| microsoft.diretório/grupos/hiddenMembers/read | Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/criar | Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/delete | Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/restaurar | Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/básico/atualização | Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/membros/atualização | Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/proprietários/atualização | Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gerir todos os aspetos da Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador do Destinatário de Intercâmbio
Os utilizadores com esta função leram o acesso aos destinatários e escreveram acesso aos atributos desses destinatários em Exchange Online. Mais informações em Exchange Recipients.
| Ações | Descrição |
|---|---|
| microsoft.office365.exchange/allRecipients/allProperties/allTasks | Criar e eliminar todos os destinatários e ler e atualizar todas as propriedades dos destinatários em Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Gerir todas as tarefas relacionadas com a migração de destinatários em Exchange Online |
Administrador de fluxo de id externo
Os utilizadores com esta função podem criar e gerir fluxos de utilizadores (também chamados políticas "incorporadas") no portal do Azure. Estes utilizadores podem personalizar o conteúdo HTML/CSS/JavaScript, alterar os requisitos de MFA, selecionar reclamações no token, gerir conectores API e suas credenciais e configurar as definições de sessão para todos os fluxos de utilizador na organização Azure AD. Por outro lado, esta função não inclui a capacidade de rever os dados dos utilizadores ou de fazer alterações nos atributos que estão incluídos no esquema da organização. As alterações às políticas do Quadro de Experiência de Identidade (também conhecidas como políticas personalizadas) também estão fora do âmbito desta função.
| Ações | Descrição |
|---|---|
| microsoft.diretório/b2cUserFlow/allProperties/allTasks | Leia e configuure fluxo de utilizador no Azure Ative Directory B2C |
Administrador de atributo de fluxo de id de id externo
Os utilizadores com esta função adicionam ou eliminam atributos personalizados disponíveis para todos os fluxos de utilizador na organização Azure AD. Como tal, os utilizadores com esta função podem alterar ou adicionar novos elementos ao esquema do utilizador final e impactar o comportamento de todos os fluxos de utilizador e resultar indiretamente em alterações aos dados que podem ser solicitados aos utilizadores finais e, em última análise, enviados como reivindicações para aplicações. Esta função não pode editar fluxos de utilizador.
| Ações | Descrição |
|---|---|
| microsoft.diretório/b2cUserAttribute/allProperties/allTasks | Ler e configurar o atributo do utilizador no Azure Ative Directory B2C |
Administrador de fornecedor de identidade externa
Este administrador gere a federação entre organizações Azure AD e fornecedores de identidade externos. Com esta função, os utilizadores podem adicionar novos fornecedores de identidade e configurar todas as definições disponíveis (por exemplo, percurso de autenticação, ID de serviço, recipientes-chave atribuídos). Este utilizador pode permitir que a organização Azure AD confie em autenticações de fornecedores de identidade externos. O impacto resultante nas experiências do utilizador final depende do tipo de organização:
- Azure AD organizações para colaboradores e parceiros: A adição de uma federação (por exemplo, com o Gmail) terá imediatamente impacto em todos os convites de hóspedes ainda não resgatados. Consulte a adição do Google como um fornecedor de identidade para utilizadores convidados B2B.
- Organizações Azure Ative Directory B2C: A adição de uma federação (por exemplo, com o Facebook, ou com outra organização Azure AD) não impacta imediatamente os fluxos de utilizador final até que o fornecedor de identidade seja adicionado como uma opção num fluxo de utilizador (também chamado de política incorporada). Consulte configurar uma conta microsoft como um fornecedor de identidade , por exemplo. Para alterar os fluxos do utilizador, é necessária a função limitada de "Administrador de Fluxo de Utilizador B2C".
| Ações | Descrição |
|---|---|
| microsoft.diretório/identidadeProviders/allProperties/allTasks | Ler e configurar fornecedores de identidade no Azure Ative Directory B2C |
Administrador Global
Os utilizadores com esta função têm acesso a todas as funcionalidades administrativas no Azure Ative Directory, bem como serviços que utilizam identidades do Azure Ative Directory como o portal Microsoft 365 Defender, o Portal de Conformidade do Microsoft Purview, Exchange Online, SharePoint Online, e Skype para Empresas Online. Além disso, os Administradores Globais podem elevar o seu acesso para gerir todas as subscrições e grupos de gestão da Azure. Isto permite que os Administradores Globais tenham acesso total a todos os recursos da Azure utilizando o respetivo Azure AD Inquilino. A pessoa que se inscreve na organização Azure AD torna-se administradora global. Pode haver mais do que um Administrador Global na sua empresa. Os Administradores Globais podem redefinir a palavra-passe para qualquer utilizador e todos os outros administradores.
Nota
Como uma boa prática, a Microsoft recomenda que atribua o papel de Administrador Global a menos de cinco pessoas na sua organização. Para mais informações, consulte as melhores práticas para Azure AD papéis.
| Ações | Descrição |
|---|---|
| microsoft.diretório/acessoReviews/allProperties/allTasks | (Depreciado) Criar e apagar comentários de acesso, ler e atualizar todas as propriedades das avaliações de acesso e gerir avaliações de acesso de grupos em Azure AD |
| microsoft.diretório/acessoReviews/definições/allProperties/allTasks | Gerir revisões de acesso de todos os recursos reexame em Azure AD |
| microsoft.directy/adminConsentRequestPolicy/allProperties/allTasks | Gerir políticas de pedido de consentimento administrativo em Azure AD |
| microsoft.diretório/administrativoSIns/allProperties/allTasks | Criar e gerir unidades administrativas (incluindo membros) |
| microsoft.diretório/appConsent/appConsentRequests/allProperties/read | Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD |
| microsoft.diretório/aplicações/allProperties/allTasks | Criar e eliminar aplicações, e ler e atualizar todas as propriedades |
| microsoft.diretório/aplicações/sincronização/standard/read | Leia as definições de provisionamento associadas ao objeto de aplicação |
| microsoft.diretório/aplicaçãoTemplates/instantiate | Aplicações instantâneas de galeria a partir de modelos de aplicação |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/utilizadores/autenticaçãoMethods/criar | Criar métodos de autenticação para os utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/delete | Eliminar métodos de autenticação para utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/standard/read | Ler propriedades padrão de métodos de autenticação para utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/basic/update | Atualizar propriedades básicas dos métodos de autenticação para os utilizadores |
| microsoft.diretório/autorizaçãoPolícia/allProperties/allTasks | Gerir todos os aspetos da política de autorização |
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.directy/cloudAppSecurity/allProperties/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps |
| microsoft.diretório/conectores/criar | Criar conectores de procuração de aplicação |
| microsoft.diretório/conectores/allProperties/read | Leia todas as propriedades dos conectores de procuração de aplicação |
| microsoft.diretório/conectorGroups/criar | Criar grupos de conector de procuração de aplicação |
| microsoft.diretório/conectorGroups/delete | Eliminar grupos de conector de procuração de aplicação |
| microsoft.diretório/conectorGroups/allProperties/read | Leia todas as propriedades dos grupos de conector de procuração de aplicação |
| microsoft.diretório/conectorGroups/allProperties/update | Atualizar todas as propriedades dos grupos de conector de procuração de aplicação |
| microsoft.diretório/contactos/allProperties/allTasks | Criar e eliminar contactos e ler e atualizar todas as propriedades |
| microsoft.diretório/contratos/allProperties/allTasks | Criar e apagar contratos de parceiros, e ler e atualizar todos os imóveis |
| microsoft.diretório/customAuthenticationExtensions/allProperties/allTasks | Criar e gerir extensões de autenticação personalizadas |
| microsoft.diretório/deletedItems/delete | Eliminar permanentemente objetos, que já não podem ser restaurados |
| microsoft.diretório/deletedItems/restaurar | Restaurar objetos suaves apagados para o estado original |
| microsoft.diretório/dispositivos/allProperties/allTasks | Criar e eliminar dispositivos, e ler e atualizar todas as propriedades |
| microsoft.diretório/nomeadosLocações/criar | Criar regras personalizadas que definem localizações de rede |
| microsoft.diretório/nomeadosLocações/delete | Eliminar regras personalizadas que definem as localizações da rede |
| microsoft.diretório/nomeadosLocações/standard/read | Leia propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/nomeadosLocações/básico/atualização | Atualizar propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/dispositivoManagementPolicies/standard/read | Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoManagementPolicies/basic/update | Atualizar propriedades básicas sobre políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/standard/read | Leia propriedades padrão nas políticas de registo de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/basic/update | Atualizar propriedades básicas nas políticas de registo de dispositivos |
| microsoft.directy/directórioRoles/allProperties/allTasks | Criar e apagar funções de diretório, e ler e atualizar todas as propriedades |
| microsoft.diretório/directórioRoleTemplates/allProperties/allTasks | Criar e apagar Azure AD modelos de função, e ler e atualizar todas as propriedades |
| microsoft.diretório/domínios/allProperties/allTasks | Criar e eliminar domínios, e ler e atualizar todas as propriedades |
| microsoft.diretório/direitoManagement/allProperties/allTasks | Criar e eliminar recursos, e ler e atualizar todos os imóveis em Azure AD gestão de direitos |
| microsoft.diretório/grupos/allProperties/allTasks | Criar e eliminar grupos, e ler e atualizar todas as propriedades |
| microsoft.diretório/gruposAssignableToRoles/create | Criar grupos aos quais se pode atribuir funções |
| microsoft.diretório/gruposAssignableToRoles/delete | Eliminar grupos atribuíveis por funções |
| microsoft.diretório/gruposAssignableToRoles/restauro | Restaurar grupos atribuíveis por funções |
| microsoft.diretório/gruposAssignableToRoles/allProperties/update | Atualizar grupos atribuíveis por funções |
| microsoft.diretório/grupoSettings/allProperties/allTasks | Criar e eliminar definições de grupo e ler e atualizar todas as propriedades |
| microsoft.diretório/grupoSettingTemplates/allProperties/allTasks | Criar e eliminar modelos de definição de grupo, e ler e atualizar todas as propriedades |
| microsoft.diretório/híbridoAuthenticationPolicy/allProperties/allTasks | Gerir a política de autenticação híbrida em Azure AD |
| microsoft.diretório/identidadeProtecção/todas as Ofertas/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Azure AD Proteção de Identidade |
| microsoft.directy/loginOrganizationBranding/allProperties/allTasks | Criar e eliminar loginTenantBranding e ler e atualizar todas as propriedades |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/organização/allProperties/allTasks | Leia e atualize todas as propriedades para uma organização |
| microsoft.diretório/passwordHashSync/allProperties/allTasks | Gerir todos os aspetos da Sincronização de Hash (PHS) de password em Azure AD |
| microsoft.diretório/políticas/allProperties/allTasks | Criar e eliminar políticas, ler e atualizar todas as propriedades |
| microsoft.diretório/condicionalAccessPolicies/allProperties/allTasks | Gerir todas as propriedades das políticas de acesso condicional |
| microsoft.diretório/crossTenantAccessPolicy/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualização permitiu pontos finais de nuvem da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/basic/update | Atualizar as definições básicas da política de acesso do inquilino transversal |
| microsoft.diretório/crossTenantAccessPolicy/default/standard/read | Leia as propriedades básicas da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar Azure AD definições de colaboração B2B da política de acesso ao inquilino por defeito |
| microsoft.directy/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar Azure AD definições de ligação direta B2B da política de acesso ao inquilino por defeito |
| microsoft.diretório/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as equipas de reunião de nuvem cruzada da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/default/tenantRestritions/update | Atualizar as restrições dos inquilinos da política de acesso ao inquilino por defeito |
| microsoft.diretório/crossTenantAccessPolicy/partners/create | Criar política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/delete | Eliminar a política de acesso dos inquilinos para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar Azure AD configurações de colaboração B2B da política de acesso de inquilinos cruzados para parceiros |
| microsoft.directy/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar Azure AD definições de ligação direta B2B da política de acesso dos inquilinos para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as equipas de nuvem cruzada reunindo definições da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de arrendamento da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/privilegiadoIdmentManagement/allProperties/read | Leia todos os recursos em Privileged Identity Management |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/papelAssignments/allProperties/allTasks | Criar e eliminar atribuições de funções e ler e atualizar todas as propriedades de atribuição de funções |
| microsoft.diretório/roleDefinitions/allProperties/allTasks | Criar e eliminar definições de funções, e ler e atualizar todas as propriedades |
| microsoft.directy/scopedRoleMemberships/allProperties/allTasks | Criar e eliminar as empresas scopedRoleMemberberships e ler e atualizar todas as propriedades |
| microsoft.diretório/serviçoAction/activateService | Pode realizar a ação de "ativar o serviço" para um serviço |
| microsoft.directy/serviceAction/disableDirectDirectlFeature | Pode executar a ação de serviço "desativar o diretório" |
| microsoft.directy/serviceAction/enableDirectoryFeature | Pode executar a ação de serviço "enable directy feature" |
| microsoft.diretório/serviçoAction/getAvailableExtentionProperties | Pode realizar a ação de serviçoAvailableExtentionProperties |
| microsoft.diretório/serviçoPrincipals/allProperties/allTasks | Criar e apagar os principais de serviços e ler e atualizar todas as propriedades |
| microsoft.directiony/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Conceder consentimento para qualquer permissão a qualquer pedido |
| microsoft.diretório/serviçoPrincipals/sincronização/standard/read | Leia as definições de provisionamento associadas ao seu principal serviço |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.diretório/subscritoSkus/allProperties/allTasks | Comprar e gerir subscrições e eliminar subscrições |
