Compreender funções no Microsoft Entra ID
Existem cerca de 60 funções incorporadas do Microsoft Entra, que são funções com um conjunto fixo de permissões de função. Para complementar as funções incorporadas, o Microsoft Entra ID também suporta funções personalizadas. Use funções personalizadas para selecionar as permissões de função desejadas. Por exemplo, você pode criar um para gerenciar recursos específicos do Microsoft Entra, como aplicativos ou entidades de serviço.
Este artigo explica o que são funções do Microsoft Entra e como elas podem ser usadas.
Como as funções do Microsoft Entra são diferentes de outras funções do Microsoft 365
Há muitos serviços diferentes no Microsoft 365, como o Microsoft Entra ID e o Intune. Alguns desses serviços têm seus próprios sistemas de controle de acesso baseados em funções, especificamente:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Portal do Microsoft 365 Defender
- Portal de conformidade
- Gestão de Custos + Faturação
Outros serviços, como o Teams, o SharePoint e o Managed Desktop, não têm sistemas de controle de acesso baseados em funções separados. Eles usam funções do Microsoft Entra para seu acesso administrativo. O Azure tem seu próprio sistema de controle de acesso baseado em função para recursos do Azure, como máquinas virtuais, e esse sistema não é o mesmo que as funções do Microsoft Entra.
Quando dizemos sistema de controle de acesso baseado em função separada. Isso significa que há um armazenamento de dados diferente onde as definições de função e as atribuições de função são armazenadas. Da mesma forma, há um ponto de decisão política diferente onde as verificações de acesso acontecem. Para obter mais informações, consulte Funções para serviços do Microsoft 365 em funções do Microsoft Entra ID e do Azure, funções do Microsoft Entra e funções de administrador de assinatura clássicas.
Por que algumas funções do Microsoft Entra são para outros serviços
O Microsoft 365 tem vários sistemas de controle de acesso baseados em funções que se desenvolveram de forma independente ao longo do tempo, cada um com seu próprio portal de serviços. Para tornar conveniente para você gerenciar a identidade no Microsoft 365 a partir do centro de administração do Microsoft Entra, adicionamos algumas funções internas específicas do serviço, cada uma das quais concede acesso administrativo a um serviço do Microsoft 365. Um exemplo dessa adição é a função de Administrador do Exchange no Microsoft Entra ID. Essa função é equivalente ao grupo de funções Gerenciamento da Organização no sistema de controle de acesso baseado em função do Exchange e pode gerenciar todos os aspetos do Exchange. Da mesma forma, adicionamos a função de Administrador do Intune, Administrador do Teams, Administrador do SharePoint e assim por diante. As funções específicas do serviço são uma categoria de funções internas do Microsoft Entra na seção a seguir.
Categorias de funções do Microsoft Entra
As funções internas do Microsoft Entra diferem em onde podem ser usadas, que se enquadram nas três categorias gerais a seguir.
- Funções específicas do Microsoft Entra ID: essas funções concedem permissões para gerenciar recursos somente no Microsoft Entra. Por exemplo, Administrador de Usuário, Administrador de Aplicativos, Administrador de Grupos concedem permissões para gerenciar recursos que vivem no Microsoft Entra ID.
- Funções específicas do serviço: para os principais serviços do Microsoft 365 (não Azure AD), criamos funções específicas do serviço que concedem permissões para gerenciar todos os recursos do serviço. Por exemplo, as funções de Administrador do Exchange, Administrador do Intune, Administrador do SharePoint e Administrador de Equipes podem gerenciar recursos com seus respetivos serviços. O Administrador do Exchange pode gerenciar caixas de correio, o Administrador do Intune pode gerenciar políticas de dispositivo, o Administrador do SharePoint pode gerenciar conjuntos de sites, o Administrador do Teams pode gerenciar qualidades de chamada e assim por diante.
- Funções entre serviços: há algumas funções que abrangem serviços. Temos duas funções globais - Administrador Global e Leitor Global. Todos os serviços do Microsoft 365 seguem estas duas funções. Além disso, existem algumas funções relacionadas à segurança, como Administrador de Segurança e Leitor de Segurança, que concedem acesso em vários serviços de segurança no Microsoft 365. Por exemplo, usando funções de Administrador de Segurança no Microsoft Entra ID, você pode gerenciar o portal Microsoft 365 Defender, a Proteção Avançada contra Ameaças do Microsoft Defender e o Microsoft Defender for Cloud Apps. Da mesma forma, na função Administrador de Conformidade, você pode gerenciar configurações relacionadas à Conformidade no Portal de Conformidade, no Exchange e assim por diante.
A tabela a seguir é oferecida como uma ajuda para entender essas categorias de funções. As categorias são nomeadas arbitrariamente e não se destinam a implicar quaisquer outros recursos além das permissões de função documentadas do Microsoft Entra.
| Categoria | Role |
|---|---|
| Funções específicas do Microsoft Entra ID | Administrador da Aplicação Programador de Aplicações Administrador de Autenticação Administrador de Conjuntos de Chaves B2C IEF Administrador de Políticas B2C IEF Administrador de Aplicações na Cloud Administrador de dispositivos na nuvem Administrador de Acesso Condicional Administradores de dispositivos Leitores de Diretório Contas de sincronização de diretórios Escritores de Diretórios Administrador de fluxo de usuário de ID externo Administrador de Atributos de Fluxo de Usuário de ID Externo Administrador de Provedor de Identidade Externo Administrador de Grupos Convidado Inviter Administrador do Helpdesk Administrador de identidade híbrida Administrador de Licenças Suporte de nível 1 do parceiro Suporte de nível 2 do parceiro Administrador de senha Administrador de Autenticação Privilegiada Administrador de Funções com Privilégios Leitor de Relatórios Administrador de Utilizadores |
| Funções entre serviços | Administrador Global do Administrador de conformidade Administrador de dados de conformidade Leitor Global Administrador de Segurança Operador de Segurança Leitor de Segurança Administrador de Suporte de Serviços |
| Funções específicas do serviço | Administrador de DevOps do Azure Administrador de Proteção de Informações do Azure Administrador de Faturação Administrador de Serviços CRM Aprovador de Acesso ao Customer Lockbox Administrador do Desktop Analytics Administrador de Serviços do Exchange Administrador de Insights Líder de Negócios Insights Administrador de Serviços do Intune Kaizala Administrador Administrador de Serviço do Lync Leitor de Privacidade do Centro de Mensagens Leitor do Centro de Mensagens Administrador de Comércio Moderno Administrador de Redes Administrador de Aplicativos do Office Administrador de Serviços do Power BI Administrador da Power Platform Administrador de Impressoras Técnico de Impressão Administrador de Pesquisa Editor de Pesquisa Administrador de Serviços do SharePoint Administrador de Comunicações do Teams Engenheiro de Suporte de Comunicação de Equipes Especialista em Suporte de Comunicação de Equipes Administrador de dispositivos do Teams Administrador de Equipas |