Gerenciar políticas de assinatura do Azure
Este artigo ajuda você a configurar políticas de assinatura do Azure para operações de assinatura para controlar a movimentação de assinaturas do Azure bidirecionalmente em diretórios.
Pré-requisitos
- Somente os administradores globais de diretório podem editar políticas de assinatura. Antes de editar as políticas de assinatura, o administrador global precisa Elevar o acesso para gerenciar todas as assinaturas e os grupos de gerenciamento do Azure. Em seguida, ele poderá editar políticas de assinatura.
- Todos os outros usuários só podem ler a configuração de política atual.
Configurações disponíveis da política de assinatura
Use as configurações de política a seguir para controlar a movimentação de assinaturas do Azure nos diretórios.
Assinaturas saindo de um diretório de ID do Microsoft Entra
A política permite ou impede que os usuários movam assinaturas para fora do diretório atual. Os proprietários da assinatura podem alterar o diretório de uma assinatura do Azure para outra da qual sejam membros. Isso apresenta desafios de governança, de modo que os administradores globais podem permitir ou impedir que os usuários do diretório alterem o diretório.
Assinaturas inserindo um diretório de ID do Microsoft Entra
A política permite ou impede os usuários de outros diretórios, que têm acesso no diretório atual, de mover assinaturas para o diretório atual. Os proprietários da assinatura podem alterar o diretório de uma assinatura do Azure para outra da qual sejam membros. Isso apresenta desafios de governança, de modo que os administradores globais podem permitir ou impedir que os usuários do diretório alterem o diretório.
Usuários isentos
Por motivos de governança, os administradores globais podem bloquear todas as movimentações de diretório de assinatura bidirecionalmente no diretório atual. No entanto, eles podem desejar permitir que usuários específicos realizem essas operações. Para uma dessas situações, eles podem configurar uma lista de usuários isentos que permite que os usuários ignorem a configuração de política que se aplica a todos os outros.
Como definir uma política de assinatura
- Entre no portal do Azure.
- Navegue até Assinaturas. Gerenciar Políticas é mostrado na barra de comandos.
- Selecione Gerenciar Políticas para ver detalhes sobre as políticas de assinatura atuais definidas para o diretório. Um administrador global com permissões elevadas pode fazer edições nas configurações, incluindo adicionar ou remover usuários isentos.
- Escolha Salvar alterações na parte inferior para salvar as alterações. As alterações entrarão em vigor imediatamente.
Ler uma política de assinatura
Os administradores não globais ainda podem navegar até a área da política de assinatura para ver as configurações da política do diretório. Eles não podem fazer nenhuma edição. Além disso, não podem ver a lista de usuários isentos por motivos de privacidade. Eles podem ver os administradores globais para enviar solicitações de alterações de política, desde que as configurações do diretório permitam isso.