| microsoft.diretório/utilizadores/allProperties/allTasks | Criar e eliminar utilizadores, e ler e atualizar todas as propriedades |
| microsoft.diretório/permissãoSEstas/criar | Criar políticas de concessão de permissão |
| microsoft.diretório/permissãoSEstas/excluir | Eliminar políticas de concessão de permissões |
| microsoft.diretório/permissãoSpolíticas/standard/read | Ler propriedades padrão das políticas de concessão de permissão |
| microsoft.diretório/permissãoSpolíticas/básicas/atualizações | Atualizar propriedades básicas das políticas de concessão de permissão |
| microsoft.diretório/serviçoPrincipalCreationPolicies/create | Criar políticas de criação principal de serviços |
| microsoft.diretório/serviçoPrincipalCreationPolicies/delete | Eliminar políticas de criação principal de serviços |
| microsoft.diretório/serviçoPrincipalCreationPolicies/standard/read | Ler propriedades padrão das principais políticas de criação de serviços |
| microsoft.diretório/serviçoPrincipalCreationPolicies/basic/update | Atualizar propriedades básicas das políticas principais de criação de serviços |
| microsoft.diretório/verifiávelCredentais/configuração/contratos/cartões/allProperties/read | Leia um cartão de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/cartões/revogar | Revogar um cartão de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/criar | Criar um contrato de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/allProperties/read | Leia um contrato de credencial verificável |
| microsoft.diretório/verifiableCredentials/configuration/contracts/allProperties/update | Atualizar um contrato de credencial verificável |
| microsoft.diretório/verifiableCredentis/configuration/create | Criar configuração necessária para criar e gerir credenciais verificáveis |
| microsoft.diretório/verifiávelCredentais/configuração/delete | Eliminar a configuração necessária para criar e gerir credenciais verificáveis e eliminar todas as suas credenciais verificáveis |
| microsoft.diretório/verifiávelCredentis/configuração/allProperties/read | Leia a configuração necessária para criar e gerir credenciais verificáveis |
| microsoft.diretório/verifiávelCredentiss/configuração/allProperties/update | Configuração de atualização necessária para criar e gerir credenciais verificáveis |
| microsoft.diretório/ciclo de vidaManagement/workflows/allProperties/allTasks | Gerir todos os aspetos dos fluxos de trabalho de gestão do ciclo de vida e tarefas em Azure AD |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Gerir todos os aspetos da Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Gerir todos os aspetos do Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gerir todos os aspetos da Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Gerir todos os aspetos da faturação Office 365 |
| microsoft.dynamics365/allEntities/allTasks | Gerir todos os aspetos da Dinâmica 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Gerir todos os aspetos do Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Gerir todos os aspetos do Microsoft Power Automamate |
| microsoft.insights/allEntities/allProperties/allTasks | Gerir todos os aspetos da app Insights |
| microsoft.intune/allEntities/allTasks | Gerir todos os aspetos da Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Gerir todos os aspetos do Office 365 Compliance Manager |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gerir todos os aspetos da Análise de Computadores |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gerir todos os aspetos da Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leia e atualize todas as propriedades da compreensão de conteúdos em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leia relatórios de análise de compreensão de conteúdos em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leia e atualize todas as propriedades da rede de conhecimento em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gerir a visibilidade tópico da rede de conhecimento em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gerir fontes de aprendizagem e todas as suas propriedades na Learning App. |
| microsoft.office365.lockbox/allEntities/allTasks | Gerir todos os aspetos do Lockbox do Cliente |
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.messageCenter/securityMessages/read | Leia mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Gerir todos os aspetos dos centros de Segurança e Conformidade |
| microsoft.office365.search/content/manage | Criar e eliminar conteúdo, e ler e atualizar todas as propriedades no Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no Office 365 Security & Compliance Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerir todos os aspetos do Skype para Empresas Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leia e atualize a visibilidade das novas mensagens |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Gerir todos os aspetos do Yammer |
| microsoft.powerApps/allEntities/allTasks | Gerir todos os aspetos das Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gerir todos os aspetos do Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Gerir todos os recursos em Equipas |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gerir e partilhar informações e métricas de Visitas Virtuais a partir de centros de administração ou da app Visitas Virtuais |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gerir todos os aspetos da Microsoft Defender para Endpoint |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leia e configuure todos os aspetos do Serviço Windows Update |
Leitor Global
Os utilizadores desta função podem ler definições e informações administrativas em todos os serviços da Microsoft 365, mas não podem tomar ações de gestão. Global Reader é a contrapartida apenas de leitura para o Administrador Global. Atribua o Global Reader em vez de Administrador Global para planeamento, auditorias ou investigações. Use o Global Reader em combinação com outras funções de administração limitadas, como o Exchange Administrator, para facilitar o trabalho sem atribuir o papel de Administrador Global. O Global Reader trabalha com centro de administração do Microsoft 365, Centro de Administração Exchange, Centro de Administração SharePoint, Centro de Administração de Equipas, Centro de Segurança, Centro de Conformidade, centro de administração Azure AD e centro de administração Gestão de Dispositivos.
Nota
O papel do Global Reader tem algumas limitações neste momento -
- Centro de administração OneDrive - O centro de administração OneDrive não suporta o papel de Leitor Global
- centro de administração do Microsoft 365 - O Global Reader não consegue ler aplicações integradas. Não encontrará o separador de aplicações integrado em Definições no painel esquerdo de centro de administração do Microsoft 365.
- Segurança & do Escritório Compliance Center - O Global Reader não consegue ler registos de auditoria SCC, fazer pesquisa de conteúdos ou ver Pontuação Segura.
- Teams admin center - Global Reader não pode ler O ciclo de vida das equipas, relatórios de Analytics&, gestão de dispositivos ip ecatálogo de aplicações. Para obter mais informações, consulte as funções de administrador da Microsoft Teams para gerir as Equipas.
- A Gestão privilegiada de Acesso (PAM) não suporta o papel de Leitor Global.
- Azure Information Protection - Global Reader é suportado apenas para relatórios centrais, e quando a sua organização Azure AD não está na plataforma de rotulagem unificada.
- SharePoint - Global Reader atualmente não pode aceder ao SharePoint usando PowerShell.
- Centro de administração da Plataforma de Energia - O Global Reader ainda não está suportado no centro de administração da Plataforma de Energia.
- O Microsoft Purview não suporta o papel de Global Reader.
Estas funcionalidades estão atualmente em desenvolvimento.
| Ações | Descrição |
|---|---|
| microsoft.diretório/acessoReviews/allProperties/read | (Depreciado) Leia todas as propriedades dos comentários de acesso |
| microsoft.diretório/acessoReviews/definições/allProperties/read | Leia todas as propriedades de avaliações de acesso de todos os recursos revistos em Azure AD |
| microsoft.directy/adminConsentRequestPolicy/allProperties/read | Leia todas as propriedades das políticas de pedido de consentimento administrativo em Azure AD |
| microsoft.diretório/administrativoSIns/allProperties/read | Leia todas as propriedades das unidades administrativas, incluindo membros |
| microsoft.diretório/appConsent/appConsentRequests/allProperties/read | Leia todas as propriedades dos pedidos de consentimento para pedidos registados com Azure AD |
| microsoft.diretório/aplicações/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em todos os tipos de aplicações |
| microsoft.diretório/aplicações/sincronização/standard/read | Leia as definições de provisionamento associadas ao objeto de aplicação |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/utilizadores/autenticaçãoMethods/standard/restrictedRead | Leia as propriedades padrão dos métodos de autenticação que não incluam informações pessoalmente identificáveis para os utilizadores |
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.directy/cloudAppSecurity/allProperties/read | Leia todas as propriedades para Defender para Apps Cloud |
| microsoft.diretório/conectores/allProperties/read | Leia todas as propriedades dos conectores de procuração de aplicação |
| microsoft.diretório/conectorGroups/allProperties/read | Leia todas as propriedades dos grupos de conector de procuração de aplicação |
| microsoft.diretório/contactos/allProperties/read | Leia todas as propriedades para contactos |
| microsoft.diretório/customAuthenticationExtensions/allProperties/read | Ler extensões de autenticação personalizadas |
| microsoft.diretório/dispositivos/allProperties/read | Ler todas as propriedades dos dispositivos |
| microsoft.diretório/directórioRoles/allProperties/read | Leia todas as propriedades das funções de diretório |
| microsoft.diretório/directórioRoleTemplates/allProperties/read | Leia todas as propriedades dos modelos de papel de diretório |
| microsoft.diretório/domínios/allProperties/read | Leia todas as propriedades dos domínios |
| microsoft.diretório/direitoManagement/allProperties/read | Leia todos os imóveis em Azure AD gestão de direitos |
| microsoft.diretório/grupos/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupoSettings/allProperties/read | Leia todas as propriedades das configurações do grupo |
| microsoft.diretório/grupoSettingTemplates/allProperties/read | Leia todas as propriedades dos modelos de definição de grupo |
| microsoft.diretório/identidadeProteção/todas as ofertas/ler | Leia todos os recursos na Azure AD Proteção de Identidade |
| microsoft.diretório/loginOrganizaçãoBranding/allProperties/read | Leia todas as propriedades para a página de inscrição marcada da sua organização |
| microsoft.diretório/nomeadosLocações/standard/read | Leia propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/read | Leia todas as propriedades de autorizações OAuth 2.0 |
| microsoft.diretório/organização/allProperties/read | Leia todas as propriedades para uma organização |
| microsoft.diretório/permissãoSpolíticas/standard/read | Ler propriedades padrão das políticas de concessão de permissão |
| microsoft.diretório/políticas/allProperties/read | Ler todas as propriedades das políticas |
| microsoft.diretório/condicionalAccessPolicies/allProperties/read | Leia todas as propriedades das políticas de acesso condicional |
| microsoft.diretório/crossTenantAccessPolicy/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/default/standard/read | Leia as propriedades básicas da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/partners/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/dispositivoManagementPolicies/standard/read | Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/standard/read | Leia propriedades padrão nas políticas de registo de dispositivos |
| microsoft.diretório/privilegiadoIdmentManagement/allProperties/read | Leia todos os recursos em Privileged Identity Management |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/papelAssignments/allProperties/read | Leia todas as propriedades das atribuições de funções |
| microsoft.diretório/roleDefinitions/allProperties/read | Leia todas as propriedades das definições de funções |
| microsoft.diretório/scopedRoleMemberships/allProperties/read | Ver membros em unidades administrativas |
| microsoft.diretório/serviçoAction/getAvailableExtentionProperties | Pode realizar a ação de serviçoAvailableExtentionProperties |
| microsoft.diretório/serviçoPrincipals/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em serviçoPrincipals |
| microsoft.diretório/serviçoPrincipalCreationPolicies/standard/read | Ler propriedades padrão das principais políticas de criação de serviços |
| microsoft.diretório/serviçoPrincipals/sincronização/standard/read | Leia as definições de provisionamento associadas ao seu principal serviço |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.diretório/subscritoSkus/allProperties/read | Leia todas as propriedades das subscrições de produtos |
| microsoft.diretório/utilizadores/allProperties/read | Leia todas as propriedades dos utilizadores |
| microsoft.diretório/verifiávelCredentais/configuração/contratos/cartões/allProperties/read | Leia um cartão de credencial verificável |
| microsoft.diretório/verifiávelCredentiss/configuração/contratos/allProperties/read | Leia um contrato de credencial verificável |
| microsoft.diretório/verifiávelCredentis/configuração/allProperties/read | Leia a configuração necessária para criar e gerir credenciais verificáveis |
| microsoft.diretório/ciclo de vidaManagement/workflows/allProperties/read | Leia todas as propriedades dos fluxos de trabalho de gestão do ciclo de vida e tarefas em Azure AD |
| microsoft.cloudPC/allEntities/allProperties/read | Leia todos os aspetos da Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Leia todos os recursos da faturação Office 365 |
| microsoft.edge/allEntities/allProperties/read | Leia todos os aspetos do Microsoft Edge |
| microsoft.insights/allEntities/allProperties/read | Leia todos os aspetos da Informações Viva |
| microsoft.office365.exchange/allEntities/standard/read | Leia todos os recursos da Exchange Online |
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.messageCenter/securityMessages/read | Leia mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Leia todas as propriedades nos centros de Segurança e Conformidade |
| microsoft.office365.securityComplianceCenter/allEntities/read | Leia propriedades padrão no Microsoft 365 Security and Compliance Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Leia todos os aspetos de Yammer |
| microsoft.teams/allEntities/allProperties/read | Leia todas as propriedades das Equipas microsoft |
| microsoft.virtualVisits/allEntities/allProperties/read | Leia todos os aspetos das Visitas Virtuais |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Leia todos os aspetos do Serviço Windows Update |
Administrador de Grupos
Os utilizadores desta função podem criar/gerir grupos e as suas definições como políticas de nomeação e expiração. É importante entender que atribuir um utilizador a este papel dá-lhes a capacidade de gerir todos os grupos da organização em várias cargas de trabalho como Teams, SharePoint, Yammer além do Outlook. Também o utilizador será capaz de gerir as configurações de vários grupos em vários portais de administração, como o Microsoft admin center, portal do Azure, bem como os específicos da carga de trabalho, como os centros de administração Teams e SharePoint.
