Funções internas do Azure AD

No Azure AD (Azure Active Directory), se outro administrador ou não administrador precisar gerenciar recursos do Azure AD, atribua a ele uma função do Azure AD que forneça as permissões necessárias. Por exemplo, você pode atribuir funções para permitir a adição ou alteração de usuários, a redefinição de senhas de usuário, o gerenciamento de licenças de usuário ou o gerenciamento de nomes de domínio.

Este artigo lista as funções internas do Azure AD que podem ser atribuídas para permitir o gerenciamento de recursos do Azure AD. Para obter informações sobre como atribuir funções, confira Atribuir funções do Azure AD aos usuários.

Todas as funções

Função Descrição ID do Modelo
Administrador de Aplicativos Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Desenvolvedor de Aplicativo Pode criar registros de aplicativos independentemente da configuração “Usuários podem registrar aplicativos”. cf1c38e5-3621-4004-a7cb-879624dced7c
Criador de Conteúdo de Ataque Pode criar conteúdos de ataque que podem ser iniciados mais tarde por um administrador. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrador de Simulação de Ataque Pode criar e gerenciar todos os aspectos de campanhas de simulação de ataque. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrador de autenticação Pode acessar para exibir, definir e redefinir as informações de método de autenticação para qualquer usuário não administrador. c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrador de Política de Autenticação Pode criar e gerenciar a política de métodos de autenticação, as configurações de MFA em todo o locatário, a política de proteção de senha e as credenciais verificáveis. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Administrador local do dispositivo ingressado no Azure AD Os usuários atribuídos a essa função são adicionados ao grupo Administradores local em dispositivos que ingressaram no Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Administrador do Azure DevOps Pode gerenciar a política e as configurações da organização do Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administrador da Proteção de Informações do Azure Pode gerenciar todos os aspectos do produto de Proteção de Informações do Azure. 7495fdc4-34c4-4d15-a289-98788ce399fd
Administrador de Conjunto de Chaves do IEF B2C Pode gerenciar segredos para federação e criptografia no IEF (Identity Experience Framework). aaf43236-0c0d-4d5f-883a-6955382ac081
Administrador de Política do IEF B2C Pode criar e gerenciar políticas de estrutura de confiança no IEF (Identity Experience Framework). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrador de cobrança Pode executar tarefas comuns de relacionadas à cobrança, como atualizar informações de pagamento. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrador do Cloud App Security Pode gerenciar todos os aspectos do produto Cloud App Security. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrador de Aplicativos de Nuvem Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais, exceto o Proxy de Aplicativo. 158c047a-c907-4556-b7ef-446551a6b5f7
Administrador de dispositivo de nuvem Acesso limitado para gerenciar os dispositivos no Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Administrador de conformidade Pode ler e gerenciar a configuração de conformidade e relatórios no Azure AD e no Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administrador de Dados de Conformidade Cria e gerencia conteúdo de conformidade. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrador de acesso condicional Pode gerenciar as funcionalidades de acesso condicional. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Aprovador de acesso do cofre do cliente Pode aprovar solicitações de suporte da Microsoft para acessar dados organizacionais do cliente. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administrador de Análise de Área de Trabalho Pode acessar e gerenciar ferramentas e serviços de gerenciamento de Área de Trabalho. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Leitores de Diretório Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Contas de Sincronização de Diretório Apenas usado pelo serviço do Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Gravadores de diretório Pode ler e gravar informações básicas do diretório. Para conceder acesso a aplicativos, não destinado a usuários. 9360feb5-f418-4baa-8175-e2a00bac4301
Administrador de Nome de Domínio Pode gerenciar nomes de domínio na nuvem e no local. 8329153b-31d0-4727-b945-745eb3bc5f31
Administrador do Dynamics 365 Pode gerenciar todos os aspectos do produto Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Administrador do Exchange Pode gerenciar todos os aspectos do produto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrador de destinatários do Exchange Pode criar ou atualizar destinatários do Exchange Online na organização do Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrador de fluxo do usuário de ID externa Pode criar e gerenciar todos os aspectos dos fluxos dos usuários. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrador de atributo de fluxo do usuário de ID externa Pode criar e gerenciar o esquema de atributo disponível para todos os fluxos dos usuários. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administrador do provedor de identidade externa Pode configurar provedores de identidade para uso na federação direta. be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrador global Pode gerenciar todos os aspectos do Azure AD e dos serviços da Microsoft que usam identidades do Azure AD. 62e90394-69f5-4237-9190-012177145e10
Leitor global Pode ler tudo o que um Administrador Global pode, mas não pode atualizar nada. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Administrador de Grupos Os membros desta função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, bem como exibir a atividade dos grupos e os relatórios de auditoria. fdd7a751-b60b-444a-984c-02652fe8fa1c
Emissor do Convite ao Convidado Pode convidar usuários convidados independentemente da configuração “membros podem convidar pessoas”. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Administrador de Assistência Técnica Pode redefinir senhas para não administradores e Administradores de Assistência Técnica. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrador de Identidade Híbrida Pode gerenciar o provisionamento em nuvem do AD para o Azure AD, Azure AD Connect e configurações de federação. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrador de governança de identidade Gerencie o acesso usando o Azure AD para cenários de governança de identidade. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Administrador do Insights Tem acesso administrativo no aplicativo Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Líder de negócios do Insights É possível ver e compartilhar painéis e insights por meio do aplicativo Insights do M365. 31e939ad-9672-4796-9c2e-873181342d2d
Administrador do Intune Pode gerenciar todos os aspectos do produto Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Administrador do Kaizala Pode gerenciar as configurações do Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administrador de Conhecimento Pode configurar recursos de conhecimento, de aprendizado e outros inteligentes. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Gerente de conhecimento Pode organizar, criar, gerenciar e promover tópicos e conhecimento. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrador de Licenças Pode gerenciar licenças de produto em usuários e grupos. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Leitor de Privacidade do Centro de Mensagens Pode ler as mensagens de segurança e as atualizações somente no Centro de Mensagens do Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Leitor do Centro de Mensagens Pode ler as mensagens e as atualizações para sua organização somente no Centro de Mensagens do Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Usuário moderno do Commerce Pode gerenciar compras comerciais de uma empresa, um departamento ou uma equipe. d24aef57-1500-4070-84db-2666f29cf966
Administrador de Rede Pode gerenciar os locais de rede e examinar insights sobre o design da rede empresarial de aplicativos de Software como Serviço do Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administrador de Aplicativos do Office Pode gerenciar os serviços de nuvem dos aplicativos do Office, incluindo o gerenciamento de políticas e configurações e o gerenciamento da capacidade de selecionar, anular a seleção e publicar o conteúdo do recurso 'novidades' nos dispositivos do usuário final. 2b745bdf-0803-4d80-aa65-822c4493daac
Suporte de nível 1 ao parceiro Não use – não se destina para uso geral. 4ba39ca4-527c-499a-b93d-d9b492c50246
Suporte de nível 2 ao parceiro Não use – não se destina para uso geral. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administrador de senha Pode redefinir senhas para não administradores e administradores de Senha. 966707d0-3269-4727-9be2-8c3a10f19b9d
Administrador do Power BI Pode gerenciar todos os aspectos do produto Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Administrador do Power Platform Pode criar e gerenciar todos os aspectos do Microsoft Dynamics 365, do Power Apps e do Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrador de impressora Pode gerenciar todos os aspectos das impressoras e dos conectores de impressoras. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Técnico de impressora Pode registrar e cancelar o registro de impressoras e atualizar o status da impressora. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrador de autenticação privilegiada Pode acessar para exibir, definir e redefinir as informações de método de autenticação de qualquer usuário (administrador ou não administrador). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrador de Função com Privilégios Pode gerenciar atribuições de função do Azure AD e todos os aspectos do Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Leitor de relatórios Pode ler relatórios de entrada e de auditoria. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administrador de pesquisas Pode criar e gerenciar todos os aspectos das configurações da Pesquisa da Microsoft. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor de pesquisa Pode criar e gerenciar o conteúdo editorial, como bookmarks, P e R, localizações, planta baixa. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrador de segurança Pode ler relatórios e informações de segurança e gerenciar a configuração no Azure AD e o Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Operador de Segurança Cria e gerencia eventos de segurança. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Leitor de segurança Pode ler relatórios e informações de segurança no Azure AD e no Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Administrador de serviços Pode ler informações de integridade do serviço e gerenciar os tíquetes de suporte. f023fd81-a637-4b56-95fd-791ac0226033
Administrador do SharePoint Pode gerenciar todos os aspectos do serviço SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Administrador do Skype for Business Pode gerenciar todos os aspectos do produto Skype for Business. 75941009-915a-4869-abe7-691bff18279e
Administrador de equipes Pode gerenciar o serviço do Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administrador de Comunicações do Teams Pode gerenciar recursos de reuniões e chamadas no serviço do Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Engenheiro de Suporte de Comunicações do Teams Pode solucionar problemas de comunicação no Teams usando ferramentas avançadas. f70938a0-fc10-4177-9e90-2178f8765737
Especialista de Suporte de Comunicações do Teams Pode solucionar problemas de comunicação no Teams equipes usando ferramentas básicas. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrador de dispositivos do Teams Pode executar tarefas relacionadas a gerenciamento em dispositivos certificados pelo Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Leitor de Relatórios de Resumo de Uso Pode ver somente as agregações de nível de locatário na Análise de Uso e no Productivity Score do Microsoft 365. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrador de usuários Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados. fe930be7-5e62-47db-91af-98c3a49a38b1
Administrador de implantação do Windows Update Crie e gerencie todos os aspectos das implantações do Windows Update pelo serviço Windows Update para Empresas. 32696413-001a-46ae-978c-ce0f6b3620d2

Administrador de aplicativos

Os usuários nessa função podem criar e gerenciar todos os aspectos de aplicativos empresariais, registros dos aplicativos e configurações de proxy de aplicativos. Observe que os usuários atribuídos a essa função não são adicionados como proprietários, ao criar novos registros de aplicativo ou aplicativos empresariais.

Essa função também concede a capacidade de consentimento para permissões delegadas e permissões do aplicativo, com a exceção de permissões de aplicativo para Microsoft Graph e Azure AD Graph.

Importante

Essa exceção significa que você ainda pode consentir com permissões de aplicativo para outros aplicativos (por exemplo, aplicativos que não sejam da Microsoft ou aplicativos que você tenha registrado). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas a concessão (ou seja, o consentimento) dessas permissões requer um administrador mais privilegiado, como o Administrador Global.

Essa função concede a capacidade de gerenciar credenciais de aplicativos. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usar essas credenciais para representar a identidade do aplicativo. Se a identidade do aplicativo tiver acesso a um recurso, como a capacidade de criar ou atualizar o usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto estiver representando o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio sobre o que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de administrador do aplicativo permite que ele represente a identidade de um aplicativo.

Ações Descrição
microsoft.directory/applications/create Crie todos os tipos de aplicativos
microsoft.directory/applications/delete Exclua todos os tipos de aplicativos
microsoft.directory/applications/applicationProxy/read Leia todas as propriedades do proxy de aplicativo
microsoft.directory/applications/applicationProxy/update Atualize todas as propriedades do proxy de aplicativo
microsoft.directory/applications/applicationProxyAuthentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/applicationProxySslCertificate/update Atualize configurações de certificado SSL para o proxy de aplicativo
microsoft.directory/applications/applicationProxyUrlSettings/update Atualize configurações de URL para o proxy de aplicativo
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/applications/audience/update Atualizar a propriedade de audiência para aplicativos
microsoft.directory/applications/authentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/applications/credentials/update Atualizar credenciais do aplicativo
microsoft.directory/applications/extensionProperties/update Atualizar propriedades de extensão em aplicativos
microsoft.directory/applications/owners/update Atualizar proprietários de aplicativos
microsoft.directory/applications/permissions/update Atualize as permissões expostas e as permissões necessárias em todos os tipos de aplicativos
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/applications/verification/update Atualizar propriedade applicationsverification
microsoft.directory/applications/synchronization/standard/read Ler as configurações de provisionamento associadas ao objeto de aplicativo
microsoft.directory/applicationTemplates/instantiate Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/connectors/create Crie conectores de proxy de aplicativo
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de proxy de aplicativo
microsoft.directory/connectorGroups/create Crie grupos de conectores de proxy de aplicativo
microsoft.directory/connectorGroups/delete Exclua grupos de conectores de proxy de aplicativo
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades dos grupos de conectores de proxy de aplicativo
microsoft.directory/connectorGroups/allProperties/update Atualize todas as propriedades dos grupos de conectores de proxy de aplicativo
microsoft.directory/deletedItems.applications/delete Excluir permanentemente aplicativos que não podem mais ser restaurados
microsoft.directory/deletedItems.applications/restore Restaurar aplicativos com exclusão temporária para o estado original
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/applicationPolicies/create Criar políticas de aplicativo
microsoft.directory/applicationPolicies/delete Excluir as políticas de aplicativo
microsoft.directory/applicationPolicies/standard/read Ler as propriedades padrão das políticas de aplicativo
microsoft.directory/applicationPolicies/owners/read Ler os proprietários nas políticas de aplicativo
microsoft.directory/applicationPolicies/policyAppliedTo/read Ler as políticas de aplicativo aplicadas à lista de objetos
microsoft.directory/applicationPolicies/basic/update Atualizar as propriedades padrão das políticas do aplicativo
microsoft.directory/applicationPolicies/owners/update Atualizar a propriedade de proprietário das políticas de aplicativo
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/servicePrincipals/create Criar entidades de serviço
microsoft.directory/servicePrincipals/delete Excluir as entidades de serviço
microsoft.directory/servicePrincipals/disable Desabilitar as entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar as entidades de serviço
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gerenciar as credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar os trabalhos e o esquema de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Ler as credenciais de logon único de senha nas entidades de serviço
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimento para permissões de aplicativo e permissões delegadas em nome de qualquer usuário ou todos os usuários, exceto para permissões de aplicativo para Microsoft Graph e Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/servicePrincipals/audience/update Atualizar as propriedades de público-alvo nas entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar as propriedades de autenticação nas entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar as propriedades básicas nas entidades de serviço
microsoft.directory/servicePrincipals/credentials/update Atualizar as credenciais das entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar os proprietários das entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar as permissões das entidades de serviço
microsoft.directory/servicePrincipals/policies/update Atualizar as políticas das entidades de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade de marca para entidades de serviço
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à entidade de serviço
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Desenvolvedor de aplicativos

Os usuários nessa função podem criar registros dos aplicativos quando a configuração "Usuários podem registrar aplicativos" estiver definida como Não. Essa função também concede a permissão de consentir em nome de alguém quando a configuração “Usuários podem consentir em aplicativos acessando dados da empresa em seu nome” estiver definida como Não. Os usuários atribuídos a essa função são adicionados como proprietários ao criar novos registros de aplicativo.

Ações Descrição
microsoft.directory/applications/createAsOwner Criar todos os tipos de aplicativos e o criador é adicionado como o primeiro proprietário
microsoft.directory/oAuth2PermissionGrants/createAsOwner Criar as concessões de permissão do OAuth 2.0, com o criador como o primeiro proprietário
microsoft.directory/servicePrincipals/createAsOwner Criar as entidades de serviço, com o criador como o primeiro proprietário

Criador de Conteúdo de Ataque

Os usuários nesta função podem criar os conteúdo de ataque, mas não podem iniciá-los nem agendá-los de fato. Os conteúdos de ataque ficam disponíveis para todos os administradores no locatário, os quais podem usá-los para criar uma simulação.

Ações Descrição
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Criar e gerenciar os conteúdos de ataque no Simulador de Ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Ler os relatórios sobre simulação de ataque, respostas e treinamento associado

Administrador de Simulação de Ataque

Os usuários nesta função podem criar e gerenciar todos os aspectos da criação de simulação de ataque, inicialização/agendamento de uma simulação e a revisão dos resultados da simulação. Os membros dessa função têm esse acesso para todas as simulações no locatário.

