Entender as funções no Microsoft Entra ID
Há cerca de 60 funções internas do Microsoft Entra, que são funções com um conjunto fixo de permissões de função. Para complementar as funções internas, a ID do Microsoft Entra também dá suporte a funções personalizadas. Use funções personalizadas para selecionar as permissões de função que você deseja. Por exemplo, você pode criar uma para gerenciar recursos específicos do Microsoft Entra, como aplicativos ou entidades de serviço.
Este artigo explica o que são as funções do Microsoft Entra e como elas podem ser usadas.
Diferenças entre as funções do Microsoft Entra e outras funções do Microsoft 365
Há vários serviços diferentes no Microsoft 365, como a ID do Microsoft Entra e o Intune. Alguns desses serviços têm os próprios sistemas de controle de acesso baseado em função, especificamente:
- ID do Microsoft Entra
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Portal do Microsoft 365 Defender
- Portal de conformidade
- Gerenciamento de Custos + cobrança
Outros serviços, como o Teams, o SharePoint e a Área de Trabalho Gerenciada, não têm sistemas de controle de acesso baseado em função separados. Eles usam as funções do Microsoft Entra para o acesso administrativo. O Azure tem um sistema próprio de controle de acesso baseado em função para recursos do Azure, como máquinas virtuais, e esse sistema não é o mesmo que as funções do Microsoft Entra.
Quando dizemos sistema de controle de acesso baseado em função separado, isso significa que há um armazenamento de dados diferente no qual as definições e atribuições de função são armazenadas. Da mesma forma, há um ponto de decisão de política diferente no qual as verificações de acesso acontecem. Para obter mais informações, confira Funções para serviços do Microsoft 365 na ID do Microsoft Entra e Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássicas.
Por que algumas funções do Microsoft Entra se destinam a outros serviços
O Microsoft 365 tem vários sistemas de controle de acesso baseado em função que foram desenvolvidos independentemente ao longo do tempo, cada um com o próprio portal de serviço. Para que seja conveniente para você gerenciar a identidade no Microsoft 365 a partir do centro de administração do Microsoft Entra, adicionamos algumas funções internas específicas do serviço, cada uma das quais concede acesso administrativo a um serviço do Microsoft 365. Um exemplo dessa adição é a função Administrador do Exchange da ID do Microsoft Entra. Essa função é equivalente ao grupo de funções de Gerenciamento da Organização no sistema de controle de acesso baseado em função do Exchange e pode gerenciar todos os aspectos do Exchange. Da mesma forma, adicionamos a função Administrador do Intune, Administrador do Teams, Administrador do SharePoint e assim por diante. As funções específicas do serviço são uma categoria de funções internas do Microsoft Entra que serão mostradas na seção a seguir.
Categorias das funções do Microsoft Entra
As funções integradas do Microsoft Entra diferem entre si de acordo com os locais onde podem ser usadas, que se enquadram nas três categorias abrangentes a seguir.
- Funções específicas da ID do Microsoft Entra: essas funções concedem permissões para gerenciar recursos somente no Microsoft Entra. Por exemplo, Administrador de Usuários, Administrador de Aplicativos, Administrador de Grupos concedem permissões para gerenciar recursos que residem no Microsoft Entra ID.
- Funções específicas do serviço: Para os principais serviços do Microsoft 365 (não Azure AD), criamos funções específicas de serviço que concedem permissões para gerenciar todos os recursos no serviço. Por exemplo, as funções de administrador do Exchange, do Intune, do SharePoint e do Teams podem gerenciar recursos em seus respectivos serviços. O administrador do Exchange pode gerenciar caixas de correio, o administrador do Intune pode gerenciar políticas de dispositivo, o administrador do SharePoint pode gerenciar conjuntos de sites, o administrador do Teams pode gerenciar qualidades de chamadas e assim por diante.
- Funções entre serviços: Há algumas funções que abrangem serviços. Temos duas funções globais: Administrador global e Leitor Global. Todos os serviços do Microsoft 365 têm essas duas funções. Além disso, há algumas funções relacionadas à segurança, como o Administrador de Segurança e o Leitor de Segurança que permitem acesso entre vários serviços de segurança no Microsoft 365. Por exemplo, usando as funções do administrador da segurança na ID do Microsoft Entra, você pode gerenciar o portal do Microsoft 365 Defender, a Proteção Avançada contra Ameaças do Microsoft Defender e o Microsoft Defender for Cloud Apps. Da mesma forma, na função Administrador de Conformidade, você pode gerenciar configurações relacionadas à conformidade no portal de conformidade, no Exchange e assim por diante.
A tabela a seguir é auxilia o entendimento dessas categorias de função. As categorias são nomeadas arbitrariamente e não se destinam a implicar outras funcionalidades além das permissões de função do Microsoft Entra documentadas.
| Categoria | Função |
|---|---|
| Funções específicas da ID do Microsoft Entra | Administrador de aplicativos Desenvolvedor de aplicativos Administrador de Autenticação Administrador de Conjunto de Chaves do IEF B2C Administrador de Política do IEF B2C Administrador de Aplicativos de Nuvem Administrador de Dispositivo de Nuvem Administrador de Acesso Condicional Administradores de Dispositivo Leitores de Diretório Contas de sincronização de diretório Gravadores de diretório Administrador de fluxo do usuário de ID externa Administrador de atributo de fluxo do usuário de ID externa Administrador do Provedor de Identidade Externa Administrador de Grupos Emissor do Convite ao Convidado Administrador de assistência técnica Administrador de Identidade Híbrida Administrador de Licenças Suporte de camada 1 do parceiro Suporte de camada 2 do parceiro Administrador de senha Administrador de Autenticação Privilegiada Administrador de função com privilégios Leitor de Relatórios Administrador de usuários |
| Funções entre serviços | Administrador Global Administrador de conformidade Administrador de dados de conformidade Leitor global Administrador de Segurança Operador de Segurança Leitor de segurança Administrador de suporte a serviço |
| Funções específicas do serviço | Administrador do Azure DevOps Administrador da Proteção de Informações do Azure Administrador de cobrança Administrador de serviços do CRM Aprovador de acesso do Sistema de Proteção de Dados do Cliente Administrador de Análise de Área de Trabalho Administrador de serviços do Exchange Administrador do Insights Líder de negócios do Insights Administrador de serviços do Intune Administrador do Kaizala Administrador de serviços do Lync Leitor de Privacidade do Centro de Mensagens Leitor do Centro de Mensagens Administrador de Comércio Moderno Administrador de Rede Administrador de Aplicativos do Office Administrador de serviços do Power BI Administrador do Power Platform Administrador de Impressora Técnico de Impressora Administrador de Pesquisas Editor de Pesquisa Administrador de serviços do SharePoint Administrador de Comunicações do Teams Engenheiro de Suporte de Comunicações do Teams Especialista em Suporte de Comunicações do Teams Administrador de dispositivos do Teams Administrador de equipes |