| Ações | Descrição |
|---|---|
| microsoft.diretório/deletedItems.groups/delete | Eliminar permanentemente grupos, que já não podem ser restaurados |
| microsoft.diretório/deletedItems.groups/restore | Restaurar grupos suaves apagados para o estado original |
| microsoft.diretório/grupos/assignLicense | Atribuir licenças de produtos a grupos para licenciamento baseado em grupo |
| microsoft.diretório/grupos/criar | Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/excluir | Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/hiddenMembers/read | Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para licenciamento baseado em grupo |
| microsoft.diretório/grupos/restaurar | Restaurar grupos de recipientes comvidade |
| microsoft.diretório/grupos/básico/atualização | Atualizar propriedades básicas em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/classificação/atualização | Atualizar a propriedade de classificação em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/dynamicMembershipRule/update | Atualizar a regra de adesão dinâmica sobre grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/grupoType/atualização | Atualizar propriedades que afetariam o tipo de grupo de grupos de grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/membros/atualização | Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/onPremWriteBack/update | Atualizar os grupos de Diretório Ativo Azure para serem reensitados para as instalações com Azure AD Connect |
| microsoft.diretório/grupos/proprietários/atualização | Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/configurações/atualização | Configurações de atualização de grupos |
| microsoft.diretório/grupos/visibilidade/atualização | Atualizar a propriedade de visibilidade dos grupos de segurança e da Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Convidado Convidado
Os utilizadores desta função podem gerir convites de utilizadores do Azure Ative Directory B2B quando os Membros podem convidar a definição do utilizador está definido para Nº. Mais informações sobre a colaboração B2B na About Azure AD colaboração B2B. Não inclui quaisquer outras permissões.
| Ações | Descrição |
|---|---|
| microsoft.diretório/utilizadores/convidarGuest | Convidar utilizadores |
| microsoft.diretório/utilizadores/standard/read | Ler propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/appRoleAssignments/read | Ler atribuições de funções de aplicação para utilizadores |
| microsoft.diretório/utilizadores/deviceForResourceAccount/read | Ler dispositivoForResourceA contagem de utilizadores |
| microsoft.directy/users/directReports/read | Leia os relatórios diretos para os utilizadores |
| microsoft.diretório/utilizadores/licenseDetails/read | Ler detalhes da licença dos utilizadores |
| microsoft.diretório/utilizadores/gestor/leitura | Ler gestor de utilizadores |
| microsoft.diretório/utilizadores/membroOf/read | Leia os membros do grupo dos utilizadores |
| microsoft.diretório/utilizadores/oAuth2PermissionGrants/read | Ler subsídios de autorização delegados aos utilizadores |
| microsoft.diretório/utilizadores/propriedadeDevices/ler | Ler dispositivos de propriedade dos utilizadores |
| microsoft.diretório/utilizadores/ownedObjects/read | Ler objetos de propriedade dos utilizadores |
| microsoft.diretório/utilizadores/foto/ler | Ler foto dos utilizadores |
| microsoft.diretório/utilizadores/registradoDevices/read | Ler dispositivos registados de utilizadores |
| microsoft.diretório/utilizadores/scopedRoleMemberOf/read | Leia a adesão do utilizador a uma função Azure AD, que é alargada a uma unidade administrativa |
Administrador helpdesk
Os utilizadores com esta função podem alterar palavras-passe, invalidar tokens de atualização, criar e gerir pedidos de suporte com a Microsoft para serviços Azure e Microsoft 365, e monitorizar a saúde do serviço. Invalidar um token de atualização obriga o utilizador a iniciar novamente o sat. Se um Administrador helpdesk pode redefinir a palavra-passe de um utilizador e invalidar tokens de atualização depende da função que o utilizador é atribuído. Para obter uma lista das funções que um Administrador helpdesk pode redefinir palavras-passe e invalidar tokens de atualização, consulte Quem pode redefinir as palavras-passe.
Importante
Os utilizadores com esta função podem alterar palavras-passe para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar a palavra-passe de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:
- Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidos aos Administradores helpdesk. Por este caminho, um Administrador helpdesk poderá assumir a identidade de um titular da aplicação e, em seguida, assumir a identidade de um pedido privilegiado atualizando as credenciais para o pedido.
- Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
- Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
- Administradores em outros serviços fora de Azure AD como Exchange Online, Office Security and Compliance Center, e sistemas de recursos humanos.
- Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.
Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.
Delegar permissões administrativas sobre subconjuntos de utilizadores e aplicar políticas a um subconjunto de utilizadores é possível com unidades administrativas.
Esta função foi anteriormente denominada "Administrador de Password" no portal do Azure. O nome "Helpdesk Administrator" em Azure AD corresponde agora ao seu nome em Azure AD PowerShell e no Microsoft Graph API.
| Ações | Descrição |
|---|---|
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de identidade híbrida
Os utilizadores desta função podem criar, gerir e implementar a configuração de configuração de provisionamento de AD para Azure AD utilizando o Cloud Provisioning, bem como gerir Azure AD Connect, A autenticação pass-through (PTA), sincronização de hash de palavras-passe (PHS), Sign-On single sem emenda (SSO sem emenda) e configurações da federação. Os utilizadores também podem resolver problemas e monitorizar registos utilizando esta função.
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/criar | Criar todos os tipos de aplicações |
| microsoft.diretório/aplicações/delete | Eliminar todos os tipos de aplicações |
| microsoft.diretório/aplicações/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicações |
| microsoft.diretório/aplicações/audiência/atualização | Atualizar a propriedade do público para aplicações |
| microsoft.diretório/aplicações/autenticação/atualização | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/básico/atualização | Atualizar propriedades básicas para aplicações |
| microsoft.diretório/aplicações/notas/atualização | Atualizações de notas de aplicações |
| microsoft.diretório/aplicações/proprietários/atualização | Atualizar os proprietários de aplicações |
| microsoft.diretório/aplicações/permissões/atualização | Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações |
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/aplicações/tag/update | Atualização de tags de aplicações |
| microsoft.diretório/aplicações/sincronização/standard/read | Leia as definições de provisionamento associadas ao objeto de aplicação |
| microsoft.diretório/aplicaçãoTemplates/instantiate | Aplicações instantâneas de galeria a partir de modelos de aplicação |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/cloudProvisioning/allProperties/allTasks | Leia e configuure todas as propriedades do serviço de fornecimento de Azure AD cloud. |
| microsoft.diretório/deletedItems.applications/delete | Eliminar permanentemente as aplicações, que já não podem ser restauradas |
| microsoft.diretório/deletedItems.applications/restore | Restaurar aplicações suaves eliminadas para o estado original |
| microsoft.diretório/domínios/allProperties/read | Leia todas as propriedades dos domínios |
| microsoft.diretório/domínios/federação/atualização | Atualizar propriedade da federação de domínios |
| microsoft.diretório/híbridoAuthenticationPolicy/allProperties/allTasks | Gerir a política de autenticação híbrida em Azure AD |
| microsoft.diretório/organização/dirSync/update | Atualizar a propriedade de sincronização de diretórios de organização |
| microsoft.diretório/passwordHashSync/allProperties/allTasks | Gerir todos os aspetos da Sincronização de Hash (PHS) de password em Azure AD |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/serviçoPrincipals/criar | Criar principais de serviço |
| microsoft.diretório/serviçoPrincipals/delete | Eliminar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/desativar | Diretores de serviço para desativação |
| microsoft.diretório/serviçoPrincipals/enable | Ativar os principais de serviço |
| microsoft.diretório/serviçoPrincipals/synchronizationCredentiss/manage | Gerir o fornecimento de formulários e credenciais |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoJobs/gerir | Iniciar, reiniciar e interromper a aplicação de provisão de empregos de sincronização |
| microsoft.diretório/serviçoPrincipals/sincronizaçãoSchema/manage | Criar e gerir os trabalhos de sincronização e esquemas de sincronização de aplicações |
| microsoft.diretório/serviçoPrincipals/audience/update | Atualizar propriedades do público em diretores de serviço |
| microsoft.diretório/serviçoPrincipals/autenticação/atualização | Atualizar propriedades de autenticação em principados de serviço |
| microsoft.diretório/serviçoPrincipals/básico/atualização | Atualizar propriedades básicas em principais serviços |
| microsoft.diretório/serviçoPrincipals/notas/atualização | Atualização de notas dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/proprietários/atualização | Atualizar os proprietários dos principados de serviços |
| microsoft.diretório/serviçoPrincipals/permissões/atualização | Atualizar permissões dos principais serviços |
| microsoft.diretório/serviçoPrincipals/políticas/atualização | Atualizar políticas dos principais serviços |
| microsoft.diretório/serviçoPrincipals/tag/update | Atualizar a propriedade tag para os principados de serviço |
| microsoft.diretório/serviçoPrincipals/sincronização/standard/read | Leia as definições de provisionamento associadas ao seu principal serviço |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Governação de Identidade
Os utilizadores com esta função podem gerir Azure AD configuração de governação de identidade, incluindo pacotes de acesso, análises de acesso, catálogos e políticas, garantindo que o acesso é aprovado e revisto e os utilizadores convidados que já não precisam de acesso são removidos.
| Ações | Descrição |
|---|---|
| microsoft.diretório/acessoReviews/definições.aplicações/allProperties/allTasks | Gerir revisões de acesso de atribuições de funções de candidatura em Azure AD |
| microsoft.diretório/acessoReviews/definições.entitlementManagement/allProperties/allTasks | Gerir revisões de acesso para atribuição de pacotes de acesso na gestão de direitos |
| microsoft.diretório/acessoReviews/definições.groups/allProperties/read | Leia todas as propriedades de comentários de acesso para membros em Grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis por funções. |
| microsoft.diretório/acessoReviews/definitions.groups/allProperties/update | Atualize todas as propriedades de avaliações de acesso para membros em grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por funções. |
| microsoft.diretório/acessoReviews/definitions.groups/create | Crie comentários de acesso para membros em Grupos de Segurança e Microsoft 365. |
| microsoft.diretório/acessoReviews/definitions.groups/delete | Elimine as avaliações de acesso para membros em Grupos de Segurança e Microsoft 365. |
| microsoft.diretório/acessoReviews/allProperties/allTasks | (Depreciado) Criar e apagar comentários de acesso, ler e atualizar todas as propriedades das avaliações de acesso e gerir avaliações de acesso de grupos em Azure AD |
| microsoft.diretório/direitoManagement/allProperties/allTasks | Criar e eliminar recursos, e ler e atualizar todos os imóveis em Azure AD gestão de direitos |
| microsoft.diretório/grupos/membros/atualização | Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
Administrador de Insights
Os utilizadores desta função podem aceder a todo o conjunto de capacidades administrativas na aplicação Informações Microsoft Viva. Esta função tem a capacidade de ler informações de diretórios, monitorizar a saúde do serviço, bilhetes de suporte de ficheiros e aceder aos aspetos de definição do Administrador insights.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.insights/allEntities/allProperties/allTasks | Gerir todos os aspetos da app Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Analista de Insights
Atribua o papel de Analista insights aos utilizadores que necessitem de fazer o seguinte:
- Analise os dados na aplicação Informações Microsoft Viva, mas não consegue gerir quaisquer configurações de configuração
- Criar, gerir e executar consultas
- Ver configurações e relatórios básicos no centro de administração do Microsoft 365
- Criar e gerir pedidos de serviço no centro de administração do Microsoft 365
| Ações | Descrição |
|---|---|
| microsoft.insights/consultas/allProperties/allTasks | Executar e gerir consultas em Informações Viva |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Insights Business Leader
Os utilizadores desta função podem aceder a um conjunto de dashboards e insights através da aplicação Informações Microsoft Viva. Isto inclui acesso total a todos os dashboards e apresenta insights e funcionalidade de exploração de dados. Os utilizadores desta função não têm acesso às definições de configuração do produto, que é da responsabilidade da função de Administrador de Insights.
| Ações | Descrição |
|---|---|
| microsoft.insights/reports/allProperties/read | Ver relatórios e dashboard na app Insights |
| microsoft.insights/programs/allProperties/update | Implementar e gerir programas na app Insights |
Administrador Intune
Os utilizadores com esta função têm permissões globais dentro Microsoft Intune Online, quando o serviço está presente. Além disso, esta função contém a capacidade de gerir utilizadores e dispositivos de forma a associar a política, bem como criar e gerir grupos. Mais informações sobre o controlo da administração baseada em funções (RBAC) com Microsoft Intune.
Este papel pode criar e gerir todos os grupos de segurança. No entanto, Intune Administrador não tem direitos de administração sobre grupos de escritório. Isto significa que o administrador não pode atualizar proprietários ou membros de todos os grupos do Office na organização. No entanto, pode gerir o grupo de Escritório que cria, que vem como parte dos seus privilégios de utilizador final. Assim, qualquer grupo de Escritório (não grupo de segurança) que cria deve ser contabilizado contra a sua quota de 250.