Ações Descrição
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Criar e gerenciar os conteúdos de ataque no Simulador de Ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Ler os relatórios sobre simulação de ataque, respostas e treinamento associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Criar e gerenciar os modelos de simulação de ataque no Simulador de Ataques

Administrador de Autenticação

Os usuários com esta função podem definir ou redefinir os métodos de autenticação (incluindo senhas) para não administradores e algumas funções. Os Administradores de autenticação podem exigir que os usuários que não sejam administradores ou que estejam atribuídos a algumas funções refaçam o registro de credenciais existentes que não usam senhas (por exemplo, MFA ou FIDO) e também possam revogar a lembrança da MFA no dispositivo, o qual solicitará a MFA na próxima entrada. Para obter uma lista das funções em que um Administrador de Autenticação pode ler ou atualizar os métodos de autenticação, confira Permissões de redefinição de senha.

A função de Administrador de autenticação privilegiada tem permissão para forçar o novo registro e a autenticação multifator para todos os usuários.

A função de Administrador de Política de Autenticação tem permissões para definir a política de método de autenticação do locatário, que determina quais métodos cada usuário pode registrar e usar.

Função Gerenciar os métodos de autenticação do usuário Gerenciar a MFA por usuário Gerenciar as configurações de MFA Gerenciar a política de método de autenticação Gerenciar a política de proteção de senha
Administrador de Autenticação Sim para alguns usuários (veja acima) Sim para alguns usuários (veja acima) Não Não Não
Administrador de Autenticação Privilegiada Sim para todos os usuários Sim para todos os usuários Não Não Não
Administrador de Política de Autenticação Não Não Sim Sim Sim

Importante

Usuários com essa função podem alterar credenciais de pessoas que podem ter acesso a informações confidenciais ou particulares ou a configurações críticas dentro e fora do Azure Active Directory. A alteração das credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:

  • Proprietários de Registro de Aplicativo e Aplicativos Empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Azure AD e em outro lugar que não foram concedidas a Administradores de Autenticação. Por esse caminho, um Administrador de Autenticação pode assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configurações críticas no Azure.
  • Proprietários de Grupos de Segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configurações críticas no Azure AD e em outros lugares.
  • Administradores em outros serviços fora do Azure AD, como o Exchange Online, a Segurança do Office e o Centro de Conformidade e sistemas de recursos humanos.
  • Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.

Importante

Essa função não pode gerenciar as configurações de MFA no portal de gerenciamento herdado de MFA ou nos tokens de OATH de hardware. As mesmas funções podem ser realizadas usando o módulo do PowerShell do Azure AD do commandlet Set-MsolUser.

Ações Descrição
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/strongAuthentication/update Atualizar a propriedade de autenticação forte para usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Política de Autenticação

Os usuários com essa função podem configurar a política de métodos de autenticação, as configurações de MFA em todo o locatário e a política de proteção de senha. Essa função concede permissão para gerenciar as configurações de Proteção de Senha: configurações de bloqueio inteligente e atualização da lista de senhas proibidas personalizadas.

As funções Administrador de autenticação e Administrador de autenticação privilegiada têm permissão para gerenciar os métodos de autenticação registrados nos usuários e podem forçar o novo registro e a autenticação multifator para todos os usuários.

Função Gerenciar os métodos de autenticação do usuário Gerenciar a MFA por usuário Gerenciar as configurações de MFA Gerenciar a política de método de autenticação Gerenciar a política de proteção de senha
Administrador de Autenticação Sim para alguns usuários (veja acima) Sim para alguns usuários (veja acima) Não Não Não
Administrador de Autenticação Privilegiada Sim para todos os usuários Sim para todos os usuários Não Não Não
Administrador de Política de Autenticação Não Não Sim Sim Sim

Importante

Essa função não pode gerenciar as configurações de MFA no portal de gerenciamento herdado de MFA ou nos tokens de OATH de hardware.

Ações Descrição
microsoft.directory/organization/strongAuthentication/allTasks Gerenciar todos os aspectos das propriedades de autenticação forte de uma organização
microsoft.directory/userCredentialPolicies/create Criar as políticas de credencial para usuários
microsoft.directory/userCredentialPolicies/delete Excluir as políticas de credencial para usuários
microsoft.directory/userCredentialPolicies/standard/read Ler as propriedades padrão das políticas de credencial para usuários
microsoft.directory/userCredentialPolicies/owners/read Ler os proprietários das políticas de credencial para usuários
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Ler o link de navegação policy.appliesTo
microsoft.directory/userCredentialPolicies/basic/update Atualizar as políticas básicas para usuários
microsoft.directory/userCredentialPolicies/owners/update Atualizar os proprietários das políticas de credencial para usuários
microsoft.directory/userCredentialPolicies/tenantDefault/update Atualizar a propriedade policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Ler um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Revogar um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/create Criar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Ler um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Atualizar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/create Criar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/delete Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/allProperties/read Ler a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/allProperties/update Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure

Administrador Local do Dispositivo Ingressado no Azure AD

Essa função está disponível para atribuição apenas como um administrador local adicional em Configurações do dispositivo. Os usuários com essa função se tornam administradores de computador local em todos os dispositivos Windows 10 associados ao Azure Active Directory. Eles não têm a capacidade de gerenciar objetos de dispositivos no Azure Active Directory.

Ações Descrição
microsoft.directory/groupSettings/standard/read Ler as propriedades básicas nas configurações de grupo
microsoft.directory/groupSettingTemplates/standard/read Ler as propriedades básicas nos modelos de configuração de grupo

Administrador do Azure DevOps

Os usuários com essa função podem gerenciar a política do Azure DevOps para restringir a criação da nova organização do Azure DevOps a um conjunto de usuários ou grupos configuráveis. Os usuários com essa função podem gerenciar essa política por meio de qualquer organização do Azure DevOps que tenha sido apoiada pela organização do Azure AD da empresa. Essa função não concede outras permissões específicas do Azure DevOps (por exemplo, Administradores de Coleção de Projeto) dentro de qualquer uma das organizações de DevOps do Azure apoiadas pela organização do Azure AD da empresa.

Todas as políticas do Azure DevOps empresarial podem ser gerenciadas por usuários com essa função.

Ações Descrição
microsoft.azure.devOps/allEntities/allTasks Ler e configurar o Azure DevOps

Administrador da Proteção de Informações do Azure

Usuários com essa função têm todas as permissões no serviço de Proteção de Informações do Azure. Esta função pode configurar rótulos para a política da Proteção de Informações do Azure, gerenciar modelos de proteção e ativar a proteção. Essa função não concede permissões de usuário no Identity Protection Center, Privileged Identity Management, Integridade do Serviço do Monitor Microsoft 365 ou Centro de Conformidade e Segurança do Office 365.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.azure.informationProtection/allEntities/allTasks Gerenciar todos os aspectos da Proteção de Informações do Azure
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Conjunto de Chaves do IEF B2C

O usuário pode criar e gerenciar chaves de política e segredos de criptografia de token, assinaturas de token e criptografia/descriptografia de declaração.  Ao adicionar novas chaves a contêineres de chave existentes, esse administrador limitado pode sobrepor segredos conforme necessário e sem afetar os aplicativos existentes.  Esse usuário pode ver o conteúdo completo desses segredos e suas datas de validade mesmo após sua criação.

Importante

Essa é uma função confidencial.  A função de administrador de conjunto de chaves deve ser cuidadosamente auditada e atribuída com cuidado durante a pré-produção e produção.

Ações Descrição
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Ler e atualizar todas as propriedades das políticas de autorização

Administrador de Política do IEF B2C

Os usuários com essa função têm a capacidade de criar, ler, atualizar e excluir todas as políticas personalizadas no Azure AD B2C e, assim, têm controle total sobre a Identity Experience Framework na organização Azure AD B2C relevante. Ao editar políticas, esse usuário pode estabelecer federação direta com provedores de identidade externos, alterar o esquema do diretório, alterar todo o conteúdo voltado para o usuário (HTML, CSS, JavaScript), alterar os requisitos para concluir uma autenticação, criar novos usuários, enviar dados do usuário para sistemas externos, incluindo migrações completas, e editar todas as informações do usuário, inclusive campos confidenciais, como senhas e números de telefone. Por outro lado, essa função não pode alterar as chaves de criptografia nem editar os segredos usados para federação na organização.

Importante

O Administrador de Política IEF B2 é uma função altamente confidencial, a qual deve ser atribuída de modo muito limitado para organizações em criação.  As atividades feitas por esses usuários devem ser rigorosamente auditadas, especialmente para organizações em criação.

Ações Descrição
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Ler e configurar conjuntos de chaves no Azure Active Directory B2C

Administrador de cobrança

Faz compras, gerencia assinaturas, gerencia tíquetes de suporte e monitora a integridade do serviço.

Ações Descrição
microsoft.directory/organization/basic/update Atualizar as propriedades básicas na organização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.commerce.billing/allEntities/allTasks Gerenciar todos os aspectos de cobrança do Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Cloud App Security

Os usuários com essa função têm permissões completas no Cloud App Security. Eles podem adicionar administradores, adicionar políticas (MCAS) e configurações do Microsoft Cloud App Security, carregar logs e executar ações de governança.

Ações Descrição
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão Microsoft Cloud App Security
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Aplicativos de Nuvem

Os usuários nessa função têm as mesmas permissões que a função Administrador de Aplicativos, excluindo a capacidade de gerenciar o proxy de aplicativo. Essa função concede a capacidade de criar e gerenciar todos os aspectos de aplicativos corporativos e os registros do aplicativo. Os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativo ou aplicativos empresariais.

Essa função também concede a capacidade de consentimento para permissões delegadas e permissões do aplicativo, com a exceção de permissões de aplicativo para Microsoft Graph e Azure AD Graph.

Importante

Essa exceção significa que você ainda pode consentir com permissões de aplicativo para outros aplicativos (por exemplo, aplicativos que não sejam da Microsoft ou aplicativos que você tenha registrado). Você ainda pode solicitar essas permissões como parte do registro do aplicativo, mas a concessão (ou seja, o consentimento) dessas permissões requer um administrador mais privilegiado, como o Administrador Global.

Essa função concede a capacidade de gerenciar credenciais de aplicativos. Os usuários atribuídos a essa função podem adicionar credenciais a um aplicativo e usar essas credenciais para representar a identidade do aplicativo. Se a identidade do aplicativo tiver acesso a um recurso, como a capacidade de criar ou atualizar o usuário ou outros objetos, um usuário atribuído a essa função poderá executar essas ações enquanto estiver representando o aplicativo. Essa capacidade de representar a identidade do aplicativo pode ser uma elevação de privilégio sobre o que o usuário pode fazer por meio de suas atribuições de função. É importante entender que atribuir um usuário à função de administrador do aplicativo permite que ele represente a identidade de um aplicativo.

Ações Descrição
microsoft.directory/applications/create Crie todos os tipos de aplicativos
microsoft.directory/applications/delete Exclua todos os tipos de aplicativos
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/applications/audience/update Atualizar a propriedade de audiência para aplicativos
microsoft.directory/applications/authentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/applications/credentials/update Atualizar credenciais do aplicativo
microsoft.directory/applications/extensionProperties/update Atualizar propriedades de extensão em aplicativos
microsoft.directory/applications/owners/update Atualizar proprietários de aplicativos
microsoft.directory/applications/permissions/update Atualize as permissões expostas e as permissões necessárias em todos os tipos de aplicativos
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/applications/verification/update Atualizar propriedade applicationsverification
microsoft.directory/applications/synchronization/standard/read Ler as configurações de provisionamento associadas ao objeto de aplicativo
microsoft.directory/applicationTemplates/instantiate Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/deletedItems.applications/delete Excluir permanentemente aplicativos que não podem mais ser restaurados
microsoft.directory/deletedItems.applications/restore Restaurar aplicativos com exclusão temporária para o estado original
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/applicationPolicies/create Criar políticas de aplicativo
microsoft.directory/applicationPolicies/delete Excluir as políticas de aplicativo
microsoft.directory/applicationPolicies/standard/read Ler as propriedades padrão das políticas de aplicativo
microsoft.directory/applicationPolicies/owners/read Ler os proprietários nas políticas de aplicativo
microsoft.directory/applicationPolicies/policyAppliedTo/read Ler as políticas de aplicativo aplicadas à lista de objetos
microsoft.directory/applicationPolicies/basic/update Atualizar as propriedades padrão das políticas do aplicativo
microsoft.directory/applicationPolicies/owners/update Atualizar a propriedade de proprietário das políticas de aplicativo
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/servicePrincipals/create Criar entidades de serviço
microsoft.directory/servicePrincipals/delete Excluir as entidades de serviço
microsoft.directory/servicePrincipals/disable Desabilitar as entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar as entidades de serviço
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gerenciar as credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar os trabalhos e o esquema de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Ler as credenciais de logon único de senha nas entidades de serviço
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Conceder consentimento para permissões de aplicativo e permissões delegadas em nome de qualquer usuário ou todos os usuários, exceto para permissões de aplicativo para Microsoft Graph e Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/servicePrincipals/audience/update Atualizar as propriedades de público-alvo nas entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar as propriedades de autenticação nas entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar as propriedades básicas nas entidades de serviço
microsoft.directory/servicePrincipals/credentials/update Atualizar as credenciais das entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar os proprietários das entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar as permissões das entidades de serviço
microsoft.directory/servicePrincipals/policies/update Atualizar as políticas das entidades de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade de marca para entidades de serviço
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à entidade de serviço
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Dispositivo de Nuvem

Os usuários nessa função podem habilitar, desabilitar e excluir dispositivos no Azure AD e ler chaves do Windows 10 BitLocker (se houver) no portal do Azure. A função não concede permissões para gerenciar nenhuma outra propriedade no dispositivo.

Ações Descrição
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/devices/delete Excluir os dispositivos do Azure AD
microsoft.directory/devices/disable Desabilitar os dispositivos no Azure AD
microsoft.directory/devices/enable Habilitar os dispositivos no Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Ler as propriedades padrão nas políticas do aplicativo de gerenciamento de dispositivos
microsoft.directory/deviceManagementPolicies/basic/update Atualizar as propriedades básicas nas políticas do aplicativo de gerenciamento de dispositivos
microsoft.directory/deviceRegistrationPolicy/standard/read Ler as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/deviceRegistrationPolicy/basic/update Atualizar as propriedades básicas nas políticas de registro de dispositivos
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365

Administrador de conformidade

Os usuários com essa função têm permissões para gerenciar recursos relacionados à conformidade no centro de conformidade do Microsoft 365, no centro de administração do Microsoft 365, no Azure e no Centro de Conformidade e Segurança do Office 365. Os destinatários também podem gerenciar todos os recursos no Centro de administração do Exchange e nos Centros de administração do Teams e do Skype for Business e criar tíquetes de suporte para o Azure e o Microsoft 365. Há mais informações disponíveis em Sobre as funções de administrador do Microsoft 365.

No O que ele pode fazer
Centro de conformidade do Microsoft 365 Proteger e gerenciar dados da sua organização em todos os serviços do Microsoft 365
Gerenciar alertas de conformidade
Gerenciador de Conformidade Acompanhar, atribuir e verificar as atividades de conformidade regulatória da sua organização
Centro de Conformidade e Segurança do Office 365 Gerenciar a governança de dados
Executar investigação jurídica e de dados
Gerenciar solicitação do titular dos dados

Essa função tem as mesmas permissões que o Administrador de conformidade de RoleGroup no controle de acesso baseado em função do Centro de Conformidade e Segurança do Office 365.
Intune Exibir todos os dados de auditoria do Intune
Cloud App Security Tem permissões somente leitura e pode gerenciar alertas
Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivo
Pode exibir todos os relatórios internos em Gerenciamento de Dados
Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.directory/entitlementManagement/allProperties/read Ler todas as propriedades no gerenciamento de direitos do Azure AD
Microsoft.office365.complianceManager/allEntities/allTasks Gerenciar todos os aspectos do Gerenciador de conformidade do Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de dados de conformidade

Os usuários com essa função têm permissões para monitorar dados no Centro de conformidade do Microsoft 365, no Centro de administração do Microsoft 365 e no Azure. Os usuários também podem monitorar dados de conformidade no Centro de administração do Exchange, no Gerenciador de conformidade e no Centro de administração do Teams e do Skype for Business, além de criar tíquetes de suporte para o Azure e o Microsoft 365. Esta documentação tem detalhes sobre as diferenças entre o Administrador de Conformidade e o Administrador de Dados de Conformidade.

No O que ele pode fazer
Centro de conformidade do Microsoft 365 Monitorar políticas relacionadas a conformidade em todos os serviços do Microsoft 365
Gerenciar alertas de conformidade
Gerenciador de Conformidade Acompanhar, atribuir e verificar as atividades de conformidade regulatória da sua organização
Centro de Conformidade e Segurança do Office 365 Gerenciar a governança de dados
Executar investigação jurídica e de dados
Gerenciar solicitação do titular dos dados

Essa função tem as mesmas permissões que o Administrador de Dados de Conformidade de RoleGroup no controle de acesso baseado em função do Centro de Conformidade e Segurança do Office 365.
Intune Exibir todos os dados de auditoria do Intune
Cloud App Security Tem permissões somente leitura e pode gerenciar alertas
Pode criar e modificar políticas de arquivo e permitir ações de governança de arquivo
Pode exibir todos os relatórios internos em Gerenciamento de Dados
Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão Microsoft Cloud App Security
microsoft.azure.informationProtection/allEntities/allTasks Gerenciar todos os aspectos da Proteção de Informações do Azure
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
Microsoft.office365.complianceManager/allEntities/allTasks Gerenciar todos os aspectos do Gerenciador de conformidade do Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Acesso Condicional

Usuários com essa função têm a capacidade de gerenciar as configurações de Acesso Condicional do Azure Active Directory.

Ações Descrição
microsoft.directory/conditionalAccessPolicies/create Criar políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/delete Excluir as políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/standard/read Ler acesso condicional para políticas
microsoft.directory/conditionalAccessPolicies/owners/read Ler os proprietários das políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Ler a propriedade "aplicado a" para políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/basic/update Atualizar as propriedades básicas para políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/owners/update Atualizar proprietários para políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Atualizar o locatário padrão das políticas de acesso condicional
microsoft.directory/crossTenantAccessPolicies/create Criar as políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/delete Excluir as políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/standard/read Ler as propriedades básicas das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/owners/read Ler os proprietários das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read Ler a propriedade policyAppliedTo das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/basic/update Atualizar as propriedades básicas das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/owners/update Atualizar os proprietários das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update Atualizar o locatário padrão das políticas de acesso entre locatários

Aprovador de acesso do cofre do cliente

gerencia solicitações do Sistema de Proteção de Dados do Cliente em sua organização. O aprovador recebe notificações de solicitações do Sistema de Proteção de Dados do Cliente por email e pode aprovar e negar solicitações do Centro de administração do Microsoft 365. Ele também pode ligar ou desligar o recurso Sistema de Proteção de Dados do Cliente. Somente os Administradores Globais podem redefinir as senhas das pessoas atribuídas à função acima.

Ações Descrição
Microsoft.office365.lockbox/allEntities/allTasks Gerenciar todos os aspectos do Sistema de Proteção de Dados do Cliente
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Análise de Área de Trabalho

Os usuários com essa função podem gerenciar o serviço de Análise de Área de Trabalho. Isso inclui a capacidade de exibir o inventário de ativos, criar planos de implantação, exibir o status de integridade e de implantação.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Gerenciar todos os aspectos da Análise de Área de Trabalho

Leitores de Diretório

Os usuários com essa função podem ler informações básicas do diretório. Essa função deve ser usada para:

  • Conceder o acesso de leitura a um conjunto específico de usuários convidados em vez de a todos os usuários convidados.
  • Conceder a um conjunto específico de usuários não administradores o acesso ao portal do Azure quando a opção “Restringir o acesso ao portal do Azure AD somente para administradores” estiver definida como “Sim”.
  • Conceder acesso às entidades de serviço ao diretório no qual Directory.Read.All não seja uma opção.
Ações Descrição
microsoft.directory/administrativeUnits/standard/read Ler as propriedades básicas nas unidades administrativas
microsoft.directory/administrativeUnits/members/read Ler os membros das unidades administrativas
microsoft.directory/applications/standard/read Ler as propriedades padrão dos aplicativos
microsoft.directory/applications/owners/read Ler os proprietários de aplicativos
microsoft.directory/applications/policies/read Ler as políticas de aplicativos
microsoft.directory/contacts/standard/read Ler as propriedades básicas nos contatos do Azure AD
microsoft.directory/contacts/memberOf/read Ler a associação de grupo de todos os contatos no Azure AD
microsoft.directory/contracts/standard/read Ler as propriedades básicas nos contratos de parceiros
microsoft.directory/devices/standard/read Ler as propriedades básicas nos dispositivos
microsoft.directory/devices/memberOf/read Ler as associações de dispositivo
microsoft.directory/devices/registeredOwners/read Ler os proprietários registrados dos dispositivos
microsoft.directory/devices/registeredUsers/read Ler os usuários registrados dos dispositivos
microsoft.directory/directoryRoles/standard/read Atualizar as propriedades básicas nas funções do Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Ler os membros qualificados das funções do Azure AD
microsoft.directory/directoryRoles/members/read Ler todos os membros das funções do Azure AD
microsoft.directory/domains/standard/read Ler as propriedades básicas nos domínios
microsoft.directory/groups/standard/read Leia as propriedades padrão dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups/appRoleAssignments/read Ler as atribuições de função de aplicativo dos grupos
microsoft.directory/groups/memberOf/read Leia a propriedade memberOf nos grupos de Segurança e grupos do Microsoft 365, inclusive os grupos de atribuições de função
microsoft.directory/groups/members/read Ler os membros dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups/owners/read Ler os proprietários dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups/settings/read Ler as configurações de grupos
microsoft.directory/groupSettings/standard/read Ler as propriedades básicas nas configurações de grupo
microsoft.directory/groupSettingTemplates/standard/read Ler as propriedades básicas nos modelos de configuração de grupo
microsoft.directory/oAuth2PermissionGrants/standard/read Ler as propriedades básicas nas concessões de permissão do OAuth 2.0
microsoft.directory/organization/standard/read Ler as propriedades básicas em uma organização
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Ler as autoridades de certificado confiáveis para autenticação sem senha
microsoft.directory/applicationPolicies/standard/read Ler as propriedades padrão das políticas de aplicativo
microsoft.directory/roleAssignments/standard/read Ler as propriedades básicas nas atribuições de função
microsoft.directory/roleDefinitions/standard/read Ler as propriedades básicas nas definições de função
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Ler as atribuições de função da entidade de serviço
microsoft.directory/servicePrincipals/appRoleAssignments/read Ler as atribuições de função atribuídas a entidades de serviço
microsoft.directory/servicePrincipals/standard/read Ler as propriedades das entidades de serviço
microsoft.directory/servicePrincipals/memberOf/read Ler as associações de grupo nas entidades de serviço
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Ler as concessões de permissão delegada nas entidades de serviço
microsoft.directory/servicePrincipals/owners/read Ler os proprietários das entidades de serviço
microsoft.directory/servicePrincipals/ownedObjects/read Ler os objetos próprios das entidades de serviço
microsoft.directory/servicePrincipals/policies/read Ler as políticas das entidades de serviço
microsoft.directory/subscribedSkus/standard/read Ler as propriedades básicas nas assinaturas
microsoft.directory/users/standard/read Ler as propriedades básicas nos usuários
microsoft.directory/users/appRoleAssignments/read Ler as atribuições de função de aplicativo dos usuários
microsoft.directory/users/deviceForResourceAccount/read Ler deviceForResourceAccount dos usuários
microsoft.directory/users/directReports/read Ler os subordinados diretos para usuários
microsoft.directory/users/licenseDetails/read Ler detalhes da licença dos usuários
microsoft.directory/users/manager/read Ler o gerenciador de usuários
microsoft.directory/users/memberOf/read Ler as associações de grupo dos usuários
microsoft.directory/users/oAuth2PermissionGrants/read Ler as concessões de permissão delegadas dos usuários
microsoft.directory/users/ownedDevices/read Ler os dispositivos próprios dos usuários
microsoft.directory/users/ownedObjects/read Ler os objetos próprios dos usuários
microsoft.directory/users/photo/read Ler a foto dos usuários
microsoft.directory/users/registeredDevices/read Ler os dispositivos registrados de usuários
microsoft.directory/users/scopedRoleMemberOf/read Ler a associação do usuário de uma função do Azure AD, com escopo de uma unidade administrativa

Contas de sincronização de diretório

Não use. Essa função é automaticamente atribuída ao serviço do Azure AD Connect e não tem intenção ou suporte para outros usos.

Ações Descrição
microsoft.directory/applications/create Crie todos os tipos de aplicativos
microsoft.directory/applications/delete Exclua todos os tipos de aplicativos
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/applications/audience/update Atualizar a propriedade de audiência para aplicativos
microsoft.directory/applications/authentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/applications/credentials/update Atualizar credenciais do aplicativo
microsoft.directory/applications/owners/update Atualizar proprietários de aplicativos
microsoft.directory/applications/permissions/update Atualize as permissões expostas e as permissões necessárias em todos os tipos de aplicativos
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/organization/dirSync/update Atualizar a propriedade de sincronização do diretório da organização
microsoft.directory/policies/create Criar as políticas no Azure AD
microsoft.directory/policies/delete Excluir as políticas no Azure AD
microsoft.directory/policies/standard/read Ler as propriedades básicas nas políticas
microsoft.directory/policies/owners/read Ler os proprietários de políticas
microsoft.directory/policies/policyAppliedTo/read Ler a propriedade policies.policyAppliedTo
microsoft.directory/policies/basic/update Atualizar as propriedades básicas nas políticas
microsoft.directory/policies/owners/update Atualizar os proprietários de políticas
microsoft.directory/policies/tenantDefault/update Atualizar as políticas da organização padrão
microsoft.directory/servicePrincipals/create Criar entidades de serviço
microsoft.directory/servicePrincipals/delete Excluir as entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar as entidades de serviço
microsoft.directory/servicePrincipals/disable Desabilitar as entidades de serviço
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gerenciar as credenciais de logon único de senha em entidades de serviço
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Ler as credenciais de logon único de senha nas entidades de serviço
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Ler as atribuições de função da entidade de serviço
microsoft.directory/servicePrincipals/appRoleAssignments/read Ler as atribuições de função atribuídas a entidades de serviço
microsoft.directory/servicePrincipals/standard/read Ler as propriedades das entidades de serviço
microsoft.directory/servicePrincipals/memberOf/read Ler as associações de grupo nas entidades de serviço
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Ler as concessões de permissão delegada nas entidades de serviço
microsoft.directory/servicePrincipals/owners/read Ler os proprietários das entidades de serviço
microsoft.directory/servicePrincipals/ownedObjects/read Ler os objetos próprios das entidades de serviço
microsoft.directory/servicePrincipals/policies/read Ler as políticas das entidades de serviço
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/servicePrincipals/audience/update Atualizar as propriedades de público-alvo nas entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar as propriedades de autenticação nas entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar as propriedades básicas nas entidades de serviço
microsoft.directory/servicePrincipals/credentials/update Atualizar as credenciais das entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar os proprietários das entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar as permissões das entidades de serviço
microsoft.directory/servicePrincipals/policies/update Atualizar as políticas das entidades de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade de marca para entidades de serviço

Gravadores de diretório

Os usuários nesta função podem ler e atualizar as informações básicas de usuários, grupos e entidades de serviço. Atribua essa função somente a aplicativos que não dão suporte à Estrutura de Consentimento. Ele não deve ser atribuído a nenhum usuário.

Ações Descrição
microsoft.directory/applications/extensionProperties/update Atualizar propriedades de extensão em aplicativos
microsoft.directory/groups/assignLicense Atribuir as licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/create Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar as atribuições de licença para licenciamento baseado em grupo
microsoft.directory/groups/basic/update Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/classification/update Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/dynamicMembershipRule/update Atualizar a regra de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/groupType/update Atualizar propriedades que poderiam afetar o tipo de grupo dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/members/update Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/onPremWriteBack/update Atualize grupos do Azure Active Directory a serem gravados no local com Azure AD Connect
microsoft.directory/groups/owners/update Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/settings/update Atualizar as configurações de grupos
microsoft.directory/groups/visibility/update Atualizar a propriedade de visibilidade dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groupSettings/create Criar configurações de grupo
microsoft.directory/groupSettings/delete Excluir configurações de grupo
microsoft.directory/groupSettings/basic/update Atualizar as propriedades básicas nas configurações de grupo
microsoft.directory/oAuth2PermissionGrants/create Criar as concessões de permissão do OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update Atualizar as concessões de permissão do OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar os trabalhos e o esquema de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Conceder a uma entidade de serviço o acesso direto aos dados de um grupo
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/users/assignLicense Gerenciar licenças do usuário
microsoft.directory/users/create Adicionar usuários
microsoft.directory/users/disable Desabilitar os usuários
microsoft.directory/users/enable Habilitar os usuários
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/inviteGuest Convidar usuários convidados
microsoft.directory/users/reprocessLicenseAssignment Reprocessar as atribuições de licença para usuários
microsoft.directory/users/basic/update Atualizar as propriedades básicas nos usuários
microsoft.directory/users/manager/update Atualizar o gerenciador para usuários
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/userPrincipalName/update Atualizar o nome UPN dos usuários

Administrador de Nome de Domínio

Os usuários com essa função podem gerenciar os nomes de domínio (ler, adicionar, verificar, atualizar e excluir). Eles também podem ler as informações de diretório sobre usuários, grupos e aplicativos, pois esses objetos possuem dependências de domínio. Para ambientes locais, os usuários com essa função podem configurar nomes de domínio para federação para que os usuários associados sempre sejam autenticados no local. Esses usuários podem entrar em serviços baseados no Azure AD com as senhas locais por meio do logon único. As configurações de federação precisam ser sincronizadas por meio de Azure AD Connect, para que os usuários também tenham permissões para gerenciar o Azure AD Connect.

Ações Descrição
microsoft.directory/domains/allProperties/allTasks Criar e excluir os domínios, além de ler e atualizar todas as propriedades
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Dynamics 365

Os usuários com essa função têm permissões globais no Microsoft Dynamics 365 Online, quando o serviço está presente, bem como a capacidade de gerenciar tíquete de suporte e monitorar a integridade do serviço. Mais informações em Usar a função de administrador de serviço para gerenciar sua organização do Azure AD.

Observação

Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é identificada como “Administrador de Serviços do Dynamics 365”. É "Administrador do Dynamics 365" no portal do Azure.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.dynamics365/allEntities/allTasks Gerenciar todos os aspectos do Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Exchange

Os usuários com essa função têm permissões globais no Microsoft Exchange Online, quando o serviço está presente. Eles também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Saiba mais em Sobre as funções de administrador do Microsoft 365.

Observação

Na API do Microsoft Graph, na API do Graph do Azure AD e no Azure AD PowerShell, essa função é identificada como “Administrador de Serviços do Exchange”. É "Administrador do Exchange" no portal do Azure. É “Administrador do Exchange Online” no Centro de administração do Exchange.