Nota
No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "administrador de serviço Intune". É "administrador Intune" no portal do Azure.
| Ações | Descrição |
|---|---|
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.diretório/contactos/criar | Criar contactos |
| microsoft.diretório/contactos/excluir | Eliminar contactos |
| microsoft.diretório/contactos/básico/atualização | Atualizar propriedades básicas em contactos |
| microsoft.diretório/dispositivos/criar | Criar dispositivos (inscrever-se em Azure AD) |
| microsoft.diretório/dispositivos/delete | Eliminar dispositivos de Azure AD |
| microsoft.diretório/dispositivos/desativar | Desativar dispositivos em Azure AD |
| microsoft.diretório/dispositivos/permitir | Ativar dispositivos em Azure AD |
| microsoft.diretório/dispositivos/básico/atualização | Atualizar propriedades básicas em dispositivos |
| microsoft.diretório/dispositivos/extensãoAttributeSet1/update | Atualizar a extensãoAttribute1 para extensão Propriedades de Atribuição de5 em dispositivos |
| microsoft.diretório/dispositivos/extensãoAttributeSet2/atualização | Atualizar a extensãoAttribute6 para extensão Propriedades de Atribuição de 10 em dispositivos |
| microsoft.diretório/dispositivos/extensãoAttributeSet3/update | Atualizar a extensãoAttribute11 para extensão Propriedades deAttribute15 em dispositivos |
| microsoft.diretório/dispositivos/registadosSowners/update | Atualizar os proprietários registados de dispositivos |
| microsoft.diretório/dispositivos/registros/update | Atualizar utilizadores registados de dispositivos |
| microsoft.diretório/dispositivoManagementPolicies/standard/read | Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/standard/read | Leia propriedades padrão nas políticas de registo de dispositivos |
| microsoft.diretório/grupos/hiddenMembers/read | Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/create | Criar grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/delete | Eliminar grupos de segurança, excluindo grupos que atribuem funções |
| microsoft.diretório/grupos.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/classification/update | Atualizar a propriedade de classificação em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.directy/groups.security/dynamicMembershipRule/update | Atualizar a regra de adesão dinâmica sobre os grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
| microsoft.diretório/grupos.security/owners/update | Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/visibility/update | Atualizar a propriedade de visibilidade em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/foto/atualização | Atualizar foto dos utilizadores |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gerir todos os aspetos da Windows 365 |
| microsoft.intune/allEntities/allTasks | Gerir todos os aspetos da Microsoft Intune |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador kaizala
Os utilizadores com esta função têm permissões globais para gerir as definições dentro da Microsoft Kaizala, quando o serviço está presente, bem como a capacidade de gerir bilhetes de suporte e monitorizar a saúde do serviço. Além disso, o utilizador pode aceder a relatórios relacionados com o uso de adoção & de Kaizala por membros da Organização e relatórios de negócios gerados através das ações de Kaizala.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Conhecimento
Os utilizadores desta função têm acesso total a todos os conhecimentos, aprendizagens e definições de funcionalidades inteligentes no centro de administração do Microsoft 365. Têm uma compreensão geral do conjunto de produtos, licenciamentos e têm a responsabilidade de controlar o acesso. O Administrador de Conhecimento pode criar e gerir conteúdos, como tópicos, siglas e recursos de aprendizagem. Além disso, estes utilizadores podem criar centros de conteúdo, monitorizar a saúde do serviço e criar pedidos de serviço.
| Ações | Descrição |
|---|---|
| microsoft.diretório/grupos.security/create | Criar grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/createAsOwner | Criar grupos de segurança, excluindo grupos atribuíveis por funções. O criador é adicionado como o primeiro proprietário. |
| microsoft.diretório/grupos.security/delete | Eliminar grupos de segurança, excluindo grupos que atribuem funções |
| microsoft.diretório/grupos.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
| microsoft.diretório/grupos.security/owners/update | Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leia e atualize todas as propriedades da compreensão de conteúdos em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leia e atualize todas as propriedades da rede de conhecimento em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gerir fontes de aprendizagem e todas as suas propriedades na Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Leia todas as propriedades dos rótulos de sensibilidade nos centros de segurança e conformidade |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Gestor de Conhecimento
Os utilizadores desta função podem criar e gerir conteúdos, como tópicos, siglas e conteúdos de aprendizagem. Estes utilizadores são os principais responsáveis pela qualidade e estrutura do conhecimento. Este utilizador tem plenos direitos sobre ações de gestão de tópicos para confirmar um tópico, aprovar edições ou eliminar um tópico. Esta função também pode gerir taxonomias como parte da ferramenta de gestão de lojas e criar centros de conteúdo.
| Ações | Descrição |
|---|---|
| microsoft.diretório/grupos.security/create | Criar grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/createAsOwner | Criar grupos de segurança, excluindo grupos atribuíveis por funções. O criador é adicionado como o primeiro proprietário. |
| microsoft.diretório/grupos.security/delete | Eliminar grupos de segurança, excluindo grupos que atribuem funções |
| microsoft.diretório/grupos.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
| microsoft.diretório/grupos.security/owners/update | Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leia relatórios de análise de compreensão de conteúdos em centro de administração do Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gerir a visibilidade tópico da rede de conhecimento em centro de administração do Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Licença
Os utilizadores desta função podem adicionar, remover e atualizar as atribuições de licenças em utilizadores, grupos (usando licenças baseadas em grupo) e gerir a localização de utilização nos utilizadores. A função não concede a capacidade de comprar ou gerir subscrições, criar ou gerir grupos, ou criar ou gerir utilizadores para além da localização de utilização. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/grupos/assignLicense | Atribuir licenças de produtos a grupos para licenciamento baseado em grupo |
| microsoft.diretório/grupos/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para licenciamento baseado em grupo |
| microsoft.diretório/utilizadores/assignLicense | Gerir licenças de utilizador |
| microsoft.diretório/utilizadores/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para utilizadores |
| microsoft.diretório/utilizadores/usageLocation/update | Atualizar a localização de utilização dos utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Leitor de Privacidade do Centro de Mensagens
Os utilizadores desta função podem monitorizar todas as notificações no Centro de Mensagens, incluindo mensagens de privacidade de dados. Os Leitores de Privacidade do Centro de Mensagens recebem notificações de e-mail, incluindo as relacionadas com a privacidade dos dados e podem cancelar a subscrição através das Preferências do Centro de Mensagens. Apenas o Administrador Global e o Leitor de Privacidade do Centro de Mensagens podem ler mensagens de privacidade de dados. Além disso, este papel contém a capacidade de visualizar grupos, domínios e subscrições. Esta função não tem permissão para visualizar, criar ou gerir pedidos de serviço.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.messageCenter/securityMessages/read | Leia mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Leitor do Centro de Mensagens
Os utilizadores desta função podem monitorizar notificações e atualizações de saúde de aconselhamento no Centro de Mensagens para a sua organização em serviços configurados como Exchange, Intune e Microsoft Teams. Os Leitores do Centro de Mensagens recebem digestão semanal de mensagens, atualizações e podem partilhar posts de centro de mensagens no Microsoft 365. Em Azure AD, os utilizadores designados para esta função só terão acesso de leitura apenas a serviços Azure AD, como utilizadores e grupos. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Utilizador de Comércio Moderno
Não utilizar. Esta função é automaticamente atribuída ao Comércio, e não se destina ou é suportada para qualquer outra utilização. Veja os detalhes abaixo.
A função de Utilizador do Comércio Moderno dá a certos utilizadores permissão para aceder centro de administração do Microsoft 365 e ver as entradas de navegação esquerda para Home, Billing e Support. O conteúdo disponível nestas áreas é controlado por funções específicas do comércio atribuídas aos utilizadores para gerir produtos que compraram para si ou para a sua organização. Isto pode incluir tarefas como pagar contas ou acesso a contas de faturação e perfis de faturação.
Os utilizadores com a função de Utilizador de Comércio Moderno normalmente têm permissões administrativas em outros sistemas de compra da Microsoft, mas não têm funções de Administrador Global ou Administrador de Faturação usados para aceder ao centro de administração.
Quando é atribuída a função de Utilizador do Comércio Moderno?
- A compra de self-service em centro de administração do Microsoft 365 – A compra self-service dá aos utilizadores a oportunidade de experimentar novos produtos comprando ou inscrevendo-se por conta própria. Estes produtos são geridos no centro de administração. Os utilizadores que fazem uma compra de self-service são atribuídos a um papel no sistema de comércio, e o papel de Utilizador de Comércio Moderno para que possam gerir as suas compras no centro de administração. Os administradores podem bloquear as compras de self-service (para Power BI, Power Apps, Power automat) através do PowerShell. Para obter mais informações, veja Self-service purchase FAQ (FAQ da compra personalizada).
- Compras no mercado comercial da Microsoft – Semelhante à compra de self-service, quando um utilizador compra um produto ou serviço ao Microsoft AppSource ou Azure Marketplace, a função de Utilizador de Comércio Moderno é atribuída se não tiver o papel de Administrador Global ou Administrador de Faturação. Em alguns casos, os utilizadores podem estar impedidos de fazer estas compras. Para mais informações, consulte o mercado comercial da Microsoft.
- Propostas da Microsoft – Uma proposta é uma oferta formal da Microsoft para a sua organização comprar produtos e serviços da Microsoft. Quando a pessoa que está a aceitar a proposta não tem um papel de Administrador Global ou Administrador de Faturação em Azure AD, é-lhes atribuído um papel específico do comércio para completar a proposta e a função de Utilizador do Comércio Moderno para aceder ao centro de administração. Quando acedem ao centro de administração, só podem usar funcionalidades que são autorizadas pelo seu papel específico do comércio.
- Funções específicas do comércio – Alguns utilizadores têm funções específicas do comércio. Se um utilizador não for administrador global ou administrador de faturação, obtém a função de Utilizador de Comércio Moderno para que possa aceder ao centro de administração.
Se o papel de Utilizador do Comércio Moderno não for atribuído a um utilizador, perde o acesso a centro de administração do Microsoft 365. Se eles estavam a gerir quaisquer produtos, para si ou para a sua organização, eles não serão capazes de geri-los. Isto pode incluir a atribuição de licenças, alteração de métodos de pagamento, pagamento de contas ou outras tarefas para gerir subscrições.
| Ações | Descrição |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Gerir todos os aspetos do Centro de Serviços de Licenciamento de Volume |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de rede
Os utilizadores desta função podem rever recomendações de arquitetura de perímetro de rede da Microsoft que são baseadas em telemetria de rede a partir das suas localizações de utilizadores. O desempenho da rede para o Microsoft 365 baseia-se numa arquitetura cuidadosa do perímetro da rede de clientes da empresa, que é geralmente específica da localização do utilizador. Esta função permite a edição das localizações do utilizador descobertas e a configuração de parâmetros de rede para esses locais para facilitar a melhoria das medições de telemetria e recomendações de design
| Ações | Descrição |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Gerir todos os aspetos das localizações da rede |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Aplicações de Escritório
Os utilizadores desta função podem gerir as definições de cloud das aplicações da Microsoft 365. Isto inclui gerir políticas de nuvem, gestão de descarregamento de self-service e a capacidade de visualizar o relatório relacionado com aplicações do Office. Esta função também garante a capacidade de gerir os bilhetes de apoio e monitorizar a saúde do serviço dentro do principal centro de administração. Os utilizadores designados para esta função também podem gerir a comunicação de novas funcionalidades em aplicações do Office.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leia e atualize a visibilidade das novas mensagens |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Suporte parceiro Tier1
Não utilizar. Este papel foi depreciado e será removido da Azure AD no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft, e não se destina a ser utilizada em geral.
Importante
Esta função pode redefinir palavras-passe e invalidar fichas de atualização apenas para não administradores. Este papel não deve ser utilizado porque é depreciado e deixará de ser devolvido na API.
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicações |
| microsoft.diretório/aplicações/audiência/atualização | Atualizar a propriedade do público para aplicações |
| microsoft.diretório/aplicações/autenticação/atualização | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/básico/atualização | Atualizar propriedades básicas para aplicações |
| microsoft.diretório/aplicações/credenciais/atualização | Atualizar credenciais de aplicação |
| microsoft.diretório/aplicações/notas/atualização | Atualizações de notas de aplicações |
| microsoft.diretório/aplicações/proprietários/atualização | Atualizar os proprietários de aplicações |
| microsoft.diretório/aplicações/permissões/atualização | Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações |
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/aplicações/tag/update | Atualização de tags de aplicações |
| microsoft.diretório/contactos/criar | Criar contactos |
| microsoft.diretório/contactos/excluir | Eliminar contactos |
| microsoft.diretório/contactos/básico/atualização | Atualizar propriedades básicas em contactos |
| microsoft.diretório/deletedItems.groups/restore | Restaurar grupos suaves apagados para o estado original |
| microsoft.diretório/deletedItems.users/restore | Restaurar os utilizadores suaves eliminados para o estado original |
| microsoft.diretório/grupos/criar | Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/excluir | Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/restaurar | Restaurar grupos de recipientes comvidade |
| microsoft.diretório/grupos/membros/atualização | Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/proprietários/atualização | Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/utilizadores/assignLicense | Gerir licenças de utilizador |
| microsoft.diretório/utilizadores/criar | Adicionar utilizadores |
| microsoft.diretório/utilizadores/delete | Eliminar utilizadores |
| microsoft.diretório/utilizadores/desativar | Desativar utilizadores |
| microsoft.diretório/utilizadores/enable | Ativar os utilizadores |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/restaurar | Restaurar utilizadores eliminados |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.diretório/utilizadores/foto/atualização | Atualizar foto dos utilizadores |
| microsoft.directiony/users/userPrincipalName/update | Atualizar o nome principal do utilizador dos utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Suporte parceiro Tier2
Não utilizar. Este papel foi depreciado e será removido da Azure AD no futuro. Esta função destina-se a ser utilizada por um pequeno número de parceiros de revenda da Microsoft, e não se destina a ser utilizada em geral.
Importante
Esta função pode redefinir palavras-passe e invalidar fichas de atualização para todos os administradores e administradores não administradores (incluindo administradores globais). Este papel não deve ser utilizado porque é depreciado e deixará de ser devolvido na API.