Ações Descrição
microsoft.directory/groups/hiddenMembers/read Ler os membros ocultos dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups.unified/create Criar os grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/delete Excluir os grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/restore Restaurar os grupos do Microsoft 365
microsoft.directory/groups.unified/basic/update Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/members/update Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/owners/update Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.exchange/allEntities/basic/allTasks Gerenciar todos os aspectos do Exchange Online
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de destinatários do Exchange

Os usuários com esta função têm acesso de leitura aos destinatários e acesso para gravação aos atributos desses destinatários no Exchange Online. Mais informações em destinatários do Exchange.

Ações Descrição
microsoft.office365.exchange/allRecipients/allProperties/allTasks Criar e excluir todos os destinatários e ler e atualizar todas as propriedades dos destinatários no Exchange Online
microsoft.office365.exchange/messageTracking/allProperties/allTasks Gerenciar todas as tarefas do acompanhamento de mensagens no Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Gerenciar todas as tarefas relacionadas à migração de destinatários no Exchange Online

Administrador de fluxo do usuário de ID externa

Os usuários com esta função podem criar e gerenciar os fluxos do usuário (também chamados de políticas “internas”) no portal do Azure. Esses usuários podem personalizar o conteúdo HTML/CSS/JavaScript, alterar os requisitos de MFA, selecionar declarações no token, gerenciar conectores de API e definir configurações de sessão para todos os fluxos do usuário na organização do Azure AD. Por outro lado, essa função não inclui a capacidade de examinar os dados do usuário nem fazer alterações nos atributos incluídos no esquema da organização. As alterações feitas nas políticas da Identity Experience Framework (também conhecidas como políticas personalizadas) também estão fora do escopo dessa função.

Ações Descrição
microsoft.directory/b2cUserFlow/allProperties/allTasks Ler e configurar atributos de usuário no Azure Active Directory B2C

Administrador de atributo de fluxo do usuário de ID externa

Os usuários com essa função adicionam ou excluem atributos personalizados que estão disponíveis para todos os fluxos dos usuários na organização do Azure AD.  Assim, eles podem alterar ou adicionar novos elementos ao esquema do usuário final e afetar o comportamento de todos os fluxos dos usuários, podendo resultar indiretamente em alterações nos dados que podem ser solicitados aos usuários finais e, por fim, enviados como declarações aos aplicativos.  Essa função não pode editar os fluxos dos usuários.

Ações Descrição
microsoft.directory/b2cUserAttribute/allProperties/allTasks Ler e configurar políticas personalizadas no Azure Active Directory B2C

Administrador do Provedor de Identidade Externa

Esse administrador gerencia a federação entre as organizações do Azure AD e os provedores de identidade externos.  Com essa função, os usuários podem adicionar novos provedores de identidade e definir todas as configurações disponíveis (por exemplo, caminho de autenticação, ID de serviço e contêineres de chave atribuídos).  Esse usuário pode habilitar a organização do Azure AD a confiar em autenticações de provedores de identidade externos.  O impacto sobre experiências do usuário final depende do tipo de organização:

  • Organizações do Azure AD para funcionários e parceiros: a adição de uma federação (por exemplo, com o Gmail) afetará imediatamente todos os convites de convidados que ainda não tenham sido resgatados. Consulte Adicionar o Google como provedor de identidade para usuários convidados B2B.
  • Organizações do Azure Active Directory B2C: a adição de uma federação (por exemplo, com o Facebook ou outra organização do Azure AD) não afeta imediatamente os fluxos dos usuários finais até que o provedor de identidade seja adicionado como uma opção em um fluxo dos usuários (também chamada de política interna). Consulte Configurar uma conta da Microsoft como um provedor de identidade para ver um exemplo.  Para alterar os fluxos dos usuários, é preciso ter a função limitada de “Administrador de Fluxos dos Usuários B2C”.
Ações Descrição
microsoft.directory/identityProviders/allProperties/allTasks Ler e configurar provedores de identidade no Azure Active Directory B2C

Administrador Global

Os usuários com essa função têm acesso a todos os recursos administrativos do Azure Active Directory, bem como aos serviços que usam identidades do Azure Active Directory como centro de segurança do Microsoft 365, centro de conformidade do Microsoft 365, Exchange Online, SharePoint Online e Skype for Business Online. Além disso, Administradores Globais podem elevar seu acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Isso permite que os Administradores Globais obtenham acesso completo a todos os recursos do Azure, usando o respectivo locatário do Azure AD. A pessoa que se inscreve na organização do Azure AD se torna um Administrador Global. Pode haver mais de um Administrador Global na sua empresa. Administradores Globais podem redefinir a senha para qualquer usuário e todos os outros administradores.

Observação

Como uma melhor prática, a Microsoft recomenda que você atribua a função de Administrador Global a menos de cinco pessoas em sua organização. Para obter mais informações, confira Melhores práticas para funções do Azure.

Ações Descrição
microsoft.directory/accessReviews/allProperties/allTasks Criar e excluir as revisões de acesso, além de ler e atualizar todas as propriedades de revisões de acesso no Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Criar e gerenciar unidades administrativas (incluindo membros)
microsoft.directory/applications/allProperties/allTasks Criar e excluir os aplicativos, além de ler e atualizar todas as propriedades
microsoft.directory/applications/synchronization/standard/read Ler as configurações de provisionamento associadas ao objeto de aplicativo
microsoft.directory/applicationTemplates/instantiate Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/authorizationPolicy/allProperties/allTasks Gerenciar todos os aspectos das políticas de autorização
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão Microsoft Cloud App Security
microsoft.directory/connectors/create Crie conectores de proxy de aplicativo
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de proxy de aplicativo
microsoft.directory/connectorGroups/create Crie grupos de conectores de proxy de aplicativo
microsoft.directory/connectorGroups/delete Exclua grupos de conectores de proxy de aplicativo
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades dos grupos de conectores de proxy de aplicativo
microsoft.directory/connectorGroups/allProperties/update Atualize todas as propriedades dos grupos de conectores de proxy de aplicativo
microsoft.directory/contacts/allProperties/allTasks Criar e excluir os contatos, além de ler e atualizar todas as propriedades
microsoft.directory/contracts/allProperties/allTasks Criar e excluir os contratos de parceiros, além de ler e atualizar todas as propriedades
microsoft.directory/deletedItems/delete Excluir permanentemente objetos que não podem mais ser restaurados
microsoft.directory/deletedItems/restore Restaurar objetos comexclusão temporária para o estado original
microsoft.directory/devices/allProperties/allTasks Criar e excluir os dispositivos, além de ler e atualizar todas as propriedades
microsoft.directory/deviceManagementPolicies/standard/read Ler as propriedades padrão nas políticas do aplicativo de gerenciamento de dispositivos
microsoft.directory/deviceManagementPolicies/basic/update Atualizar as propriedades básicas nas políticas do aplicativo de gerenciamento de dispositivos
microsoft.directory/deviceRegistrationPolicy/standard/read Ler as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/deviceRegistrationPolicy/basic/update Atualizar as propriedades básicas nas políticas de registro de dispositivos
microsoft.directory/directoryRoles/allProperties/allTasks Criar e excluir as funções do diretório, além de ler e atualizar todas as propriedades
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Criar e excluir os modelos de função do Azure AD, além de ler e atualizar todas as propriedades
microsoft.directory/domains/allProperties/allTasks Criar e excluir os domínios, além de ler e atualizar todas as propriedades
microsoft.directory/entitlementManagement/allProperties/allTasks Criar e excluir os recursos, além de ler e atualizar todas as propriedades no gerenciamento de direitos do Azure AD
microsoft.directory/groups/allProperties/allTasks Criar e excluir os grupos, além de ler e atualizar todas as propriedades
microsoft.directory/groupsAssignableToRoles/create Criar grupos ao qual podem ser atribuídas funções
microsoft.directory/groupsAssignableToRoles/delete Excluir os grupos de funções atribuíveis
microsoft.directory/groupsAssignableToRoles/restore Restaurar os grupos de funções atribuíveis
microsoft.directory/groupsAssignableToRoles/allProperties/update Atualizar os grupos de funções atribuíveis
microsoft.directory/groupSettings/allProperties/allTasks Criar e excluir as configurações de grupo, além de ler e atualizar todas as propriedades
microsoft.directory/groupSettingTemplates/allProperties/allTasks Criar e excluir os modelos de configuração de grupo, além de ler e atualizar todas as propriedades
microsoft.directory/identityProtection/allProperties/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Criar e excluir loginTenantBranding, além de ler e atualizar todas as propriedades
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/organization/allProperties/allTasks Ler e atualizar todas as propriedades de uma organização
microsoft.directory/policies/allProperties/allTasks Criar e excluir as políticas, além de ler e atualizar todas as propriedades
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Gerenciar todas as propriedades das políticas de acesso condicional
microsoft.directory/crossTenantAccessPolicies/allProperties/allTasks
microsoft.directory/privilegedIdentityManagement/allProperties/read Ler todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/roleAssignments/allProperties/allTasks Criar e excluir as atribuições de função, além de ler e atualizar todas as propriedades de atribuição de função
microsoft.directory/roleDefinitions/allProperties/allTasks Criar e excluir as definições de função, além de ler e atualizar todas as propriedades
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Criar e excluir scopedRoleMemberships, além de ler e atualizar todas as propriedades
microsoft.directory/serviceAction/activateService Pode realizar a ação "ativar serviço" para um serviço
microsoft.directory/serviceAction/disableDirectoryFeature Pode realizar a ação de serviço "desabilitar recurso de diretório"
microsoft.directory/serviceAction/enableDirectoryFeature Pode realizar a ação de serviço "habilitar recurso de diretório"
microsoft.directory/serviceAction/getAvailableExtentionProperties Pode realizar a ação de serviço getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Criar e excluir as entidades de serviço, além de ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Conceder consentimento para qualquer permissão para qualquer aplicativo
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Conceder a uma entidade de serviço o acesso direto aos dados de um grupo
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à entidade de serviço
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.directory/subscribedSkus/allProperties/allTasks Comprar e gerenciar as assinaturas e excluir as assinaturas
microsoft.directory/users/allProperties/allTasks Criar e excluir os usuários, além de ler e atualizar todas as propriedades
microsoft.directory/permissionGrantPolicies/create Criar as políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/delete Excluir as políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/standard/read Ler as propriedades padrão das políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/basic/update Atualizar todas as propriedades das políticas de concessão de permissão
microsoft.directory/servicePrincipalCreationPolicies/create Criar as políticas de criação da entidade de serviço
microsoft.directory/servicePrincipalCreationPolicies/delete Excluir as políticas de criação da entidade de serviço
microsoft.directory/servicePrincipalCreationPolicies/standard/read Ler as propriedades padrão das políticas de criação da entidade de serviço
microsoft.directory/servicePrincipalCreationPolicies/basic/update Atualizar as propriedades básicas das políticas de criação da entidade de serviço
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Ler um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Revogar um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/create Criar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Ler um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Atualizar um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/create Criar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/delete Excluir a configuração necessária para criar e gerenciar credenciais verificáveis e excluir todas as suas credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/allProperties/read Ler a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.directory/verifiableCredentials/configuration/allProperties/update Atualizar a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gerenciar todos os aspectos da Proteção Avançada contra Ameaças do Azure
microsoft.azure.informationProtection/allEntities/allTasks Gerenciar todos os aspectos da Proteção de Informações do Azure
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.commerce.billing/allEntities/allTasks Gerenciar todos os aspectos de cobrança do Office 365
microsoft.dynamics365/allEntities/allTasks Gerenciar todos os aspectos do Dynamics 365
microsoft.flow/allEntities/allTasks Gerenciar todos os aspectos do Microsoft Power Automate
microsoft.intune/allEntities/allTasks Gerenciar todos os aspectos do Microsoft Intune
Microsoft.office365.complianceManager/allEntities/allTasks Gerenciar todos os aspectos do Gerenciador de conformidade do Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Gerenciar todos os aspectos da Análise de Área de Trabalho
microsoft.office365.exchange/allEntities/basic/allTasks Gerenciar todos os aspectos do Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Ler e atualizar todas as propriedades de compreensão de conteúdo no centro de administração do Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Ler os relatórios de análise de compreensão de conteúdo no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Ler e atualizar todas as propriedades de rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gerenciar a visibilidade de tópicos da rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gerenciar fontes de aprendizado e todas as suas propriedades no aplicativo de aprendizagem.
Microsoft.office365.lockbox/allEntities/allTasks Gerenciar todos os aspectos do Sistema de Proteção de Dados do Cliente
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Ler as mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gerenciar todos os aspectos dos Centros de Conformidade e Segurança
microsoft.office365.search/content/manage Criar e excluir o conteúdo, além de ler e atualizar todas as propriedades no Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Centro de Conformidade e Segurança do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint
Microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspectos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.userCommunication/allEntities/allTasks Ler e atualizar a visibilidade das mensagens sobre novidades
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.powerApps/allEntities/allTasks Gerenciar todos os aspectos do Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gerenciar todos os aspectos do Power BI
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gerenciar todos os aspectos do Microsoft Defender para Ponto de Extremidade
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Ler e configurar todos os aspectos do serviço Windows Update

Leitor global

Os usuários com essa função podem ler configurações e informações administrativas nos serviços do Microsoft 365, mas não podem realizar ações de gerenciamento. O Leitor global é o equivalente à função de somente leitura do Administrador global. Atribua um Leitor global em vez de um Administrador global para planejamentos, auditorias ou investigações. Use o Leitor global junto com outras funções de administrador limitadas, como Administrador do Exchange, para facilitar o trabalho sem a atribuição da função de Administrador global. O Leitor global funciona com Centro de administração do Microsoft 365, Centro de administração do Exchange, Centro de administração do SharePoint, Centro de administração do Teams, Central de segurança, Centro de conformidade, Centro de administração do Azure AD e Centro de administração do gerenciamento de dispositivo.

Observação

A função de Leitor global tem algumas limitações atualmente:

Os recursos a seguir estão em desenvolvimento atualmente.