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/appRoles/update | Atualizar a propriedade appRoles em todos os tipos de aplicações |
| microsoft.diretório/aplicações/audiência/atualização | Atualizar a propriedade do público para aplicações |
| microsoft.diretório/aplicações/autenticação/atualização | Atualizar a autenticação em todos os tipos de aplicações |
| microsoft.diretório/aplicações/básico/atualização | Atualizar propriedades básicas para aplicações |
| microsoft.diretório/aplicações/credenciais/atualização | Atualizar credenciais de aplicação |
| microsoft.diretório/aplicações/notas/atualização | Atualizações de notas de aplicações |
| microsoft.diretório/aplicações/proprietários/atualização | Atualizar os proprietários de aplicações |
| microsoft.diretório/aplicações/permissões/atualização | Atualizar permissões expostas e permissões necessárias em todos os tipos de aplicações |
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/aplicações/tag/update | Atualização de tags de aplicações |
| microsoft.diretório/contactos/criar | Criar contactos |
| microsoft.diretório/contactos/excluir | Eliminar contactos |
| microsoft.diretório/contactos/básico/atualização | Atualizar propriedades básicas em contactos |
| microsoft.diretório/deletedItems.groups/restore | Restaurar grupos suaves apagados para o estado original |
| microsoft.diretório/deletedItems.users/restore | Restaurar os utilizadores suaves eliminados para o estado original |
| microsoft.diretório/domínios/allProperties/allTasks | Criar e eliminar domínios, e ler e atualizar todas as propriedades |
| microsoft.diretório/grupos/criar | Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/excluir | Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/restaurar | Restaurar grupos de recipientes comvidade |
| microsoft.diretório/grupos/membros/atualização | Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/proprietários/atualização | Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/organização/básico/atualização | Atualizar propriedades básicas na organização |
| microsoft.diretório/papelAssignments/allProperties/allTasks | Criar e eliminar atribuições de funções e ler e atualizar todas as propriedades de atribuição de funções |
| microsoft.diretório/roleDefinitions/allProperties/allTasks | Criar e eliminar definições de funções, e ler e atualizar todas as propriedades |
| microsoft.directy/scopedRoleMemberships/allProperties/allTasks | Criar e eliminar as empresas scopedRoleMemberberships e ler e atualizar todas as propriedades |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/subscritoSkus/standard/read | Ler propriedades básicas em subscrições |
| microsoft.diretório/utilizadores/assignLicense | Gerir licenças de utilizador |
| microsoft.diretório/utilizadores/criar | Adicionar utilizadores |
| microsoft.diretório/utilizadores/delete | Eliminar utilizadores |
| microsoft.diretório/utilizadores/desativar | Desativar utilizadores |
| microsoft.diretório/utilizadores/enable | Ativar os utilizadores |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/restaurar | Restaurar utilizadores eliminados |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.diretório/utilizadores/foto/atualização | Atualizar foto dos utilizadores |
| microsoft.directiony/users/userPrincipalName/update | Atualizar o nome principal do utilizador dos utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de password
Os utilizadores com esta função têm capacidade limitada para gerir senhas. Esta função não garante a capacidade de gerir pedidos de serviço ou monitorizar a saúde do serviço. Se um Administrador de Palavra-Passe pode redefinir a palavra-passe de um utilizador depende da função que o utilizador é atribuído. Para obter uma lista das funções para as quais um Administrador de Password pode redefinir palavras-passe, consulte Quem pode redefinir as palavras-passe.
Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.
| Ações | Descrição |
|---|---|
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Bi de Energia
Os utilizadores com esta função têm permissões globais dentro do Microsoft Power BI, quando o serviço está presente, bem como a capacidade de gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações na Compreensão da função de Administrador de Bi De energia.
Nota
No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço de Power BI". É "Power BI Administrator" no portal do Azure.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gerir todos os aspetos do Power BI |
Administrador da Plataforma de Energia
Os utilizadores desta função podem criar e gerir todos os aspetos de ambientes, Aplicações de Energia, Fluxos, Políticas de Prevenção de Perda de Dados. Além disso, os utilizadores com esta função têm a capacidade de gerir bilhetes de apoio e monitorizar a saúde do serviço.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.dynamics365/allEntities/allTasks | Gerir todos os aspetos da Dinâmica 365 |
| microsoft.flow/allEntities/allTasks | Gerir todos os aspetos do Microsoft Power Automamate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Gerir todos os aspetos das Power Apps |
Administrador de impressora
Os utilizadores desta função podem registar impressoras e gerir todos os aspetos de todas as configurações da impressora na solução Microsoft Universal Print, incluindo as definições do Conector de Impressão Universal. Podem consentir com todos os pedidos de autorização de impressão delegados. Os administradores da impressora também têm acesso a relatórios de impressão.
| Ações | Descrição |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Criar e eliminar impressoras e conectores e ler e atualizar todas as propriedades no Microsoft Print |
Técnico de impressora
Os utilizadores com esta função podem registar impressoras e gerir o estado da impressora na solução De Impressão Universal da Microsoft. Também podem ler todas as informações do conector. A tarefa chave que um Técnico de Impressora não pode fazer é definir permissões do utilizador em impressoras e partilhar impressoras.
| Ações | Descrição |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Leia todas as propriedades dos conectores na Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Leia todas as propriedades das impressoras na Microsoft Print |
| microsoft.azure.print/printers/register | Registar impressoras na Microsoft Print |
| microsoft.azure.print/printers/unregister | Impressoras não registadas na Microsoft Print |
| microsoft.azure.print/printers/basic/update | Atualizar propriedades básicas de impressoras na Microsoft Print |
Administrador de Autenticação Privilegiada
Os utilizadores com esta função podem definir ou redefinir qualquer método de autenticação (incluindo palavras-passe) para qualquer utilizador, incluindo Administradores Globais. Os Administradores de Autenticação Privilegiada podem obrigar os utilizadores a re-registarem-se contra a credencial não-senha existente (como MFA ou FIDO) e revogar "lembrem-se de MFA no dispositivo", solicitando para MFA na próxima entrada de todos os utilizadores. Os Administradores de Autenticação Privilegiada podem atualizar atributos sensíveis para todos os utilizadores.
A função de Administrador de Autenticação tem permissão para forçar o reencamédido e a autenticação multifactor para utilizadores padrão e utilizadores com algumas funções de administração.
A função de Administrador de Política de Autenticação tem permissões para definir a política de método de autenticação do arrendatário que determina quais os métodos que cada utilizador pode registar e utilizar.
| Função | Gerir os métodos de auth do utilizador | Gerir por utilizador MFA | Gerir as definições de MFA | Gerir a política do método auth | Gerir a política de proteção de palavras-passe | Atualizar atributos sensíveis |
|---|---|---|---|---|---|---|
| Administrador de Autenticação | Sim para alguns utilizadores (ver acima) | Sim para alguns utilizadores (ver acima) | No | No | No | Sim para alguns utilizadores (ver acima) |
| Administrador de Autenticação Privilegiada | Sim para todos os utilizadores | Sim para todos os utilizadores | No | No | No | Sim para todos os utilizadores |
| Administrador de Política de Autenticação | No | No | Yes | Yes | Yes | No |
Importante
Os utilizadores com esta função podem alterar credenciais para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar as credenciais de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:
- Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidas a Administradores de Autenticação. Por este caminho um Administrador de Autenticação pode assumir a identidade de titular de uma candidatura e, em seguida, assumir a identidade de uma aplicação privilegiada atualizando as credenciais para a aplicação.
- Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
- Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
- Administradores em outros serviços fora de Azure AD como Exchange Online, Office Security and Compliance Center, e sistemas de recursos humanos.
- Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.
Importante
Esta função não é atualmente capaz de gerir o MFA por utilizador no antigo portal de gestão de MFA. As mesmas funções podem ser realizadas utilizando o comando Set-MsolUser Azure AD módulo PowerShell.
| Ações | Descrição |
|---|---|
| microsoft.diretório/utilizadores/autenticaçãoMethods/criar | Criar métodos de autenticação para os utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/delete | Eliminar métodos de autenticação para utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/standard/read | Ler propriedades padrão de métodos de autenticação para utilizadores |
| microsoft.diretório/utilizadores/autenticaçãoMethods/basic/update | Atualizar propriedades básicas dos métodos de autenticação para os utilizadores |
| microsoft.diretório/deletedItems.users/restore | Restaurar os utilizadores suaves eliminados para o estado original |
| microsoft.diretório/utilizadores/delete | Eliminar utilizadores |
| microsoft.diretório/utilizadores/desativar | Desativar utilizadores |
| microsoft.diretório/utilizadores/enable | Ativar os utilizadores |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/restaurar | Restaurar utilizadores eliminados |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.directiony/users/userPrincipalName/update | Atualizar o nome principal do utilizador dos utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Funções com Privilégios
Os utilizadores com esta função podem gerir atribuições de funções no Azure Ative Directory, bem como dentro de Azure AD Privileged Identity Management. Podem criar e gerir grupos que podem ser atribuídos a Azure AD funções. Além disso, esta função permite a gestão de todos os aspetos das Privileged Identity Management e unidades administrativas.
Importante
Esta função confere a capacidade de gerir atribuições para todas as funções Azure AD, incluindo o papel de Administrador Global. Esta função não inclui quaisquer outras habilidades privilegiadas em Azure AD como criar ou atualizar utilizadores. No entanto, os utilizadores destacados para esta função podem conceder a si mesmos ou a outros privilégios adicionais atribuindo funções adicionais.
| Ações | Descrição |
|---|---|
| microsoft.diretório/acessoReviews/definições.aplicações/allProperties/read | Leia todas as propriedades de revisões de acesso de atribuições de funções de candidatura em Azure AD |
| microsoft.diretório/acessoReviews/definições.directyRoles/allProperties/allTasks | Gerir revisões de acesso para atribuições de funções Azure AD |
| microsoft.diretório/acessoReviews/definições.groupsAssignableToRoles/allProperties/update | Atualizar todas as propriedades de comentários de acesso para membros em grupos que são atribuíveis a funções Azure AD |
| microsoft.diretório/acessoReviews/definições.groupsAssignableToRoles/create | Criar revisões de acesso para membros em grupos que sejam atribuíveis a funções Azure AD |
| microsoft.diretório/acessoReviews/definições.groupsAssignableToRoles/delete | Eliminar comentários de acesso para adesão em grupos que sejam atribuíveis a funções Azure AD |
| microsoft.diretório/acessoReviews/definições.groups/allProperties/read | Leia todas as propriedades de comentários de acesso para membros em Grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis por funções. |
| microsoft.diretório/administrativoSIns/allProperties/allTasks | Criar e gerir unidades administrativas (incluindo membros) |
| microsoft.diretório/autorizaçãoPolícia/allProperties/allTasks | Gerir todos os aspetos da política de autorização |
| microsoft.directy/directórioRoles/allProperties/allTasks | Criar e apagar funções de diretório, e ler e atualizar todas as propriedades |
| microsoft.diretório/gruposAssignableToRoles/create | Criar grupos aos quais se pode atribuir funções |
| microsoft.diretório/gruposAssignableToRoles/delete | Eliminar grupos atribuíveis por funções |
| microsoft.diretório/gruposAssignableToRoles/restauro | Restaurar grupos atribuíveis por funções |
| microsoft.diretório/gruposAssignableToRoles/allProperties/update | Atualizar grupos atribuíveis por funções |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/privilegiadoIdmentManagement/allProperties/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Privileged Identity Management |
| microsoft.diretório/papelAssignments/allProperties/allTasks | Criar e eliminar atribuições de funções e ler e atualizar todas as propriedades de atribuição de funções |
| microsoft.diretório/roleDefinitions/allProperties/allTasks | Criar e eliminar definições de funções, e ler e atualizar todas as propriedades |
| microsoft.directy/scopedRoleMemberships/allProperties/allTasks | Criar e eliminar as empresas scopedRoleMemberberships e ler e atualizar todas as propriedades |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/serviçoPrincipals/permissões/atualização | Atualizar permissões dos principais serviços |
| microsoft.directiony/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Conceder consentimento para qualquer permissão a qualquer pedido |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Leitor de Relatórios
Os utilizadores com esta função podem visualizar os dados de reporte de utilização e o painel de relatórios em centro de administração do Microsoft 365 e o pacote de contexto de adoção no Power BI. Além disso, a função fornece acesso a relatórios de inscrição e atividade em Azure AD e dados devolvidos pela API de relatório do Microsoft Graph. Um utilizador atribuído à função 'Leitor de Relatórios' só pode aceder às métricas de utilização e adoção relevantes. Não têm permissões de administração para configurar definições ou aceder aos centros de administração específicos do produto, como o Exchange. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.
| Ações | Descrição |
|---|---|
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Pesquisa
Os utilizadores desta função têm acesso total a todas as funcionalidades de gestão do Microsoft Search no centro de administração do Microsoft 365. Além disso, estes utilizadores podem ver o centro de mensagens, monitorizar a saúde do serviço e criar pedidos de serviço.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.search/content/manage | Criar e eliminar conteúdo, e ler e atualizar todas as propriedades no Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Editor de Pesquisa
Os utilizadores desta função podem criar, gerir e eliminar conteúdo para a Pesquisa do Microsoft no centro de administração do Microsoft 365, incluindo marcadores, Q&As e localizações.
| Ações | Descrição |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leia mensagens no Centro de Mensagens no centro de administração do Microsoft 365, excluindo mensagens de segurança |
| microsoft.office365.search/content/manage | Criar e eliminar conteúdo, e ler e atualizar todas as propriedades no Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Segurança
Os utilizadores com esta função têm permissões para gerir funcionalidades relacionadas com a segurança no portal Microsoft 365 Defender, Azure Ative Directory Identity Protection, Azure Ative Directory Authentication, Azure Information Protection e Office 365 Security & Compliance Center. Mais informações sobre permissões Office 365 estão disponíveis nas Permissões no Centro de Conformidade de Segurança&.