Ações Descrição
microsoft.directory/accessReviews/allProperties/read
microsoft.directory/administrativeUnits/allProperties/read
microsoft.directory/applications/allProperties/read Ler todas as propriedades (incluindo propriedades privilegiadas) em todos os tipos de aplicativos
microsoft.directory/applications/synchronization/standard/read Ler as configurações de provisionamento associadas ao objeto de aplicativo
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/cloudAppSecurity/allProperties/read
microsoft.directory/connectors/allProperties/read Leia todas as propriedades dos conectores de proxy de aplicativo
microsoft.directory/connectorGroups/allProperties/read Leia todas as propriedades dos grupos de conectores de proxy de aplicativo
microsoft.directory/contacts/allProperties/read
microsoft.directory/devices/allProperties/read Ler todas as propriedades nos dispositivos
microsoft.directory/directoryRoles/allProperties/read
microsoft.directory/directoryRoleTemplates/allProperties/read
microsoft.directory/domains/allProperties/read Ler todas as propriedades dos domínios
microsoft.directory/entitlementManagement/allProperties/read Ler todas as propriedades no gerenciamento de direitos do Azure AD
microsoft.directory/groups/allProperties/read Ler todas as propriedades (incluindo propriedades privilegiadas) em grupos de Segurança e grupos do Microsoft 365, inclusive grupos atribuíveis a função
microsoft.directory/groupSettings/allProperties/read
microsoft.directory/groupSettingTemplates/allProperties/read
microsoft.directory/identityProtection/allProperties/read Ler todos os recursos no Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/read
microsoft.directory/oAuth2PermissionGrants/allProperties/read
microsoft.directory/organization/allProperties/read
microsoft.directory/permissionGrantPolicies/standard/read Ler as propriedades padrão das políticas de concessão de permissão
microsoft.directory/policies/allProperties/read
microsoft.directory/conditionalAccessPolicies/allProperties/read
microsoft.directory/crossTenantAccessPolicies/allProperties/read
microsoft.directory/deviceManagementPolicies/standard/read Ler as propriedades padrão nas políticas do aplicativo de gerenciamento de dispositivos
microsoft.directory/deviceRegistrationPolicy/standard/read Ler as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/privilegedIdentityManagement/allProperties/read Ler todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/roleAssignments/allProperties/read
microsoft.directory/roleDefinitions/allProperties/read
microsoft.directory/scopedRoleMemberships/allProperties/read
microsoft.directory/serviceAction/getAvailableExtentionProperties Pode realizar a ação de serviço getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/read Ler todas as propriedades (inclusive as propriedades privilegiadas) em servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Ler as propriedades padrão das políticas de criação da entidade de serviço
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à entidade de serviço
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.directory/subscribedSkus/allProperties/read
microsoft.directory/users/allProperties/read Ler todas as propriedades de usuários
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Ler um cartão de credencial verificável
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Ler um contrato de credencial verificável
microsoft.directory/verifiableCredentials/configuration/allProperties/read Ler a configuração necessária para criar e gerenciar credenciais verificáveis
microsoft.commerce.billing/allEntities/read Ler todos os recursos de cobrança do Office 365
microsoft.office365.exchange/allEntities/standard/read Ler todos os recursos do Exchange Online
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Ler as mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Ler todas as propriedades nos Centros de Conformidade e Segurança
microsoft.office365.securityComplianceCenter/allEntities/read Ler as propriedades padrão no Centro de Conformidade e Segurança do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.windows.updatesDeployments/allEntities/allProperties/read Ler todos os aspectos do serviço Windows Update

Administrador de Grupos

Os usuários com essa função podem criar/gerenciar grupos e suas configurações, como políticas de nomenclatura e de expiração. É importante entender que, ao atribuir um usuário a essa função, eles terão a capacidade de gerenciar todos os grupos da organização em várias cargas de trabalho, como Teams, SharePoint e Yammer, além do Outlook. Além disso, o usuário poderá gerenciar as configurações de vários grupos em vários portais de administração, como o Centro de administração da Microsoft, o portal do Azure, bem como os específicos de cargas de trabalho, como o Teams e Centros de administração do SharePoint.

Ações Descrição
microsoft.directory/groups/assignLicense Atribuir as licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/create Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/delete Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/hiddenMembers/read Ler os membros ocultos dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar as atribuições de licença para licenciamento baseado em grupo
microsoft.directory/groups/restore Restaurar grupos excluídos
microsoft.directory/groups/basic/update Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/classification/update Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/dynamicMembershipRule/update Atualizar a regra de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/groupType/update Atualizar propriedades que poderiam afetar o tipo de grupo dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/members/update Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/onPremWriteBack/update Atualize grupos do Azure Active Directory a serem gravados no local com Azure AD Connect
microsoft.directory/groups/owners/update Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/settings/update Atualizar as configurações de grupos
microsoft.directory/groups/visibility/update Atualizar a propriedade de visibilidade dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Conceder a uma entidade de serviço o acesso direto aos dados de um grupo
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Emissor do Convite ao Convidado

Usuários nessa função podem gerenciar convites de usuários convidados do Azure Active Directory B2B quando a configuração do usuário Membros podem convidar estiver definida como Não. Mais informações sobre a colaboração B2B em Sobre a colaboração B2B do Azure AD. Ela não inclui nenhuma outra permissão.

Ações Descrição
microsoft.directory/users/inviteGuest Convidar usuários convidados
microsoft.directory/users/standard/read Ler as propriedades básicas nos usuários
microsoft.directory/users/appRoleAssignments/read Ler as atribuições de função de aplicativo dos usuários
microsoft.directory/users/deviceForResourceAccount/read Ler deviceForResourceAccount dos usuários
microsoft.directory/users/directReports/read Ler os subordinados diretos para usuários
microsoft.directory/users/licenseDetails/read Ler detalhes da licença dos usuários
microsoft.directory/users/manager/read Ler o gerenciador de usuários
microsoft.directory/users/memberOf/read Ler as associações de grupo dos usuários
microsoft.directory/users/oAuth2PermissionGrants/read Ler as concessões de permissão delegadas dos usuários
microsoft.directory/users/ownedDevices/read Ler os dispositivos próprios dos usuários
microsoft.directory/users/ownedObjects/read Ler os objetos próprios dos usuários
microsoft.directory/users/photo/read Ler a foto dos usuários
microsoft.directory/users/registeredDevices/read Ler os dispositivos registrados de usuários
microsoft.directory/users/scopedRoleMemberOf/read Ler a associação do usuário de uma função do Azure AD, com escopo de uma unidade administrativa

Administrador de assistência técnica

Usuários com essa função podem alterar senhas, invalidar tokens de atualização, gerenciar solicitações de serviço e monitorar a integridade do serviço. Invalidar um token de atualização força o usuário a entrar novamente. Determinar se um Administrador de Assistência Técnica pode redefinir a senha de um usuário e invalidar tokens de atualização depende da função atribuída ao usuário. Para obter uma lista das funções para as quais um Administrador de Assistência Técnica pode redefinir senhas e invalidar tokens de atualização, confira Permissões de redefinição de senha.

Importante

Usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou particulares ou a configurações críticas dentro e fora do Azure Active Directory. A alteração da senha de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:

  • Proprietários de Registro de Aplicativo e Aplicativos Empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Azure AD e em outro lugar, não concedidas a Administradores de Assistência Técnica. Por esse caminho, um Administrador de Assistência Técnica pode ser capaz de assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou a configurações críticas no Azure.
  • Proprietários de Grupos de Segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configurações críticas no Azure AD e em outros lugares.
  • Administradores em outros serviços fora do Azure AD, como o Exchange Online, a Segurança do Office e o Centro de Conformidade e sistemas de recursos humanos.
  • Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.

É possível delegar permissões administrativas sobre subconjuntos de usuários e aplicar políticas a um subconjunto de usuários usando Unidades Administrativas.

Essa função era anteriormente chamada de “Administrador de senha” no portal do Azure. O nome “Administrador de assistência técnica” no Azure AD agora corresponde ao seu nome no PowerShell do Azure AD e na API do Microsoft Graph.

Ações Descrição
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/password/update Redefinir as senhas de todos os usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Identidade Híbrida

Os usuários nesta função podem criar, gerenciar e implantar a configuração de provisionamento do AD para o Azure AD, usando o provisionamento em nuvem, bem como gerenciar o Azure AD Connect e as configurações de federação. Os usuários também podem solucionar problemas e monitorar logs usando essa função.

Ações Descrição
microsoft.directory/applications/create Crie todos os tipos de aplicativos
microsoft.directory/applications/delete Exclua todos os tipos de aplicativos
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/applications/audience/update Atualizar a propriedade de audiência para aplicativos
microsoft.directory/applications/authentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/applications/credentials/update Atualizar credenciais do aplicativo
microsoft.directory/applications/owners/update Atualizar proprietários de aplicativos
microsoft.directory/applications/permissions/update Atualize as permissões expostas e as permissões necessárias em todos os tipos de aplicativos
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/applications/synchronization/standard/read Ler as configurações de provisionamento associadas ao objeto de aplicativo
microsoft.directory/applicationTemplates/instantiate Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/cloudProvisioning/allProperties/allTasks Ler e configurar todas as propriedades do serviço de Provisionamento em Nuvem do Azure AD.
microsoft.directory/deletedItems.applications/delete Excluir permanentemente aplicativos que não podem mais ser restaurados
microsoft.directory/deletedItems.applications/restore Restaurar aplicativos com exclusão temporária para o estado original
microsoft.directory/domains/allProperties/read Ler todas as propriedades dos domínios
microsoft.directory/domains/federation/update Atualizar a propriedade de federação dos domínios
microsoft.directory/organization/dirSync/update Atualizar a propriedade de sincronização do diretório da organização
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/servicePrincipals/create Criar entidades de serviço
microsoft.directory/servicePrincipals/delete Excluir as entidades de serviço
microsoft.directory/servicePrincipals/disable Desabilitar as entidades de serviço
microsoft.directory/servicePrincipals/enable Habilitar as entidades de serviço
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gerencie credenciais e segredos de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationJobs/manage Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/synchronizationSchema/manage Criar e gerenciar os trabalhos e o esquema de sincronização de provisionamento de aplicativo
microsoft.directory/servicePrincipals/audience/update Atualizar as propriedades de público-alvo nas entidades de serviço
microsoft.directory/servicePrincipals/authentication/update Atualizar as propriedades de autenticação nas entidades de serviço
microsoft.directory/servicePrincipals/basic/update Atualizar as propriedades básicas nas entidades de serviço
microsoft.directory/servicePrincipals/credentials/update Atualizar as credenciais das entidades de serviço
microsoft.directory/servicePrincipals/owners/update Atualizar os proprietários das entidades de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar as permissões das entidades de serviço
microsoft.directory/servicePrincipals/policies/update Atualizar as políticas das entidades de serviço
microsoft.directory/servicePrincipals/tag/update Atualizar a propriedade de marca para entidades de serviço
microsoft.directory/servicePrincipals/synchronization/standard/read Ler as configurações de provisionamento associadas à entidade de serviço
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de governança de identidade

Os usuários com essa função podem gerenciar a configuração da governança de identidade do Azure AD, incluindo pacotes de acesso, revisões de acesso, catálogos e políticas, garantindo que o acesso seja aprovado e examinado e que usuários convidados que não precisem mais de acesso sejam removidos.

Ações Descrição
microsoft.directory/accessReviews/allProperties/allTasks Criar e excluir as revisões de acesso, ler e atualizar todas as propriedades de revisões de acesso e gerenciar as revisões de acesso dos grupos no Azure AD
microsoft.directory/accessReviews/definitions.applications/allTasks Gerenciar revisões de acesso de atribuições de função de aplicativo no Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Criar e excluir os recursos, além de ler e atualizar todas as propriedades no gerenciamento de direitos do Azure AD
microsoft.directory/groups/members/update Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço

Administrador do Insights

Os usuários nesta função podem acessar o conjunto completo de funcionalidades administrativas no aplicativo M365 Insights. Esta função tem a capacidade de ler informações de diretório, monitorar a integridade do serviço, fazer tíquetes de suporte e acessar os aspectos das configurações de Administrador do Insights.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.insights/allEntities/allTasks Gerenciar todos os aspectos do aplicativo Insights
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Líder de negócios do Insights

Os usuários nesta função podem acessar um conjunto de painéis e insights por meio do aplicativo M365 Insights. Isso inclui acesso completo a todos os painéis e insights apresentados, além da funcionalidade de exploração de dados. Os usuários com essa função não têm acesso às definições de configuração do produto, que são de responsabilidade da função Administrador do Insights.

Ações Descrição
microsoft.insights/reports/read Exibir os relatórios e o painel no aplicativo Insights
microsoft.insights/programs/update Implantar e gerenciar programas no aplicativo Insights

Administrador do Intune

Usuários com essa função têm permissões globais no Microsoft Intune Online, quando o serviço está presente. Além disso, essa função contém a capacidade de gerenciar usuários e dispositivos para associar a política, bem como criar e gerenciar grupos. Obtenha mais informações em Controle de administração baseada em funções (RBAC) com o Microsoft Intune.

Essa função pode criar e gerenciar todos os grupos de segurança. Porém, o Administrador do Intune não tem direitos de administrador sobre grupos do Office. Isso significa que ele não pode atualizar os proprietários ou as associações de todos os grupos do Office na organização. Porém, ele pode gerenciar o grupo do Office que ele mesmo criar, o que vem como parte de seus privilégios de usuário final. Portanto, qualquer grupo do Office (não grupos de segurança) que ele cria deve ser incluído em sua cota de 250.

Observação

Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é identificada como "Administrador de Serviços do Intune". É "Administrador do Intune" no portal do Azure.

Ações Descrição
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/contacts/create Criar os contatos
microsoft.directory/contacts/delete Excluir os contatos
microsoft.directory/contacts/basic/update Atualizar as propriedades básicas nos contatos
microsoft.directory/devices/create Criar os dispositivos (inscrever-se no Azure AD)
microsoft.directory/devices/delete Excluir os dispositivos do Azure AD
microsoft.directory/devices/disable Desabilitar os dispositivos no Azure AD
microsoft.directory/devices/enable Habilitar os dispositivos no Azure AD
microsoft.directory/devices/basic/update Atualizar as propriedades básicas nos dispositivos
microsoft.directory/devices/extensionAttributeSet1/update Atualizar as propriedades extensionAttribute1 a extensionAttribute5 nos dispositivos
microsoft.directory/devices/extensionAttributeSet2/update Atualizar as propriedades extensionAttribute6 a extensionAttribute10 nos dispositivos
microsoft.directory/devices/extensionAttributeSet3/update Atualizar as propriedades extensionAttribute11 a extensionAttribute15 nos dispositivos
microsoft.directory/devices/registeredOwners/update Atualizar os proprietários registrados dos dispositivos
microsoft.directory/devices/registeredUsers/update Atualizar os usuários registrados dos dispositivos
microsoft.directory/deviceManagementPolicies/standard/read Ler as propriedades padrão nas políticas do aplicativo de gerenciamento de dispositivos
microsoft.directory/deviceRegistrationPolicy/standard/read Ler as propriedades padrão nas políticas de registro de dispositivos
microsoft.directory/groups/hiddenMembers/read Ler os membros ocultos dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups.security/create Criar os grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/delete Excluir os grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/basic/update Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/classification/update Atualizar a propriedade de classificação de grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/dynamicMembershipRule/update Atualizar a regra de associação dinâmica de grupos de Segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/members/update Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/owners/update Atualizar os proprietários dos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/visibility/update Atualizar a propriedade de visibilidade de grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/users/basic/update Atualizar as propriedades básicas nos usuários
microsoft.directory/users/manager/update Atualizar o gerenciador para usuários
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.intune/allEntities/allTasks Gerenciar todos os aspectos do Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Kaizala

Usuários com essa função têm permissões globais para gerenciar configurações no Microsoft Kaizala, quando o serviço estiver presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Além disso, o usuário pode acessar relatórios relacionados à adoção e ao uso do Kaizala por membros da organização e relatórios comerciais gerados usando as ações do Kaizala.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Conhecimento

Os usuários nesta função têm acesso completo a todas as configurações de recursos inteligentes, de conhecimento e de aprendizado no centro de administração do Microsoft 365. Eles têm uma compreensão geral do pacote de produtos e dos detalhes de licenciamento, além de ter a responsabilidade de controlar o acesso. O Administrador de conhecimento pode criar e gerenciar conteúdo, como tópicos, acrônimos e recursos de aprendizado. Além disso, esses usuários podem criar centros de conteúdo, monitorar a integridade de serviço e criar solicitações de serviço.

Ações Descrição
microsoft.directory/groups.security/create Criar os grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/createAsOwner Criar os grupos de segurança, exceto os grupos de funções atribuíveis. O criador é adicionado como o primeiro proprietário.
microsoft.directory/groups.security/delete Excluir os grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/basic/update Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/members/update Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/owners/update Atualizar os proprietários dos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Ler e atualizar todas as propriedades de compreensão de conteúdo no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Ler e atualizar todas as propriedades de rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gerenciar fontes de aprendizado e todas as suas propriedades no aplicativo de aprendizagem.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Ler todas as propriedades de rótulos de confidencialidade nos centros de Conformidade e Segurança
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Gerente de conhecimento

Os usuários nessa função podem criar e gerenciar conteúdo, como tópicos, acrônimos e conteúdo de aprendizado. Esses usuários são responsáveis principalmente pela qualidade e pela estrutura do conhecimento. Esse usuário tem direitos completos sobre ações de gerenciamento de tópicos para confirmar um tópico, aprovar edições ou excluir um tópico. Essa função também pode gerenciar taxonomias como parte da ferramenta de gerenciamento de armazenamento de termos e criar centros de conteúdo.