| Em | Pode fazer |
|---|---|
| Centro de Segurança do Microsoft 365 | Monitorize políticas relacionadas com a segurança em todos os serviços da Microsoft 365 Gerir ameaças e alertas de segurança Ver relatórios |
| Centro de Proteção de Identidade | Todas as permissões do papel do Leitor de Segurança Além disso, a capacidade de realizar todas as operações do Centro de Proteção de Identidade, exceto para repor palavras-passe |
| Privileged Identity Management | Todas as permissões do papel do Leitor de Segurança Não é possível gerir Azure AD atribuições ou configurações de funções |
| Segurança & Office 365 Centro de Conformidade | Manage security policies (Gerir políticas de segurança) Ver, investigar e responder a ameaças de segurança Ver relatórios |
| Proteção Avançada Contra Ameaças do Azure | Monitorize e responda a atividades de segurança suspeitas |
| Microsoft Defender para Ponto Final | Atribuir funções Gerir grupos de máquinas Configure a deteção de ameaças de ponto final e a remediação automatizada Ver, investigar e responder a alertas Ver máquinas/inventário de dispositivos |
| Intune | Visualizações de informações do utilizador, dispositivo, inscrição, configuração e aplicação Não é possível fazer alterações ao Intune |
| Cloud App Security | Adicionar administradores, adicionar políticas e configurações, carregar registos e executar ações de governação |
| Saúde do serviço Microsoft 365 | Ver a saúde dos serviços microsoft 365 |
| Bloqueio inteligente | Defina o limiar e a duração dos bloqueios quando ocorrerem eventos de inscrição falhados. |
| Proteção de palavras-passe | Configurar a lista de senhas proibidas personalizadas ou a proteção da palavra-passe no local. |
| Ações | Descrição |
|---|---|
| microsoft.diretório/aplicações/políticas/atualização | Atualizar políticas de aplicações |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.diretório/crossTenantAccessPolicy/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualização permitiu pontos finais de nuvem da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/basic/update | Atualizar as definições básicas da política de acesso do inquilino transversal |
| microsoft.diretório/crossTenantAccessPolicy/default/standard/read | Leia as propriedades básicas da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar Azure AD definições de colaboração B2B da política de acesso ao inquilino por defeito |
| microsoft.directy/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar Azure AD definições de ligação direta B2B da política de acesso ao inquilino por defeito |
| microsoft.diretório/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as equipas de reunião de nuvem cruzada da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/default/tenantRestritions/update | Atualizar as restrições dos inquilinos da política de acesso ao inquilino por defeito |
| microsoft.diretório/crossTenantAccessPolicy/partners/create | Criar política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/delete | Eliminar a política de acesso dos inquilinos para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar Azure AD configurações de colaboração B2B da política de acesso de inquilinos cruzados para parceiros |
| microsoft.directy/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar Azure AD definições de ligação direta B2B da política de acesso dos inquilinos para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as equipas de nuvem cruzada reunindo definições da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de arrendamento da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/direitoManagement/allProperties/read | Leia todos os imóveis em Azure AD gestão de direitos |
| microsoft.diretório/identidadeProteção/todas as ofertas/ler | Leia todos os recursos na Azure AD Proteção de Identidade |
| microsoft.diretório/identidadeProteção/todas as ofertas/atualização | Atualizar todos os recursos na Azure AD Proteção de Identidade |
| microsoft.diretório/nomeadosLocações/criar | Criar regras personalizadas que definem localizações de rede |
| microsoft.diretório/nomeadosLocações/delete | Eliminar regras personalizadas que definem as localizações da rede |
| microsoft.diretório/nomeadosLocações/standard/read | Leia propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/nomeadosLocações/básico/atualização | Atualizar propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/políticas/criar | Criar políticas em Azure AD |
| microsoft.diretório/políticas/excluir | Eliminar políticas em Azure AD |
| microsoft.diretório/políticas/básico/atualização | Atualizar propriedades básicas sobre políticas |
| microsoft.diretório/políticas/proprietários/atualização | Atualizar os proprietários de políticas |
| microsoft.diretório/políticas/tenantDefault/update | Atualizar políticas de organização padrão |
| microsoft.diretório/condicionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/delete | Eliminar políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.diretório/condicionalAccessPolicies/owners/read | Leia os proprietários de políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/policyAppliedTo/read | Leia a propriedade "aplicada" para políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/proprietários/update | Atualizar os proprietários para políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/tenantDefault/update | Atualizar o inquilino predefinido para políticas de acesso condicional |
| microsoft.diretório/privilegiadoIdmentManagement/allProperties/read | Leia todos os recursos em Privileged Identity Management |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/serviçoPrincipals/políticas/atualização | Atualizar políticas dos principais serviços |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.protectionCenter/allEntities/standard/read | Ler propriedades padrão de todos os recursos nos centros de Segurança e Conformidade |
| microsoft.office365.protectionCenter/allEntities/basic/update | Atualizar propriedades básicas de todos os recursos nos centros de Segurança e Conformidade |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Criar e gerir cargas de ataque no Simulador de Ataque |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leia relatos de respostas de simulação de ataque e treino associado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Criar e gerir modelos de simulação de ataque no Simulador de Ataque |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Operador de Segurança
Os utilizadores com esta função podem gerir alertas e ter acesso global apenas de leitura sobre funcionalidades relacionadas com a segurança, incluindo todas as informações em Centro de Segurança do Microsoft 365, Diretório Ativo Azure, Proteção de Identidade, Privileged Identity Management e segurança & Office 365 Centro de Conformidade. Mais informações sobre permissões Office 365 estão disponíveis nas Permissões no Centro de Conformidade de Segurança&.
| Em | Pode fazer |
|---|---|
| Centro de Segurança do Microsoft 365 | Todas as permissões do papel do Leitor de Segurança Ver, investigar e responder a alertas de ameaças à segurança Gerir as definições de segurança no centro de segurança |
| Azure AD Identity Protection | Todas as permissões do papel do Leitor de Segurança Além disso, a capacidade de realizar todas as operações do Centro de Proteção de Identidade, exceto para redefinir palavras-passe e configurar e-mails de alerta. |
| Privileged Identity Management | Todas as permissões do papel do Leitor de Segurança |
| Segurança & Office 365 Centro de Conformidade | Todas as permissões do papel do Leitor de Segurança Ver, investigar e responder a alertas de segurança |
| Microsoft Defender para Ponto Final | Todas as permissões do papel do Leitor de Segurança Ver, investigar e responder a alertas de segurança |
| Intune | Todas as permissões do papel do Leitor de Segurança |
| Cloud App Security | Todas as permissões do papel do Leitor de Segurança |
| Saúde do serviço Microsoft 365 | Ver a saúde dos serviços microsoft 365 |
| Ações | Descrição |
|---|---|
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.directy/cloudAppSecurity/allProperties/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Microsoft Defender for Cloud Apps |
| microsoft.diretório/identidadeProtecção/todas as Ofertas/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão em Azure AD Proteção de Identidade |
| microsoft.diretório/privilegiadoIdmentManagement/allProperties/read | Leia todos os recursos em Privileged Identity Management |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Gerir todos os aspetos da Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.intune/allEntities/read | Leia todos os recursos em Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no Office 365 Security & Compliance Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gerir todos os aspetos da Microsoft Defender para Endpoint |
Leitor de Segurança
Os utilizadores com esta função têm acesso global apenas de leitura sobre funcionalidades relacionadas com a segurança, incluindo todas as informações em Centro de Segurança do Microsoft 365, Diretório Ativo Azure, Proteção de Identidade, Privileged Identity Management, bem como a capacidade de ler relatórios de login do Azure Ative Directory e registos de auditoria, e em Segurança & Office 365 Centro de Conformidade. Mais informações sobre permissões Office 365 estão disponíveis nas Permissões no Centro de Conformidade de Segurança&.
| Em | Pode fazer |
|---|---|
| Centro de Segurança do Microsoft 365 | Ver políticas relacionadas com segurança em todos os serviços da Microsoft 365 Ver ameaças de segurança e alertas Ver relatórios |
| Centro de Proteção de Identidade | Leia todos os relatórios de segurança e definições de informações para funcionalidades de segurança
|
| Privileged Identity Management | Tem acesso apenas de leitura a todas as informações surgidas em Azure AD Privileged Identity Management: Políticas e relatórios para atribuições de funções Azure AD e revisões de segurança. Não pode inscrever-se para Azure AD Privileged Identity Management ou fazer quaisquer alterações. No portal Privileged Identity Management ou via PowerShell, alguém nesta função pode ativar funções adicionais (por exemplo, Administrador Global ou Administrador de Função Privilegiada), se o utilizador for elegível para eles. |
| Segurança & Office 365 Centro de Conformidade | Ver as políticas de segurança Ver e investigar ameaças à segurança Ver relatórios |
| Microsoft Defender para Ponto Final | Veja e investigue alertas. Quando liga o controlo de acesso baseado em funções em Microsoft Defender para Endpoint, os utilizadores com permissões apenas de leitura, como a função Azure AD Security Reader, perdem o acesso até que sejam atribuídos a um papel Microsoft Defender para Endpoint. |
| Intune | Visualiza informações do utilizador, dispositivo, inscrição, configuração e aplicação. Não pode fazer alterações ao Intune. |
| Cloud App Security | Leu permissões e pode gerir alertas |
| Saúde do serviço Microsoft 365 | Ver a saúde dos serviços microsoft 365 |
| Ações | Descrição |
|---|---|
| microsoft.diretório/acessoReviews/definições/allProperties/read | Leia todas as propriedades de avaliações de acesso de todos os recursos revistos em Azure AD |
| microsoft.diretório/auditoriaLogs/allProperties/read | Leia todas as propriedades em registos de auditoria, incluindo propriedades privilegiadas |
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/bitlockerKeys/chave/ler | Leia metadados bitlocker e chave em dispositivos |
| microsoft.diretório/direitoManagement/allProperties/read | Leia todos os imóveis em Azure AD gestão de direitos |
| microsoft.diretório/identidadeProteção/todas as ofertas/ler | Leia todos os recursos na Azure AD Proteção de Identidade |
| microsoft.diretório/nomeadosLocações/standard/read | Leia propriedades básicas de regras personalizadas que definem localizações de rede |
| microsoft.diretório/políticas/standard/read | Ler propriedades básicas sobre políticas |
| microsoft.diretório/políticas/proprietários/ler | Ler os proprietários de políticas |
| microsoft.diretório/políticas/policyAppliedTo/read | Ler políticas.policyAppliedTo propriedade |
| microsoft.diretório/condicionalAccessPolicies/standard/read | Ler acesso condicional para políticas |
| microsoft.diretório/condicionalAccessPolicies/owners/read | Leia os proprietários de políticas de acesso condicional |
| microsoft.diretório/condicionalAccessPolicies/policyAppliedTo/read | Leia a propriedade "aplicada" para políticas de acesso condicional |
| microsoft.diretório/privilegiadoIdmentManagement/allProperties/read | Leia todos os recursos em Privileged Identity Management |
| microsoft.diretório/provisioningLogs/allProperties/read | Leia todas as propriedades dos registos de provisionamento |
| microsoft.diretório/signInReports/allProperties/read | Leia todas as propriedades em relatórios de inscrição, incluindo propriedades privilegiadas |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.office365.protectionCenter/allEntities/standard/read | Ler propriedades padrão de todos os recursos nos centros de Segurança e Conformidade |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Leia todas as propriedades das cargas de ataque no Simulador de Ataque |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leia relatos de respostas de simulação de ataque e treino associado |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Leia todas as propriedades dos modelos de simulação de ataque no Simulador de Ataque |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Suporte de Serviço
Os utilizadores com esta função podem criar e gerir pedidos de suporte com os serviços da Microsoft para os serviços Azure e Microsoft 365, e ver o painel de serviço e o centro de mensagens no portal do Azure e centro de administração do Microsoft 365. Mais informações sobre funções de administração.
Nota
Anteriormente, esta função chamava-se "Administrador de Serviço" em portal do Azure e centro de administração do Microsoft 365. Rebatizámo-lo para "Administrador de Suporte de Serviço" para alinhar com o nome existente na Microsoft Graph API e Azure AD PowerShell.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador do SharePoint
Os utilizadores com esta função têm permissões globais dentro de Microsoft Office SharePoint Online, quando o serviço está presente, bem como a capacidade de criar e gerir todos os grupos microsoft 365, gerir bilhetes de suporte e monitorizar a saúde do serviço. Mais informações sobre funções de administração.
Nota
No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "SharePoint Service Administrator". É "SharePoint Administrator" no portal do Azure.
Nota
Esta função também concede permissões de âmbito ao Microsoft Graph API para Microsoft Intune, permitindo a gestão e configuração de políticas relacionadas com os recursos SharePoint e OneDrive.
| Ações | Descrição |
|---|---|
| microsoft.diretório/grupos.unificado/criar | Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/delete | Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/restaurar | Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/básico/atualização | Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/membros/atualização | Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/proprietários/atualização | Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Criar e eliminar todos os recursos e ler e atualizar propriedades padrão no SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador Skype para Empresas
Os utilizadores com esta função têm permissões globais dentro da Microsoft Skype para Empresas, quando o serviço está presente, bem como gerir atributos de utilizador específicos do Skype no Azure Ative Directory. Além disso, esta função garante a capacidade de gerir bilhetes de apoio e monitorizar a saúde do serviço, e aceder às Equipas e Skype para Empresas centro de administração. A conta também deve ser licenciada para equipas ou não pode executar os cmdlets da Teams PowerShell. Mais informações sobre o papel de administrador Skype para Empresas e as equipas que licenciam informações em Skype para Empresas e no licenciamento de complemento da Microsoft Teams
Nota
No Microsoft Graph API e Azure AD PowerShell, esta função é identificada como "Administrador de Serviço Lync". É "administrador Skype para Empresas" no portal do Azure.
| Ações | Descrição |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerir todos os aspetos do Skype para Empresas Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Equipas
Os utilizadores desta função podem gerir todos os aspetos da carga de trabalho das Equipas Microsoft através do Microsoft Teams & Skype para Empresas centro de administração e os respetivos módulos PowerShell. Isto inclui, entre outras áreas, todas as ferramentas de gestão relacionadas com a telefonia, mensagens, reuniões e as próprias equipas. Este papel também oferece a capacidade de criar e gerir todos os grupos Microsoft 365, gerir bilhetes de apoio e monitorizar a saúde do serviço.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.diretório/grupos/hiddenMembers/read | Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/criar | Criar grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/delete | Eliminar os grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/restaurar | Restaurar os grupos Microsoft 365 de recipientes com soft-deleted, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/básico/atualização | Atualizar propriedades básicas em grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/membros/atualização | Atualizar membros de grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.unificado/proprietários/atualização | Atualizar os proprietários de grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerir todos os aspetos do Skype para Empresas Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Gerir todos os recursos em Equipas |
| microsoft.diretório/crossTenantAccessPolicy/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualização permitiu pontos finais de nuvem da política de acesso de inquilinos cruzados |
| microsoft.diretório/crossTenantAccessPolicy/basic/update | Atualizar as definições básicas da política de acesso do inquilino transversal |
| microsoft.diretório/crossTenantAccessPolicy/default/standard/read | Leia as propriedades básicas da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar Azure AD definições de colaboração B2B da política de acesso ao inquilino por defeito |
| microsoft.directy/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar Azure AD definições de ligação direta B2B da política de acesso ao inquilino por defeito |
| microsoft.diretório/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as equipas de reunião de nuvem cruzada da política de acesso ao inquilino padrão |
| microsoft.diretório/crossTenantAccessPolicy/default/tenantRestritions/update | Atualizar as restrições dos inquilinos da política de acesso ao inquilino por defeito |
| microsoft.diretório/crossTenantAccessPolicy/partners/create | Criar política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/delete | Eliminar a política de acesso dos inquilinos para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/standard/read | Ler propriedades básicas da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar Azure AD configurações de colaboração B2B da política de acesso de inquilinos cruzados para parceiros |
| microsoft.directy/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar Azure AD definições de ligação direta B2B da política de acesso dos inquilinos para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as equipas de nuvem cruzada reunindo definições da política de acesso de inquilinos cruzados para parceiros |
| microsoft.diretório/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de arrendamento da política de acesso de inquilinos cruzados para parceiros |
Administrador de Comunicações de Equipas
Os utilizadores desta função podem gerir aspetos da carga de trabalho das Equipas Microsoft relacionadas com a & telefonia vocal. Isto inclui as ferramentas de gestão para atribuição de números de telefone, políticas de voz e reunião, e acesso total ao conjunto de ferramentas de análise de chamadas.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerir todos os aspetos do Skype para Empresas Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leia todos os dados no Painel de Qualidade de Chamada (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Gerir reuniões, incluindo políticas de reuniões, configurações e pontes de conferências |
| microsoft.teams/voice/allProperties/allTasks | Gerir políticas de voz, incluindo políticas de chamadas e inventário de números de telefone e atribuição |
Engenheiro de Suporte de Comunicações de Equipas
Os utilizadores desta função podem resolver problemas de comunicação dentro do Microsoft Teams & Skype para Empresas utilizando as ferramentas de resolução de problemas de chamada do utilizador no centro de administração Skype para Empresas Microsoft Teams & . Os utilizadores desta função podem visualizar informações completas do registo de chamadas para todos os participantes envolvidos. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerir todos os aspetos do Skype para Empresas Online |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leia todos os dados no Painel de Qualidade de Chamada (CQD) |
Especialista em Apoio às Comunicações das Equipas
Os utilizadores desta função podem resolver problemas de comunicação dentro do Microsoft Teams & Skype para Empresas utilizando as ferramentas de resolução de problemas de chamada do utilizador no centro de administração Skype para Empresas Microsoft Teams & . Os utilizadores desta função só podem ver os dados do utilizador na chamada para o utilizador específico que procuraram. Esta função não tem acesso a visualização, criação ou gestão de bilhetes de apoio.
| Ações | Descrição |
|---|---|
| microsoft.diretório/autorizaçãoPolícia/standard/read | Ler propriedades padrão da política de autorização |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gerir todos os aspetos do Skype para Empresas Online |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Leia os dados básicos no Painel de Qualidade de Chamada (CQD) |
Administrador de Dispositivos de Equipas
Os utilizadores com esta função podem gerir dispositivos certificados por Equipas a partir do centro de administração das Equipas. Esta função permite visualizar todos os dispositivos num só olhar, com capacidade de pesquisar e filtrar dispositivos. O utilizador pode verificar detalhes de cada dispositivo, incluindo conta iniciada, e modelo do dispositivo. O utilizador pode alterar as definições do dispositivo e atualizar as versões do software. Esta função não concede permissões para verificar a atividade das Equipas e chamar a qualidade do dispositivo.
| Ações | Descrição |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
| microsoft.teams/devices/standard/read | Gerir todos os aspetos dos dispositivos certificados por Equipas, incluindo políticas de configuração |
Leitor de Relatórios de Resumo de Utilização
Os utilizadores com esta função podem aceder a dados agregados ao nível do inquilino e insights associados em centro de administração do Microsoft 365 para a Pontuação de Utilização e Produtividade, mas não podem aceder a quaisquer detalhes ou insights de nível de utilizador. Em centro de administração do Microsoft 365 para os dois relatórios, diferenciamos entre os dados agregados ao nível do inquilino e os detalhes do nível de utilizador. Esta função confere uma camada extra de proteção aos dados identificáveis de cada utilizador, que foi solicitado tanto por clientes como por equipas legais.
| Ações | Descrição |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Leia todas as propriedades de desempenho da rede no centro de administração do Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leia relatórios agregados de Office 365 de utilização ao nível do inquilino |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Utilizadores
Os utilizadores com esta função podem criar utilizadores e gerir todos os aspetos dos utilizadores com algumas restrições (ver tabela), e podem atualizar as políticas de validade da palavra-passe. Além disso, os utilizadores com esta função podem criar e gerir todos os grupos. Esta função inclui também a capacidade de criar e gerir as vistas dos utilizadores, gerir bilhetes de apoio e monitorizar a saúde do serviço. Os Administradores de Utilizadores não têm permissão para gerir algumas propriedades do utilizador para os utilizadores na maioria das funções de administrador. Os administradores com esta função não têm permissões para gerir MFA ou gerir caixas de correio partilhadas. As funções que são exceções a esta restrição estão listadas no quadro seguinte.
| Permissão do administrador do utilizador | Notas |
|---|---|
| Criar utilizadores e grupos Criar e gerir vistas de utilizador Gerir bilhetes de apoio ao Escritório Atualizar políticas de expiração da palavra-passe |
|
| Gerir licenças Gerir todas as propriedades do utilizador, exceto o nome principal do utilizador |
Aplica-se a todos os utilizadores, incluindo todos os administradores |
| Eliminar e restaurar Desativar e ativar Gerir todas as propriedades do utilizador, incluindo o nome principal do utilizador Teclas de dispositivo de atualização (FIDO) |
Aplica-se a utilizadores que não sejam administradores ou em qualquer uma das seguintes funções:
|
| Tokens de atualização invalidado Repor palavra-passe |
Para obter uma lista das funções para as quais um Administrador de Utilizador pode redefinir palavras-passe e invalidar fichas de atualização, consulte Quem pode redefinir as palavras-passe. |
| Atualizar atributos sensíveis | Para obter uma lista das funções para as quais um Administrador de Utilizador pode atualizar atributos sensíveis, consulte Quem pode atualizar atributos sensíveis. |
Importante
Os utilizadores com esta função podem alterar palavras-passe para pessoas que possam ter acesso a informações sensíveis ou privadas ou configuração crítica dentro e fora do Azure Ative Directory. Alterar a palavra-passe de um utilizador pode significar a capacidade de assumir a identidade e permissões desse utilizador. Por exemplo:
- Os proprietários de Registo de Candidaturas e Aplicações Empresariais, que podem gerir credenciais de apps que possuam. Essas aplicações podem ter permissões privilegiadas em Azure AD e em outros lugares não concedidas aos Administradores de Utilizadores. Através deste caminho um Administrador de Utilizador poderá assumir a identidade de um titular da aplicação e, em seguida, assumir a identidade de uma aplicação privilegiada atualizando as credenciais para a aplicação.
- Proprietários de subscrições Azure, que podem ter acesso a informações confidenciais ou privadas ou configuração crítica em Azure.
- Security Group e Microsoft 365 proprietários do grupo, que podem gerir a adesão ao grupo. Esses grupos podem conceder acesso a informações sensíveis ou privadas ou a uma configuração crítica em Azure AD e noutros locais.
- Administradores em outros serviços fora de Azure AD como Exchange Online, Office Security and Compliance Center, e sistemas de recursos humanos.
- Não administradores como executivos, advogados e funcionários de recursos humanos que possam ter acesso a informações confidenciais ou privadas.
Os utilizadores com esta função não podem alterar as credenciais ou redefinir o MFA para membros e proprietários de um grupo atribuível a funções.
| Ações | Descrição |
|---|---|
| microsoft.diretório/acessoReviews/definições.aplicações/allProperties/allTasks | Gerir revisões de acesso de atribuições de funções de candidatura em Azure AD |
| microsoft.diretório/acessoReviews/definitions.directyRoles/allProperties/read | Leia todas as propriedades de avaliações de acesso para atribuições de funções Azure AD |
| microsoft.diretório/acessoReviews/definições.entitlementManagement/allProperties/allTasks | Gerir revisões de acesso para atribuição de pacotes de acesso na gestão de direitos |
| microsoft.diretório/acessoReviews/definitions.groups/allProperties/update | Atualize todas as propriedades de avaliações de acesso para membros em grupos de Segurança e Microsoft 365, excluindo grupos atribuíveis por funções. |
| microsoft.diretório/acessoReviews/definitions.groups/create | Crie comentários de acesso para membros em Grupos de Segurança e Microsoft 365. |
| microsoft.diretório/acessoReviews/definitions.groups/delete | Elimine as avaliações de acesso para membros em Grupos de Segurança e Microsoft 365. |
| microsoft.diretório/acessoReviews/definições.groups/allProperties/read | Leia todas as propriedades de comentários de acesso para membros em Grupos de Segurança e Microsoft 365, incluindo grupos atribuíveis por funções. |
| microsoft.diretório/contactos/criar | Criar contactos |
| microsoft.diretório/contactos/excluir | Eliminar contactos |
| microsoft.diretório/contactos/básico/atualização | Atualizar propriedades básicas em contactos |
| microsoft.diretório/deletedItems.groups/restore | Restaurar grupos suaves apagados para o estado original |
| microsoft.diretório/deletedItems.users/restore | Restaurar os utilizadores suaves eliminados para o estado original |
| microsoft.diretório/direitoManagement/allProperties/allTasks | Criar e eliminar recursos, e ler e atualizar todos os imóveis em Azure AD gestão de direitos |
| microsoft.diretório/grupos/assignLicense | Atribuir licenças de produtos a grupos para licenciamento baseado em grupo |
| microsoft.diretório/grupos/criar | Criar grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/excluir | Eliminar grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/hiddenMembers/read | Leia membros ocultos de grupos de segurança e grupos Microsoft 365, incluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para licenciamento baseado em grupo |
| microsoft.diretório/grupos/restaurar | Restaurar grupos de recipientes comvidade |
| microsoft.diretório/grupos/básico/atualização | Atualizar propriedades básicas em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/classificação/atualização | Atualizar a propriedade de classificação em grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/dynamicMembershipRule/update | Atualizar a regra de adesão dinâmica sobre grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/grupoType/atualização | Atualizar propriedades que afetariam o tipo de grupo de grupos de grupos de Segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/membros/atualização | Atualizar membros de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/onPremWriteBack/update | Atualizar os grupos de Diretório Ativo Azure para serem reensitados para as instalações com Azure AD Connect |
| microsoft.diretório/grupos/proprietários/atualização | Atualizar os proprietários de grupos de segurança e grupos Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos/configurações/atualização | Configurações de atualização de grupos |
| microsoft.diretório/grupos/visibilidade/atualização | Atualizar a propriedade de visibilidade dos grupos de segurança e da Microsoft 365, excluindo grupos atribuíveis por funções |
| microsoft.diretório/oAuth2PermissionGrants/allProperties/allTasks | Criar e eliminar bolsas de permissão OAuth 2.0 e ler e atualizar todas as propriedades |
| microsoft.diretório/políticas/standard/read | Ler propriedades básicas sobre políticas |
| microsoft.diretório/serviçoPrincipals/appRoleAssignedTo/update | Atualizar atribuições de funções principais de serviço |
| microsoft.diretório/utilizadores/assignLicense | Gerir licenças de utilizador |
| microsoft.diretório/utilizadores/criar | Adicionar utilizadores |
| microsoft.diretório/utilizadores/delete | Eliminar utilizadores |
| microsoft.diretório/utilizadores/desativar | Desativar utilizadores |
| microsoft.diretório/utilizadores/enable | Ativar os utilizadores |
| microsoft.diretório/utilizadores/convidarGuest | Convidar utilizadores |
| microsoft.diretório/utilizadores/invalidadoAllRefreshTokens | Forçar a aprovação invalidando tokens de atualização do utilizador |
| microsoft.diretório/utilizadores/reprocessLicenseAssignment | Reprocessar as atribuições de licenças para utilizadores |
| microsoft.diretório/utilizadores/restaurar | Restaurar utilizadores eliminados |
| microsoft.diretório/utilizadores/básico/atualização | Atualizar propriedades básicas nos utilizadores |
| microsoft.diretório/utilizadores/gestor/atualização | Gestor de atualização para utilizadores |
| microsoft.diretório/utilizadores/password/atualização | Redefinir palavras-passe para todos os utilizadores |
| microsoft.diretório/utilizadores/foto/atualização | Atualizar foto dos utilizadores |
| microsoft.directiony/users/userPrincipalName/update | Atualizar o nome principal do utilizador dos utilizadores |
| microsoft.azure.serviceHealth/allEntities/allTasks | Ler e configurar Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Ler e configurar serviço de saúde no centro de administração do Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Visitas Virtuais
Os utilizadores com esta função podem fazer as seguintes tarefas:
- Gerir e configurar todos os aspetos das Visitas Virtuais em Reservas no centro de administração do Microsoft 365, e no conector EHR das equipas
- Ver relatórios de utilização de Visitas Virtuais no centro de administração de equipas, centro de administração do Microsoft 365 e PowerBI
- Ver funcionalidades e configurações no centro de administração do Microsoft 365, mas não pode editar quaisquer definições
As Visitas Virtuais são uma forma simples de agendar e gerir consultas online e de vídeo para funcionários e participantes. Por exemplo, o relatório de utilização pode mostrar como o envio de mensagens de texto SMS antes das nomeações pode reduzir o número de pessoas que não aparecem para marcações.