Ações Descrição
microsoft.directory/groups.security/create Criar os grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/createAsOwner Criar os grupos de segurança, exceto os grupos de funções atribuíveis. O criador é adicionado como o primeiro proprietário.
microsoft.directory/groups.security/delete Excluir os grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/basic/update Atualizar as propriedades básicas nos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/members/update Atualizar os membros dos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.directory/groups.security/owners/update Atualizar os proprietários dos grupos de segurança, exceto os grupos de funções atribuíveis
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Ler os relatórios de análise de compreensão de conteúdo no centro de administração do Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gerenciar a visibilidade de tópicos da rede de conhecimento no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Licenças

Usuários nessa função podem adicionar, remover e atualizar as atribuições de licenças em usuários, grupos (usando o licenciamento baseado em grupo) e gerenciar a localização de uso dos usuários. A função não concede a capacidade de comprar ou gerenciar assinaturas, criar ou gerenciar grupos, ou criar ou gerenciar usuários além do local de uso. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/groups/assignLicense Atribuir as licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar as atribuições de licença para licenciamento baseado em grupo
microsoft.directory/users/assignLicense Gerenciar licenças do usuário
microsoft.directory/users/reprocessLicenseAssignment Reprocessar as atribuições de licença para usuários
microsoft.directory/users/usageLocation/update Atualizar o local de uso dos usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Leitor de Privacidade do Centro de Mensagens

Os usuários com essa função podem monitorar todas as notificações no Centro de Mensagens, incluindo mensagens de privacidade de dados. Os Leitores de Privacidade do Centro de Mensagens recebem notificações por email, incluindo aquelas relacionadas à privacidade dos dados, e podem cancelar a assinatura usando as preferências do Centro de Mensagens. Somente o Administrador global e o Leitor de Privacidade do Centro de Mensagens podem ler mensagens de privacidade de dados. Além disso, essa função tem a capacidade de exibir grupos, domínios e assinaturas. Essa função não tem permissão para exibir, criar ou gerenciar solicitações de serviço.

Ações Descrição
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.messageCenter/securityMessages/read Ler as mensagens de segurança no Centro de Mensagens no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Leitor do Centro de Mensagens

Usuários nessa função podem monitorar notificações e atualizações de integridade de consultoria no Centro de mensagens da organização em serviços configurados como Exchange, Intune e Microsoft Teams. Os Leitores do Centro de Mensagens recebem por email resumos semanais de postagens, atualizações e podem compartilhar postagens do centro de mensagens no Microsoft 365. No Azure AD, os usuários atribuídos a essa função terão acesso somente leitura aos serviços do Azure AD como usuários e grupos. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.

Ações Descrição
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Usuário moderno do Commerce

Não use. Essa função é automaticamente atribuída a partir do Comércio e não tem a finalidade ou o suporte para outros usos. Veja detalhes abaixo.

A função de Usuário de Comércio Moderno dá permissão a determinados usuários para acessar o Centro de administração do Microsoft 365 e ver as entradas de navegação à esquerda em Página Inicial, Cobrança e Suporte. O conteúdo disponível nessas áreas é controlado por funções específicas de comércio atribuídas aos usuários para gerenciar os produtos que eles compraram para si mesmos ou para a sua organização. Isso pode incluir tarefas como pagar faturas ou acessar contas de cobrança e perfis de cobrança.

Os usuários com a função de Usuário de Comércio Moderno normalmente têm permissões administrativas em outros sistemas de compra da Microsoft, mas não têm funções de Administrador Global nem de Administrador de cobrança usadas para acessar o centro de administração.

Quando a função de Usuário de Comércio Moderno é atribuída?

  • Compra por autoatendimento no Centro de administração do Microsoft 365 – a compra por autoatendimento dá aos usuários a oportunidade de experimentar novos produtos comprando-os ou inscrevendo-se neles por conta própria. Esses produtos são gerenciados no centro de administração. Os usuários que fazem uma compra por autoatendimento recebem uma função no sistema de comércio e a função de Usuário de Comércio Moderno, assim, eles podem gerenciar suas compras no centro de administração. Os administradores podem bloquear compras por autoatendimento (para Power BI, Power Apps e Power Automate) por meio do PowerShell. Para obter mais informações, consulte Perguntas frequentes da compra por autoatendimento.
  • Compras no marketplace comercial da Microsoft – de modo semelhante à compra por autoatendimento, quando um usuário compra um produto ou serviço do Microsoft AppSource ou do Azure Marketplace, a função de Usuário de Comércio Moderno será atribuída caso não haja a função de Administrador Global ou de Administrador de cobrança. Em alguns casos, os usuários podem ser impedidos de fazer essas compras. Para obter mais informações, consulte Marketplace comercial da Microsoft.
  • Propostas da Microsoft – uma proposta é uma oferta formal enviada pela Microsoft para a sua organização comprar produtos e serviços da Microsoft. Quando a pessoa que estiver aceitando a proposta não tiver a função de Administrador global ou de Administrador de cobrança no Azure AD, ela receberá uma função específica de comércio para concluir a proposta, além da função de Usuário de Comércio Moderno para acessar o centro de administração. Ao acessar o centro de administração, essa pessoa só poderá usar recursos que sejam autorizados por sua função específica de comércio.
  • Funções específicas de comércio – alguns usuários recebem esse tipo de função. Caso um usuário não seja um Administrador global nem um Administrador de cobrança, ele obterá a função de Usuário de Comércio Moderno para poder acessar o centro de administração.

Caso a atribuição da função de Usuário de Comércio Moderno de um usuário seja cancelada, ele perderá o acesso ao Centro de administração do Microsoft 365. Caso ele estivesse gerenciando produtos, seja para si próprio ou para a sua organização, ele não poderá mais fazê-lo. Isso pode incluir a atribuição de licenças, a alteração de métodos de pagamento, a cobrança de contas ou mesmo outras tarefas de gerenciamento de assinaturas.

Ações Descrição
microsoft.commerce.billing/partners/read Ler a propriedade de parceiros de Cobrança do Microsoft 365
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gerenciar todos os aspectos do Centro de Serviços de Licenciamento por Volume
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Rede

Os usuários com essa função podem revisar as recomendações de arquitetura do perímetro de rede da Microsoft que sejam baseadas na telemetria de rede de seus locais de usuário. O desempenho de rede do Microsoft 365 conta com uma cuidadosa arquitetura de perímetro de rede de clientes comerciais, que é geralmente específica ao local do usuário. Essa função permite a edição de locais de usuários descobertos e a configuração de parâmetros de rede desses locais para facilitar medidas de telemetria e recomendações de design melhores

Ações Descrição
microsoft.office365.network/locations/allProperties/allTasks Gerenciar todos os aspectos dos locais de rede
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Aplicativos do Office

Os usuários com esta função podem gerenciar as configurações de nuvem dos aplicativos do Microsoft 365. Isso inclui o gerenciamento de políticas de nuvem, o gerenciamento de download de autoatendimento, além da capacidade de exibir relatórios relacionados aos aplicativos do Office. Além disso, essa função concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço no centro de administração principal. Os usuários atribuídos a essa função também podem gerenciar a comunicação de novos recursos nos aplicativos do Office.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Ler e atualizar a visibilidade das mensagens sobre novidades
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Suporte de camada 1 do parceiro

Não use. Essa função foi substituída e será removida do Azure AD no futuro. Essa função é destinada a um pequeno número de parceiros de revenda da Microsoft e não se destina ao uso geral.

Importante

Essa função pode redefinir senhas e invalidar tokens de atualização somente para não administradores. Essa função não deve ser usada, pois foi preterida e não retornará mais na API.

Ações Descrição
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/applications/audience/update Atualizar a propriedade de audiência para aplicativos
microsoft.directory/applications/authentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/applications/credentials/update Atualizar credenciais do aplicativo
microsoft.directory/applications/owners/update Atualizar proprietários de aplicativos
microsoft.directory/applications/permissions/update Atualize as permissões expostas e as permissões necessárias em todos os tipos de aplicativos
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/contacts/create Criar os contatos
microsoft.directory/contacts/delete Excluir os contatos
microsoft.directory/contacts/basic/update Atualizar as propriedades básicas nos contatos
microsoft.directory/groups/create Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/delete Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/restore Restaurar grupos excluídos
microsoft.directory/groups/members/update Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/owners/update Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/users/assignLicense Gerenciar licenças do usuário
microsoft.directory/users/create Adicionar usuários
microsoft.directory/users/delete Excluir usuários
microsoft.directory/users/disable Desabilitar os usuários
microsoft.directory/users/enable Habilitar os usuários
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/restore Restaurar os usuários excluídos
microsoft.directory/users/basic/update Atualizar as propriedades básicas nos usuários
microsoft.directory/users/manager/update Atualizar o gerenciador para usuários
microsoft.directory/users/password/update Redefinir as senhas de todos os usuários
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/userPrincipalName/update Atualizar o nome UPN dos usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Suporte de camada 2 do parceiro

Não use. Essa função foi substituída e será removida do Azure AD no futuro. Essa função é destinada a um pequeno número de parceiros de revenda da Microsoft e não se destina ao uso geral.

Importante

Essa função pode redefinir senhas e invalidar tokens de atualização para todos os não administradores e administradores (incluindo Administradores Globais). Essa função não deve ser usada, pois foi preterida e não retornará mais na API.

Ações Descrição
microsoft.directory/applications/appRoles/update Atualizar a propriedade appRoles em todos os tipos de aplicativos
microsoft.directory/applications/audience/update Atualizar a propriedade de audiência para aplicativos
microsoft.directory/applications/authentication/update Atualize a autenticação em todos os tipos de aplicativos
microsoft.directory/applications/basic/update Atualizar propriedades básicas para aplicativos
microsoft.directory/applications/credentials/update Atualizar credenciais do aplicativo
microsoft.directory/applications/owners/update Atualizar proprietários de aplicativos
microsoft.directory/applications/permissions/update Atualize as permissões expostas e as permissões necessárias em todos os tipos de aplicativos
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/contacts/create Criar os contatos
microsoft.directory/contacts/delete Excluir os contatos
microsoft.directory/contacts/basic/update Atualizar as propriedades básicas nos contatos
microsoft.directory/domains/allProperties/allTasks Criar e excluir os domínios, além de ler e atualizar todas as propriedades
microsoft.directory/groups/create Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/delete Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/restore Restaurar grupos excluídos
microsoft.directory/groups/members/update Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/owners/update Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/organization/basic/update Atualizar as propriedades básicas na organização
microsoft.directory/roleAssignments/allProperties/allTasks Criar e excluir as atribuições de função, além de ler e atualizar todas as propriedades de atribuição de função
microsoft.directory/roleDefinitions/allProperties/allTasks Criar e excluir as definições de função, além de ler e atualizar todas as propriedades
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Criar e excluir scopedRoleMemberships, além de ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/subscribedSkus/standard/read Ler as propriedades básicas nas assinaturas
microsoft.directory/users/assignLicense Gerenciar licenças do usuário
microsoft.directory/users/create Adicionar usuários
microsoft.directory/users/delete Excluir usuários
microsoft.directory/users/disable Desabilitar os usuários
microsoft.directory/users/enable Habilitar os usuários
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/restore Restaurar os usuários excluídos
microsoft.directory/users/basic/update Atualizar as propriedades básicas nos usuários
microsoft.directory/users/manager/update Atualizar o gerenciador para usuários
microsoft.directory/users/password/update Redefinir as senhas de todos os usuários
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/userPrincipalName/update Atualizar o nome UPN dos usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de senha

Os usuários com essa função têm uma capacidade limitada de gerenciamento de senhas. Essa função não concede a capacidade de gerenciar solicitações de serviço nem de monitorar a integridade do serviço. Determinar se um Administrador de Senha pode redefinir a senha de um usuário depende da função atribuída ao usuário. Para obter uma lista das funções para as quais um Administrador de Senha pode redefinir senhas, confira Permissões de redefinição de senha.

Ações Descrição
microsoft.directory/users/password/update Redefinir as senhas de todos os usuários
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do BI de energia

Usuários com essa função têm permissões globais no Microsoft Power BI, quando o serviço está presente, bem como a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço. Mais informações em Noções básicas sobre a função de administrador do Power BI.

Observação

Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é identificada como “Administrador de Serviços do Power BI”. É "Administrador do Power BI" no portal do Azure.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gerenciar todos os aspectos do Power BI

Administrador do Power Platform

Os usuários com essa função podem criar e gerenciar todos os aspectos de políticas de ambientes, Power Apps, Fluxos, Prevenção contra Perda de Dados. Além disso, os usuários com essa função têm a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.dynamics365/allEntities/allTasks Gerenciar todos os aspectos do Dynamics 365
microsoft.flow/allEntities/allTasks Gerenciar todos os aspectos do Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.powerApps/allEntities/allTasks Gerenciar todos os aspectos do Power Apps

Administrador de Impressora

Os usuários com essa função podem registrar impressoras e gerenciar todos os aspectos de todas as configurações de impressora na Solução de impressão universal da Microsoft, incluindo as configurações do Conector de impressão universal. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os Administradores de impressora também têm acesso aos relatórios de impressão.

Ações Descrição
microsoft.azure.print/allEntities/allProperties/allTasks Criar e excluir impressoras e conectores, além de ler e atualizar todas as propriedades na Impressão Microsoft

Técnico de Impressora

Os usuários com essa função podem registrar impressoras e gerenciar seus status na Solução de impressão universal da Microsoft. Eles também podem ler todas as informações do conector. Duas importantes tarefas que um Técnico de impressora não pode fazer é definir permissões de usuário em impressoras e compartilhar impressoras.

Ações Descrição
microsoft.azure.print/connectors/allProperties/read Ler todas as propriedades dos conectores na Impressão Microsoft
microsoft.azure.print/printers/allProperties/read Ler todas as propriedades das impressoras na Impressão Microsoft
microsoft.azure.print/printers/register Registrar impressoras na Impressão Microsoft
microsoft.azure.print/printers/unregister Cancelar o registro de impressoras na Impressão Microsoft
microsoft.azure.print/printers/basic/update Atualizar as propriedades básicas das impressoras na Impressão Microsoft

Administrador de Autenticação Privilegiada

Os usuários com esta função podem definir ou redefinir os métodos de autenticação (incluindo senhas) para qualquer usuário, incluindo Administradores Globais. Os Administradores de autenticação privilegiada podem forçar os usuários a se registrarem novamente em relação a uma credencial existente (como MFA ou FIDO) e revogar a opção de “lembrar MFA no dispositivo”, solicitando a MFA na próxima entrada de todos os usuários.

A função de Administrador de autenticação tem permissão para forçar o novo registro e a autenticação multifator para usuários padrão e usuários com algumas funções de administrador.

A função de Administrador de Política de Autenticação tem permissões para definir a política de método de autenticação do locatário, que determina quais métodos cada usuário pode registrar e usar.

Função Gerenciar os métodos de autenticação do usuário Gerenciar a MFA por usuário Gerenciar as configurações de MFA Gerenciar a política de método de autenticação Gerenciar a política de proteção de senha
Administrador de Autenticação Sim para alguns usuários (veja acima) Sim para alguns usuários (veja acima) Não Não Não
Administrador de Autenticação Privilegiada Sim para todos os usuários Sim para todos os usuários Não Não Não
Administrador de Política de Autenticação Não Não Sim Sim Sim

Importante

Usuários com essa função podem alterar credenciais de pessoas que podem ter acesso a informações confidenciais ou particulares ou a configurações críticas dentro e fora do Azure Active Directory. A alteração das credenciais de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:

  • Proprietários de Registro de Aplicativo e Aplicativos Empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Azure AD e em outro lugar que não foram concedidas a Administradores de Autenticação. Por esse caminho, um Administrador de Autenticação pode assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configurações críticas no Azure.
  • Proprietários de Grupos de Segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configurações críticas no Azure AD e em outros lugares.
  • Administradores em outros serviços fora do Azure AD, como o Exchange Online, a Segurança do Office e o Centro de Conformidade e sistemas de recursos humanos.
  • Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.

Importante

Atualmente, essa função não pode gerenciar a MFA por usuário no portal de gerenciamento herdado de MFA. As mesmas funções podem ser realizadas usando o módulo do PowerShell do Azure AD do commandlet Set-MsolUser.

Ações Descrição
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/strongAuthentication/update Atualizar a propriedade de autenticação forte para usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de função com privilégios

Usuários com essa função podem gerenciar as atribuições de função no Azure Active Directory, bem como Azure Active Directory Privileged Identity Management. Eles podem criar e gerenciar grupos que possam ser atribuídos a funções do Azure AD. Além disso, essa função permite o gerenciamento de todos os aspectos do Privileged Identity Management e de unidades administrativas.

Importante

Essa função concede a capacidade de gerenciar atribuições a todas as funções do Azure AD, incluindo a função de Administrador global. Essa função não inclui outras habilidades privilegiadas no Azure AD, como criar ou atualizar usuários. No entanto, os usuários atribuídos a essa função podem conceder a si mesmos ou aos privilégios adicionais de outras pessoas atribuindo funções adicionais.

Ações Descrição
microsoft.directory/administrativeUnits/allProperties/allTasks Criar e gerenciar unidades administrativas (incluindo membros)
microsoft.directory/authorizationPolicy/allProperties/allTasks Gerenciar todos os aspectos das políticas de autorização
microsoft.directory/directoryRoles/allProperties/allTasks Criar e excluir as funções do diretório, além de ler e atualizar todas as propriedades
microsoft.directory/groupsAssignableToRoles/create Criar grupos ao qual podem ser atribuídas funções
microsoft.directory/groupsAssignableToRoles/delete Excluir os grupos de funções atribuíveis
microsoft.directory/groupsAssignableToRoles/restore Restaurar os grupos de funções atribuíveis
microsoft.directory/groupsAssignableToRoles/allProperties/update Atualizar os grupos de funções atribuíveis
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Criar e excluir todos os recursos e ler e atualizar propriedades padrão no Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Criar e excluir as atribuições de função, além de ler e atualizar todas as propriedades de atribuição de função
microsoft.directory/roleDefinitions/allProperties/allTasks Criar e excluir as definições de função, além de ler e atualizar todas as propriedades
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Criar e excluir scopedRoleMemberships, além de ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/servicePrincipals/permissions/update Atualizar as permissões das entidades de serviço
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Conceder consentimento para qualquer permissão para qualquer aplicativo
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Leitor de Relatórios

Usuários com essa função podem exibir os dados de relatórios de uso e o painel de relatórios no Centro de administração do Microsoft 365 e o pacote de contexto de adoção no Power BI. Além disso, a função fornece acesso a relatórios de entrada e atividades no Azure AD e a dados retornados pela API de relatórios do Microsoft Graph. Um usuário atribuído à função Leitor de Relatórios pode acessar somente o uso relevante e as métricas de adoção. Eles não têm permissões de administrador para definir configurações ou acessar que os centros da administração de produtos específicos como o Exchange. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.

Ações Descrição
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Pesquisas

Os usuários com essa função têm acesso completo a todos os recursos de gerenciamento da Pesquisa da Microsoft no Centro de administração do Microsoft 365. Além disso, esses usuários podem exibir o centro de mensagens, monitorar a integridade de serviço e criar solicitações de serviço.

Ações Descrição
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.search/content/manage Criar e excluir o conteúdo, além de ler e atualizar todas as propriedades no Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Editor de Pesquisa

Os usuários com essa função podem criar, gerenciar e excluir conteúdo para a Pesquisa da Microsoft no Centro de administração do Microsoft 365, inclusive indicadores, perguntas e respostas e locais.

Ações Descrição
microsoft.office365.messageCenter/messages/read Ler as mensagens no Centro de Mensagens no centro de administração do Microsoft 365, exceto as mensagens de segurança
microsoft.office365.search/content/manage Criar e excluir o conteúdo, além de ler e atualizar todas as propriedades no Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de Segurança

Os usuários com essa função têm permissões para gerenciar recursos relacionados à segurança na Central de segurança do Microsoft 365, no Azure Active Directory Identity Protection, na autenticação do Azure Active Directory, na Proteção de Informações do Azure e no Centro de Conformidade e Segurança do Office 365. Mais informações sobre permissões do Office 365 estão disponíveis em Permissões no Centro de Conformidade e Segurança.

No O que ele pode fazer
Central de segurança do Microsoft 365 Monitorar políticas relacionadas a segurança em todos os serviços do Microsoft 365
Gerenciar alertas e ameaças de segurança
Exibir relatórios
Identity Protection Center Todas as permissões da função Leitor de Segurança
Além disso, a habilidade de executar todas as operações do Centro de Proteção de Identidade, exceto redefinir senhas
Privileged Identity Management Todas as permissões da função Leitor de Segurança
Não pode gerenciar atribuições de função ou configurações do Azure AD
Centro de Conformidade e Segurança do Office 365 Gerenciar políticas de segurança
Exibir, investigar e responder a ameaças de segurança
Exibir relatórios
Proteção Avançada contra Ameaças do Azure Monitorar e responder a atividades suspeitas de segurança
Windows Defender ATP e EDR Atribuir funções
Gerenciar grupos de computadores
Configurar a detecção de ameaças do ponto de extremidade e a correção automatizada
Exibir, investigar e responder a alertas
Intune Exibe informações de usuário, dispositivo, registro, configuração e aplicativo
Não pode fazer alterações no Intune
Cloud App Security Adicionar administradores, adicionar políticas e configurações, carregar logs e executar ações de governança
Integridade do serviço do Microsoft 365 Exibir a integridade dos serviços do Microsoft 365
Bloqueio inteligente Definir o limite e a duração de bloqueios quando ocorrerem eventos de entrada com falha.
Proteção por senha Configurar a lista personalizada de senhas proibidas ou a proteção de senha local.
Ações Descrição
microsoft.directory/applications/policies/update Atualizar políticas de aplicativos
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/entitlementManagement/allProperties/read Ler todas as propriedades no gerenciamento de direitos do Azure AD
microsoft.directory/identityProtection/allProperties/read Ler todos os recursos no Azure AD Identity Protection
microsoft.directory/identityProtection/allProperties/update Atualizar todos os recursos no Azure AD Identity Protection
microsoft.directory/policies/create Criar as políticas no Azure AD
microsoft.directory/policies/delete Excluir as políticas no Azure AD
microsoft.directory/policies/basic/update Atualizar as propriedades básicas nas políticas
microsoft.directory/policies/owners/update Atualizar os proprietários de políticas
microsoft.directory/policies/tenantDefault/update Atualizar as políticas da organização padrão
microsoft.directory/conditionalAccessPolicies/create Criar políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/delete Excluir as políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/standard/read Ler acesso condicional para políticas
microsoft.directory/conditionalAccessPolicies/owners/read Ler os proprietários das políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Ler a propriedade "aplicado a" para políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/basic/update Atualizar as propriedades básicas para políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/owners/update Atualizar proprietários para políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Atualizar o locatário padrão das políticas de acesso condicional
microsoft.directory/crossTenantAccessPolicies/create Criar as políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/delete Excluir as políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/standard/read Ler as propriedades básicas das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/owners/read Ler os proprietários das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read Ler a propriedade policyAppliedTo das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/basic/update Atualizar as propriedades básicas das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/owners/update Atualizar os proprietários das políticas de acesso entre locatários
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update Atualizar o locatário padrão das políticas de acesso entre locatários
microsoft.directory/privilegedIdentityManagement/allProperties/read Ler todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/servicePrincipals/policies/update Atualizar as políticas das entidades de serviço
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.protectionCenter/allEntities/standard/read Ler as propriedades padrão de todos os recursos nos Centros de Conformidade e Segurança
microsoft.office365.protectionCenter/allEntities/basic/update Atualizar as propriedades básicas de todos os recursos nos Centros de Conformidade e Segurança
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Criar e gerenciar os conteúdos de ataque no Simulador de Ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Ler os relatórios sobre simulação de ataque, respostas e treinamento associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Criar e gerenciar os modelos de simulação de ataque no Simulador de Ataques
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Operador de segurança

Os usuários com essa função podem gerenciar alertas e ter acesso global somente leitura aos recursos relacionados à segurança, incluindo todas as informações da central de segurança do Microsoft 365, do Azure Active Directory, do Identity Protection, do Privileged Identity Management e do Centro de Conformidade e Segurança do Office 365. Mais informações sobre permissões do Office 365 estão disponíveis em Permissões no Centro de Conformidade e Segurança.

No O que ele pode fazer
Central de segurança do Microsoft 365 Todas as permissões da função Leitor de Segurança
Exibir, investigar e responder a ameaças de segurança
Gerenciar configurações de segurança na Central de Segurança
Azure AD Identity Protection Todas as permissões da função Leitor de Segurança
Além disso, a habilidade de executar todas as operações do Centro de Proteção de Identidade, exceto redefinir senhas e configurar emails de alerta.
Privileged Identity Management Todas as permissões da função Leitor de Segurança
Centro de Conformidade e Segurança do Office 365 Todas as permissões da função Leitor de Segurança
Exibir, investigar e responder a alertas de segurança
Windows Defender ATP e EDR Todas as permissões da função Leitor de Segurança
Exibir, investigar e responder a alertas de segurança
Intune Todas as permissões da função Leitor de Segurança
Cloud App Security Todas as permissões da função Leitor de Segurança
Integridade do serviço do Microsoft 365 Exibir a integridade dos serviços do Microsoft 365
Ações Descrição
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/cloudAppSecurity/allProperties/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão Microsoft Cloud App Security
microsoft.directory/identityProtection/allProperties/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Azure AD Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Ler todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gerenciar todos os aspectos da Proteção Avançada contra Ameaças do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.intune/allEntities/read Ler todos os recursos no Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no Centro de Conformidade e Segurança do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gerenciar todos os aspectos do Microsoft Defender para Ponto de Extremidade

Leitor de segurança

Usuários com essa função têm acesso somente leitura global em recurso relacionado à segurança, incluindo todas as informações no centro de segurança do Microsoft 365, no Azure Active Directory, no Identity Protection e no Privileged Identity Management, bem como a capacidade de ler logs de auditoria e relatórios de entrada do Azure Active Directory e no Centro de Conformidade e Segurança do Office 365. Mais informações sobre permissões do Office 365 estão disponíveis em Permissões no Centro de Conformidade e Segurança.

No O que ele pode fazer
Central de segurança do Microsoft 365 Exibir políticas relacionadas à segurança em todos os serviços do Microsoft 365
Exibir alertas e ameaças de segurança
Exibir relatórios
Identity Protection Center Ler todos os relatórios de segurança e informações de configurações para recursos de segurança
  • Anti-spam
  • Criptografia
  • Prevenção de perda de dados
  • Antimalware
  • Proteção avançada contra ameaças
  • Antiphishing
  • Regras de fluxo de email
Privileged Identity Management Tem acesso somente leitura a todas as informações exibidas no Azure AD Privileged Identity Management: políticas e relatórios para atribuições de função e revisões de segurança do Azure AD.
Não pode se inscrever no Azure AD Privileged Identity Management nem o alterar. No portal do PIM ou por meio do PowerShell, alguém com essa função poderá ativar funções adicionais (por exemplo, administrador global ou administrador com função com privilégios) se o usuário for elegível para a elas.
Centro de Conformidade e Segurança do Office 365 Exibir políticas de segurança
Exibir e investigar ameaças de segurança
Exibir relatórios
Windows Defender ATP e EDR Exibir e investigar alertas. Ao ativar o controle de acesso baseado em função no Windows Defender ATP, os usuários com permissões somente leitura, como a função Leitor de segurança do Azure AD, perdem o acesso até que sejam atribuídos a uma função do Windows Defender ATP.
Intune Exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não pode fazer alterações no Intune.
Cloud App Security Tem permissões de leitura e pode gerenciar alertas
Integridade do serviço do Microsoft 365 Exibir a integridade dos serviços do Microsoft 365
Ações Descrição
microsoft.directory/auditLogs/allProperties/read Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/bitlockerKeys/key/read Ler os metadados e a chave do BitLocker nos dispositivos
microsoft.directory/entitlementManagement/allProperties/read Ler todas as propriedades no gerenciamento de direitos do Azure AD
microsoft.directory/identityProtection/allProperties/read Ler todos os recursos no Azure AD Identity Protection
microsoft.directory/policies/standard/read Ler as propriedades básicas nas políticas
microsoft.directory/policies/owners/read Ler os proprietários de políticas
microsoft.directory/policies/policyAppliedTo/read Ler a propriedade policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Ler acesso condicional para políticas
microsoft.directory/conditionalAccessPolicies/owners/read Ler os proprietários das políticas de acesso condicional
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Ler a propriedade "aplicado a" para políticas de acesso condicional
microsoft.directory/privilegedIdentityManagement/allProperties/read Ler todos os recursos no Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Ler todas as propriedades de logs de provisionamento
microsoft.directory/signInReports/allProperties/read Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoft.office365.protectionCenter/allEntities/standard/read Ler as propriedades padrão de todos os recursos nos Centros de Conformidade e Segurança
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Ler todas as propriedades dos conteúdos de ataque no Simulador de Ataques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Ler os relatórios sobre simulação de ataque, respostas e treinamento associado
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Ler todas as propriedades dos modelos de simulação de ataque no Simulador de Ataques
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de suporte a serviço

Usuários com essa função podem abrir solicitações de suporte com a Microsoft para serviços do Azure e do Microsoft 365, e exibir o painel de serviço e o centro de mensagens no portal do Azure e no centro de administração do Microsoft 365. Obtenha mais informações em Sobre funções de administrador.

Observação

Anteriormente, essa função era chamada de “Administrador de serviços” no portal do Azure e no centro de administração do Microsoft 365. Nós alteramos o nome para “Administrador de serviços” para um alinhamento com o nome existente na API do Microsoft Graph, na API do Graph do Azure AD e no PowerShell do Azure AD.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do SharePoint

Usuários com essa função têm permissões globais no Microsoft SharePoint Online, quando o serviço está presente, bem como a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço. Obtenha mais informações em Sobre funções de administrador.

Observação

Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é identificada como “Administrador de Serviços do SharePoint”. É "Administrador do SharePoint" no portal do Azure.

Observação

Essa função também concede permissões com escopo para a API do Microsoft Graph para Microsoft Intune, permitindo o gerenciamento e a configuração de políticas relacionadas aos recursos do SharePoint e do OneDrive.

Ações Descrição
microsoft.directory/groups.unified/create Criar os grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/delete Excluir os grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/restore Restaurar os grupos do Microsoft 365
microsoft.directory/groups.unified/basic/update Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/members/update Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/owners/update Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Criar e excluir todos os recursos, além de ler e atualizar as propriedades padrão no SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador do Skype for Business

Usuários com essa função têm permissões globais no Microsoft Skype for Business, quando o serviço está presente, além de gerenciar atributos de usuário específicos do Skype no Azure Active Directory. Além disso, essa função concede a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço, além de acessar o centro de administração do Skype for Business e do Teams. A conta também deve ser licenciada para o Teams ou não poderá executar os cmdlets do PowerShell do Teams. Mais informações em Sobre a função de administrador do Skype for Business e informações de licenciamento do Teams em licenciamento de complemento do Skype for Business e Microsoft Teams

Observação

Na API do Microsoft Graph e no PowerShell do Azure AD, essa função é identificada como “Administrador de Serviços do Lync”. É "Administrador do Skype for Business" no portal do Azure.