| Ações | Descrição |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gerir e partilhar informações e métricas de Visitas Virtuais a partir de centros de administração ou da app Visitas Virtuais |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador Windows 365
Os utilizadores com esta função têm permissões globais sobre Windows 365 recursos, quando o serviço está presente. Além disso, esta função contém a capacidade de gerir utilizadores e dispositivos de forma a associar a política, bem como criar e gerir grupos.
Esta função pode criar e gerir grupos de segurança, mas não tem direitos de administrador sobre os grupos Microsoft 365. Isto significa que os administradores não podem atualizar proprietários ou membros de grupos microsoft 365 na organização. No entanto, podem gerir o grupo Microsoft 365 que criam, que faz parte dos seus privilégios de utilizador final. Assim, qualquer grupo Microsoft 365 (não grupo de segurança) que criam é contado contra a sua quota de 250.
Atribuir a função de Administrador Windows 365 aos utilizadores que necessitem de fazer as seguintes tarefas:
- Gerir PCs cloud Windows 365 em Endpoint Manager Microsoft
- Inscrever e gerir dispositivos em Azure AD, incluindo a atribuição de utilizadores e políticas
- Criar e gerir grupos de segurança, mas não grupos atribuíveis por funções
- Ver propriedades básicas no centro de administração do Microsoft 365
- Leia relatórios de utilização no centro de administração do Microsoft 365
- Criar e gerir bilhetes de apoio em Azure AD e na centro de administração do Microsoft 365
| Ações | Descrição |
|---|---|
| microsoft.diretório/dispositivos/criar | Criar dispositivos (inscrever-se em Azure AD) |
| microsoft.diretório/dispositivos/delete | Eliminar dispositivos de Azure AD |
| microsoft.diretório/dispositivos/desativar | Desativar dispositivos em Azure AD |
| microsoft.diretório/dispositivos/permitir | Ativar dispositivos em Azure AD |
| microsoft.diretório/dispositivos/básico/atualização | Atualizar propriedades básicas em dispositivos |
| microsoft.diretório/dispositivos/extensãoAttributeSet1/update | Atualizar a extensãoAttribute1 para extensão Propriedades de Atribuição de5 em dispositivos |
| microsoft.diretório/dispositivos/extensãoAttributeSet2/atualização | Atualizar a extensãoAttribute6 para extensão Propriedades de Atribuição de 10 em dispositivos |
| microsoft.diretório/dispositivos/extensãoAttributeSet3/update | Atualizar a extensãoAttribute11 para extensão Propriedades deAttribute15 em dispositivos |
| microsoft.diretório/dispositivos/registadosSowners/update | Atualizar os proprietários registados de dispositivos |
| microsoft.diretório/dispositivos/registros/update | Atualizar utilizadores registados de dispositivos |
| microsoft.diretório/grupos.security/create | Criar grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/delete | Eliminar grupos de segurança, excluindo grupos que atribuem funções |
| microsoft.diretório/grupos.security/basic/update | Atualizar propriedades básicas em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/classification/update | Atualizar a propriedade de classificação em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.directy/groups.security/dynamicMembershipRule/update | Atualizar a regra de adesão dinâmica sobre os grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/members/update | Atualizar membros de grupos de segurança, excluindo grupos atribuíveis a funções |
| microsoft.diretório/grupos.security/owners/update | Atualizar os proprietários de grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/grupos.security/visibility/update | Atualizar a propriedade de visibilidade em grupos de segurança, excluindo grupos atribuíveis por funções |
| microsoft.diretório/dispositivoManagementPolicies/standard/read | Ler propriedades padrão nas políticas de aplicação de gestão de dispositivos |
| microsoft.diretório/dispositivoRegistrationPolicy/standard/read | Leia propriedades padrão nas políticas de registo de dispositivos |
| microsoft.azure.supportTickets/allEntities/allTasks | Criar e gerir bilhetes de suporte do Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gerir todos os aspetos da Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Criar e gerir pedidos de serviço microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leia relatórios de utilização Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leia propriedades básicas em todos os recursos do centro de administração do Microsoft 365 |
Administrador de Windows Update De implementação
Os utilizadores desta função podem criar e gerir todos os aspetos das implementações Windows Update através do Windows Update para o serviço de implementação de negócios. O serviço de implementação permite que os utilizadores definam definições para quando e como as atualizações são implementadas, e especifica quais as atualizações que são oferecidas a grupos de dispositivos no seu inquilino. Também permite que os utilizadores monitorizem o progresso da atualização.
| Ações | Descrição |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leia e configuure todos os aspetos do Serviço Windows Update |
Como entender permissões de função
O esquema para permissões segue vagamente o formato REST do Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Por exemplo:
microsoft.directory/applications/credentials/update
| Elemento de permissão | Description |
|---|---|
| espaço de nomes | Produto ou serviço que expõe a tarefa e está preparado com microsoft. Por exemplo, todas as tarefas em Azure AD utilizar o espaço de microsoft.directory nome. |
| entidade | Característica lógica ou componente exposto pelo serviço no Microsoft Graph. Por exemplo, Azure AD expõe Utilizador e Grupos, o OneNote expõe notas e a Exchange expõe caixas de correio e calendários. Existe uma palavra-chave especial allEntities para especificar todas as entidades num espaço de nome. Isto é frequentemente usado em papéis que concedem acesso a um produto inteiro. |
| conjunto de propriedades | Propriedades ou aspetos específicos da entidade para a qual o acesso está a ser concedido. Por exemplo, microsoft.directory/applications/authentication/read concede a capacidade de ler o URL de resposta, URL de logout e propriedade de fluxo implícito no objeto de aplicação em Azure AD.
|
| action | Operação sendo concedida, normalmente criar, ler, atualizar ou eliminar (CRUD). Existe uma palavra-chave especial allTasks para especificar todas as capacidades acima (criar, ler, atualizar e eliminar). |
Papéis preprecados
As seguintes funções não devem ser utilizadas. Foram depreciadas e serão retiradas de Azure AD no futuro.
- Administrador de Licença AdHoc
- Aderir ao dispositivo
- Gestores de Dispositivos
- Utilizadores de Dispositivos
- criador de utilizador Email verificado
- Administrador da caixa de correio
- Aderir ao dispositivo de trabalho
Funções não mostradas no portal
Nem todos os papéis devolvidos pela PowerShell ou pela MS Graph API são visíveis em portal do Azure. A tabela seguinte organiza essas diferenças.
| Nome da API | portal do Azure nome | Notas |
|---|---|---|
| Aderir ao dispositivo | Preterido | Documentação de papéis precotados |
| Gestores de Dispositivos | Preterido | Documentação de papéis precotados |
| Utilizadores de Dispositivos | Preterido | Documentação de papéis precotados |
| Contas de Sincronização do Diretório | Não mostrado porque não deve ser usado | Documentação de Contas de Sincronização do Diretório |
| Utilizador Convidado | Não mostrado porque não pode ser usado | ND |
| Suporte parceiro tier 1 | Não mostrado porque não deve ser usado | Documentação de suporte do Parceiro Tier1 |
| Suporte parceiro Tier 2 | Não mostrado porque não deve ser usado | Documentação de suporte de parceiro Tier2 |
| Utilizador restrito de hóspedes | Não mostrado porque não pode ser usado | ND |
| Utilizador | Não mostrado porque não pode ser usado | ND |
| Aderir ao dispositivo de trabalho | Preterido | Documentação de papéis precotados |
Quem pode redefinir palavras-passe
Na tabela seguinte, as colunas listam as funções que podem redefinir palavras-passe. As linhas listam as funções para as quais a sua palavra-passe pode ser reposta.
A tabela seguinte é para funções atribuídas no âmbito de um inquilino. Para as funções atribuídas no âmbito de uma unidade administrativa, aplicam-se novas restrições.
| Função que a palavra-passe pode ser reposta | Administração de palavra-passe | Helpdesk Administração | Auth Administração | Administração de utilizador | Auth privilegiado Administração | Admin Global |
|---|---|---|---|---|---|---|
| Auth Administração | ✔️ | ✔️ | ✔️ | |||
| Leitores de Diretório | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Admin Global | ✔️ | ✔️* | ||||
| Grupos Administração | ✔️ | ✔️ | ✔️ | |||
| Convidado Convidado | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Helpdesk Administração | ✔️ | ✔️ | ✔️ | ✔️ | ||
| Leitor do Centro de Mensagens | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Administração de palavra-passe | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Auth privilegiado Administração | ✔️ | ✔️ | ||||
| Administração de função privilegiada | ✔️ | ✔️ | ||||
| Leitor de Relatórios | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Utilizador (sem papel administrativo) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Utilizador (sem função de administrador, mas membro ou proprietário de um grupo que atribua funções) |
✔️ | ✔️ | ||||
| Administração de utilizador | ✔️ | ✔️ | ✔️ | |||
| Leitor de Relatórios de Resumo de Utilização | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
* Um Administrador Global não pode remover a sua própria atribuição de Administrador Global. Isto é para evitar uma situação em que uma organização tem 0 Administradores Globais.
Quem pode atualizar atributos sensíveis
Alguns administradores podem atualizar os seguintes atributos sensíveis para alguns utilizadores. Todos os utilizadores podem ler estes atributos sensíveis.
- accountEnabled
- businessPhones
- mobilePhone
- onPremisesImmutableId
- outras Mensagens
- passwordProfile
- userPrincipalName
Na tabela seguinte, as colunas listam as funções que podem atualizar os atributos sensíveis. As linhas listam as funções para as quais os seus atributos sensíveis podem ser atualizados.
A tabela seguinte é para funções atribuídas no âmbito de um inquilino. Para as funções atribuídas no âmbito de uma unidade administrativa, aplicam-se novas restrições.
| Função que os atributos sensíveis podem ser atualizados | Auth Administração | Administração de utilizador | Auth privilegiado Administração | Admin Global |
|---|---|---|---|---|
| Auth Administração | ✔️ | ✔️ | ✔️ | |
| Leitores de Diretório | ✔️ | ✔️ | ✔️ | ✔️ |
| Admin Global | ✔️ | ✔️ | ||
| Grupos Administração | ✔️ | ✔️ | ✔️ | |
| Convidado Convidado | ✔️ | ✔️ | ✔️ | ✔️ |
| Helpdesk Administração | ✔️ | ✔️ | ✔️ | |
| Leitor do Centro de Mensagens | ✔️ | ✔️ | ✔️ | ✔️ |
| Administração de palavra-passe | ✔️ | ✔️ | ✔️ | ✔️ |
| Auth privilegiado Administração | ✔️ | ✔️ | ||
| Administração de função privilegiada | ✔️ | ✔️ | ||
| Leitor de Relatórios | ✔️ | ✔️ | ✔️ | ✔️ |
| Utilizador (sem papel administrativo) |
✔️ | ✔️ | ✔️ | ✔️ |
| Utilizador (sem função de administrador, mas membro ou proprietário de um grupo que atribua funções) |
✔️ | ✔️ | ||
| Administração de utilizador | ✔️ | ✔️ | ✔️ | |
| Leitor de Relatórios de Resumo de Utilização | ✔️ | ✔️ | ✔️ | ✔️ |