Ações Descrição
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
Microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspectos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de equipes

Usuários nessa função podem gerenciar todos os aspectos da carga de trabalho do Microsoft Teams pelo centro de administração do Microsoft Teams e Skype for Business e respectivos módulos do PowerShell. Isso inclui, entre outras áreas, todas as ferramentas de gerenciamento relacionadas a telefonia, mensagens, reuniões e às próprias equipes. Além disso, essa função concede a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar tíquetes de suporte e monitorar a integridade do serviço.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.directory/groups/hiddenMembers/read Ler os membros ocultos dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups.unified/create Criar os grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/delete Excluir os grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/restore Restaurar os grupos do Microsoft 365
microsoft.directory/groups.unified/basic/update Atualizar as propriedades básicas nos grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/members/update Atualizar os membros de grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/groups.unified/owners/update Atualizar os proprietários de grupos do Microsoft 365, exceto os grupos de funções atribuíveis
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Conceder a uma entidade de serviço o acesso direto aos dados de um grupo
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
Microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspectos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gerenciar todos os recursos no Teams

Administrador de Comunicações do Teams

Usuários nessa função podem gerenciar aspectos da carga de trabalho do Microsoft Teams relacionados a voz e telefonia. Isso inclui as ferramentas de gerenciamento para atribuição de número de telefone, políticas de reuniões e voz e acesso completo ao conjunto de ferramentas de análise de chamada.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
Microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspectos do Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Ler os relatórios de uso do Office 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Ler todos os dados no CQD (Painel de Qualidade de Chamadas)
microsoft.teams/meetings/allProperties/allTasks Gerenciar reuniões, incluindo configurações, pontes de conferência e políticas de reunião
microsoft.teams/voice/allProperties/allTasks Gerenciar recursos de voz, incluindo as políticas de chamada, a atribuição e o estoque de números de telefone

Engenheiro de Suporte de Comunicações do Teams

Usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams e Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no centro de administração do Microsoft Teams e Skype for Business. Os usuários nesta função podem exibir informações do registro de chamadas completas para todos os participantes envolvidos. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
Microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspectos do Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/allProperties/read Ler todos os dados no CQD (Painel de Qualidade de Chamadas)

Especialista em Suporte de Comunicações do Teams

Usuários nessa função podem solucionar problemas de comunicação no Microsoft Teams e Skype for Business usando as ferramentas de solução de problemas de chamada de usuário no centro de administração do Microsoft Teams e Skype for Business. Os usuários nessa função só podem exibir detalhes do usuário na chamada para o usuário específico que eles pesquisaram. Essa função não tem acesso para exibir, criar nem gerenciar tíquetes de suporte.

Ações Descrição
microsoft.directory/authorizationPolicy/standard/read Ler as propriedades padrão das políticas de autorização
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
Microsoft.office365.skypeForBusiness/allEntities/allTasks Gerenciar todos os aspectos do Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/callQuality/standard/read Ler os dados básicos no CQD (Painel de Qualidade de Chamadas)

Administrador de dispositivos do Teams

Os usuários com essa função podem gerenciar os dispositivos certificados do Teams no centro de administração do Teams. Essa função permite exibir todos os dispositivos em uma única visualização, com capacidade de pesquisar e filtrar dispositivos. Ele pode verificar os detalhes de cada dispositivo, incluindo a conta conectada, a marca e o modelo do dispositivo. O usuário pode alterar as configurações no dispositivo e atualizar as versões do software. Essa função não concede permissões para verificar a atividade do Teams e chamar a qualidade do dispositivo.

Ações Descrição
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365
microsoft.teams/devices/standard/read Gerenciar todos os aspectos dos dispositivos certificados para o Teams, incluindo as políticas de configuração

Leitor de Relatórios de Resumo de Uso

Os usuários com esta função podem acessar os dados agregados e os insights associados no nível do locatário no centro de administração do Microsoft 365 para obter a Pontuação de Utilização e Produtividade, mas não podem acessar os detalhes ou insights de nível de uso. No aentro de administração do Microsoft 365 para os dois relatórios, diferenciamos os dados agregados no nível de locatário e os detalhes de nível de usuário. Essa função fornece uma camada adicional de proteção para os dados de identificação de usuário individuais, que foram solicitados pelos clientes e pelas equipes legais.

Ações Descrição
microsoft.office365.network/performance/allProperties/read Ler todas as propriedades de desempenho de rede no centro de administração do Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Ler relatórios de uso do Office 365 agregados no nível dos locatários
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de usuários

Os usuários com essa função podem criar usuários e gerenciar todos os aspectos de usuários com algumas restrições (veja a tabela), além de poder atualizar as políticas de validade de senha. Além disso, os usuários com essa função podem criar e gerenciar todos os grupos. Essa função também inclui a capacidade de criar e gerenciar exibições de usuários, gerenciar tickets de suporte e monitorar a integridade do serviço. Os Administradores de usuários não têm permissão para gerenciar algumas propriedades de usuários na maioria das funções de administrador. O usuário com essa função não tem permissões para gerenciar a MFA. As funções que são exceções a essa restrição estão listadas na tabela a seguir.

Permissão do Administrador de Usuários Observações
Criar usuários e grupos
Criar e gerenciar modos de exibição do usuário
Gerenciar tíquetes de suporte do Office
Atualizar políticas de expiração de senha
Gerenciar licenças
Gerenciar todas as propriedades de usuário, exceto o nome Principal do usuário
Aplica-se a todos os usuários, incluindo todos os administradores
Excluir e restauração
Desativar e ativar
Gerenciar todas as propriedades de usuário, incluindo o nome Principal do usuário
Atualizar chaves de dispositivo FIDO)
Aplica-se a usuários que não são administradores ou que atuam em qualquer uma das seguintes funções:
  • Administrador de assistência técnica
  • Usuário sem função
  • Administrador de usuários
Invalidar Tokens de atualização
Redefinir senha
Para obter uma lista das funções para as quais um Administrador de Usuários pode redefinir senhas e invalidar tokens de atualização, confira Permissões de redefinição de senha.

Importante

Usuários com essa função podem alterar senhas de pessoas que podem ter acesso a informações confidenciais ou particulares ou a configurações críticas dentro e fora do Azure Active Directory. A alteração da senha de um usuário pode significar a capacidade de assumir a identidade e as permissões do usuário. Por exemplo:

  • Proprietários de Registro de Aplicativo e Aplicativos Empresariais, que podem gerenciar credenciais de aplicativos que eles possuem. Esses aplicativos podem ter permissões privilegiadas no Azure AD e em outro lugar, não concedida a Administradores de Usuário. Por esse caminho, um Administrador de Usuário pode ser capaz de assumir a identidade de um proprietário de aplicativo e, depois, assumir a identidade de um aplicativo com privilégios, atualizando as credenciais do aplicativo.
  • Proprietários de assinaturas do Azure, que podem ter acesso a informações confidenciais ou privadas ou configurações críticas no Azure.
  • Proprietários de Grupos de Segurança e de Grupos do Microsoft 365, que podem gerenciar a associação de grupo. Esses grupos podem conceder acesso a informações confidenciais ou privadas ou configurações críticas no Azure AD e em outros lugares.
  • Administradores em outros serviços fora do Azure AD, como o Exchange Online, a Segurança do Office e o Centro de Conformidade e sistemas de recursos humanos.
  • Não administradores, como executivos, o departamento jurídico e os funcionários de recursos humanos, que podem ter acesso a informações confidenciais ou privadas.
Ações Descrição
microsoft.directory/contacts/create Criar os contatos
microsoft.directory/contacts/delete Excluir os contatos
microsoft.directory/contacts/basic/update Atualizar as propriedades básicas nos contatos
microsoft.directory/entitlementManagement/allProperties/allTasks Criar e excluir os recursos, além de ler e atualizar todas as propriedades no gerenciamento de direitos do Azure AD
microsoft.directory/groups/assignLicense Atribuir as licenças de produto a grupos para licenciamento baseado em grupo
microsoft.directory/groups/create Criar grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/delete Excluir grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/hiddenMembers/read Ler os membros ocultos dos grupos de Segurança e dos grupos do Microsoft 365, incluindo os grupos de atribuições de função
microsoft.directory/groups/reprocessLicenseAssignment Reprocessar as atribuições de licença para licenciamento baseado em grupo
microsoft.directory/groups/restore Restaurar grupos excluídos
microsoft.directory/groups/basic/update Atualizar propriedades básicas nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/classification/update Atualizar propriedades de classificação nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/dynamicMembershipRule/update Atualizar a regra de associação dinâmica nos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/groupType/update Atualizar propriedades que poderiam afetar o tipo de grupo dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/members/update Atualizar membros dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/onPremWriteBack/update Atualize grupos do Azure Active Directory a serem gravados no local com Azure AD Connect
microsoft.directory/groups/owners/update Atualizar proprietários dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/groups/settings/update Atualizar as configurações de grupos
microsoft.directory/groups/visibility/update Atualizar a propriedade de visibilidade dos grupos de segurança e do Microsoft 365, excluindo grupos atribuíveis a funções
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Criar e excluir as concessões de permissão do OAuth 2.0, além de ler e atualizar todas as propriedades
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Atualizar as atribuições de função da entidade de serviço
microsoft.directory/users/assignLicense Gerenciar licenças do usuário
microsoft.directory/users/create Adicionar usuários
microsoft.directory/users/delete Excluir usuários
microsoft.directory/users/disable Desabilitar os usuários
microsoft.directory/users/enable Habilitar os usuários
microsoft.directory/users/inviteGuest Convidar usuários convidados
microsoft.directory/users/invalidateAllRefreshTokens Forçar a saída invalidando os tokens de atualização do usuário
microsoft.directory/users/reprocessLicenseAssignment Reprocessar as atribuições de licença para usuários
microsoft.directory/users/restore Restaurar os usuários excluídos
microsoft.directory/users/basic/update Atualizar as propriedades básicas nos usuários
microsoft.directory/users/manager/update Atualizar o gerenciador para usuários
microsoft.directory/users/password/update Redefinir as senhas de todos os usuários
microsoft.directory/users/photo/update Atualizar foto dos usuários
microsoft.directory/users/userPrincipalName/update Atualizar o nome UPN dos usuários
microsoft.azure.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço do Azure
microsoftmicrosoft.azure.supportTickets/allEntities/allTasks.azure.supportTickets/allEntities/allTasks Criar e gerenciar tíquetes de suporte de Azure
microsoft.office365.serviceHealth/allEntities/allTasks Ler e configurar a Integridade do Serviço no centro de administração do Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Criar e gerenciar as solicitações de serviço do Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Ler as propriedades básicas em todos os recursos no centro de administração do Microsoft 365

Administrador de implantação do Windows Update

Usuários nessa função podem criar e gerenciar todos os aspectos das implantações do Windows Update pelo serviço Windows Update para Empresas. O serviço de implantação permite que os usuários definam configurações para quando e como as atualizações são implantadas e especifiquem quais atualizações são oferecidas aos grupos de dispositivos no seu locatário. Ele também permite que os usuários monitorem o progresso da atualização.

Ações Descrição
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Ler e configurar todos os aspectos do serviço Windows Update

Como compreender as permissões de função

O esquema para permissões segue vagamente o formato REST do Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Por exemplo:

microsoft.directory/applications/credentials/update

Elemento de permissão Descrição
namespace Produto ou serviço que expõe a tarefa e está anexado a microsoft. Por exemplo, todas as tarefas no Azure AD usam o namespace microsoft.directory.
entidade Componente ou recurso lógico exposto pelo serviço no Microsoft Graph. Por exemplo, o Azure AD expõe usuários e grupos, o OneNote expõe observações e o Exchange expõe caixas postais e calendários. Há uma palavra-chave especial allEntities para especificar todas as entidades em um namespace. Ela geralmente é usada nas funções que concedem acesso a um produto inteiro.
propertySet Propriedades ou aspectos específicos da entidade à qual o acesso está sendo concedido. Por exemplo, microsoft.directory/applications/authentication/read concede a capacidade de ler a URL de resposta, a URL de logoff e a propriedade de fluxo implícito no objeto de aplicativo no Azure AD.
  • allProperties designa todas as propriedades da entidade, incluindo as propriedades privilegiadas.
  • standard designa as propriedades comuns, mas exclui as privilegiadas relacionadas à ação read. Por exemplo, microsoft.directory/user/standard/read inclui a capacidade de ler as propriedades padrão, como número de telefone público e endereço de email, mas não o número de telefone secundário privado ou o endereço de email usado para autenticação multifator.
  • basic designa as propriedades comuns, mas exclui as privilegiadas relacionadas à ação update. O conjunto de propriedades que você pode ler pode ser diferente do que você pode atualizar. Por isso, existem as palavras-chave standard e basic para refletir isso.
ação Operação sendo concedida, geralmente CRUD (create, read, update, or delete). Há uma palavra-chave especial allTasks para especificar todas as capacidades acima (criar, ler, atualizar e excluir).

Funções preteridas

As seguintes funções não devem ser usadas. Eles foram preteridos e serão removidos do AD do Azure no futuro.

  • Administrador de Licenças AdHoc
  • Ingresso de Dispositivo
  • Gerenciadores de Dispositivo
  • Usuários de Dispositivo
  • Criador de Usuário Verificado por Email
  • Administrador de caixa de correio
  • Ingresso no Dispositivo no Local de Trabalho

Funções não exibidas no portal

Nem todas as funções retornadas pelo PowerShell ou pela API do MS Graph ficam visíveis no portal do Azure. A tabela a seguir organiza essas diferenças.

Nome da API Nome do portal do Azure Observações
Ingresso de Dispositivo Preterido Documentação de funções preteridas
Gerenciadores de Dispositivo Preterido Documentação de funções preteridas
Usuários de Dispositivo Preterido Documentação de funções preteridas
Contas de sincronização de diretório Não exibido porque não deve ser usado Documentação de Contas de sincronização de diretório
Usuário Convidado Não exibido porque não pode ser usado NA
Suporte ao parceiro de Nível 1 Não exibido porque não deve ser usado Documentação do Suporte de nível 1 ao parceiro
Suporte ao parceiro de Nível 2 Não exibido porque não deve ser usado Documentação do Suporte de nível 2 ao parceiro
Usuário convidado restrito Não exibido porque não pode ser usado NA
Usuário Não exibido porque não pode ser usado NA
Ingresso no Dispositivo no Local de Trabalho Preterido Documentação de funções preteridas

Permissões de redefinição de senha

Os títulos de coluna representam as funções que podem redefinir senhas. As linhas da tabela contêm as funções para as quais a senha pode ser redefinida.

A senha pode ser redefinida Administrador de Senha Administrador de Assistência Técnica Administrador de Autenticação Usuário Administrador Administrador de Autenticação Privilegiada Administrador global
Administrador de Autenticação     ✔️   ✔️ ✔️
Leitores de Diretório ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrador global         ✔️ ✔️*
Administrador de Grupos       ✔️ ✔️ ✔️
Emissor do Convite ao Convidado ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrador de Assistência Técnica   ✔️   ✔️ ✔️ ✔️
Leitor do Centro de Mensagens   ✔️ ✔️ ✔️ ✔️ ✔️
Administrador de Senha ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrador de Autenticação Privilegiada         ✔️ ✔️
Administrador de Função com Privilégios         ✔️ ✔️
Leitor de Relatórios   ✔️ ✔️ ✔️ ✔️ ✔️
Usuário
(sem função de administrador)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Usuário
(sem função de administrador, mas membro de um grupo de função atribuível)
        ✔️ ✔️
Usuário Administrador       ✔️ ✔️ ✔️
Leitor de Relatórios de Resumo de Uso   ✔️ ✔️ ✔️ ✔️ ✔️

* Um Administrador Global não pode remover sua própria atribuição de Administrador Global. Isso é para evitar que uma organização não tenha Administradores Globais.

Próximas etapas