Funções do Azure, funções do Microsoft Entra e funções clássicas de administrador de assinatura
Se você for novo no Azure, poderá ter alguma dificuldade em entender todas as diferentes funções no Azure. Este artigo ajuda a explicar as funções e quando usar cada uma:
- Funções do Azure
- Funções do Microsoft Entra
- Funções de administrador de assinatura Clássico
Como as funções estão relacionadas
Para entender melhor as funções no Azure, é bom conhecer sua história. Quando o Azure foi lançado inicialmente, o acesso aos recursos era gerenciado com apenas três funções de administrador: Administrador da conta, administrador de serviços e coadministrador. Posteriormente, o RBAC do Azure (controle de acesso baseado em função do Azure) foi adicionado. O Azure RBAC é um sistema de autorização mais recente que fornece gerenciamento de acesso refinado para recursos do Azure. O RBAC do Azure inclui muitas funções internas, pode ser atribuído em escopos diferentes e permite que você crie funções personalizadas próprias. Para gerenciar recursos no Microsoft Entra ID, como usuários, grupos e domínios, há várias funções do Microsoft Entra.
O diagrama a seguir é uma exibição de alto nível de como as funções do Azure, as funções do Microsoft Entra e as funções clássicas de administrador de assinatura estão relacionadas.
Funções do Azure
O Azure RBAC é um sistema de autorização baseado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos do Azure, como computação e armazenamento. O Azure RBAC inclui mais de 100 funções internas. Há cinco funções fundamentais do Azure. As três primeiras se aplicam a todos os tipos de recursos:
| Função do Azure | Permissões | Observações |
|---|---|---|
| Proprietário |
|
O administrador de serviços e os coadministradores recebem a função de Proprietário no escopo da assinatura Aplica-se a todos os tipos de recurso. |
| Colaborador |
|
Aplica-se a todos os tipos de recurso. |
| Leitor |
|
Aplica-se a todos os tipos de recurso. |
| Administrador de controle de acesso baseado em função |
|
|
| Administrador de Acesso do Usuário |
|
As demais funções internas permitem o gerenciamento de recursos específicos do Azure. Por exemplo, a função Colaborador de Máquina Virtual permite que o usuário crie e gerencie máquinas virtuais. Para obter uma lista de todas as funções internas, confira Funções internas do Azure.
Somente o Portal do Azure e as APIs do Azure Resource Manager dão suporte ao RBAC do Azure. Os usuários, grupos e aplicativos aos quais são atribuídas funções do Azure não podem usar as APIs do modelo de implantação clássico do Azure.
No portal do Azure, as atribuições de função usando o RBAC do Azure aparecem no painel Controle de acesso (IAM). Esse painel pode ser encontrado em todo o portal, por exemplo, em grupos de gerenciamento, assinaturas, grupos de recursos e vários recursos.
Quando você clicar na guia Funções, verá a lista de funções internas e personalizadas.
Para obter mais informações, confira Atribuir funções do Azure usando o portal do Azure.
Funções do Microsoft Entra
As funções do Microsoft Entra são usadas para gerenciar recursos do Microsoft Entra em um diretório, como criar ou editar usuários, atribuir funções administrativas a outras pessoas, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios. A tabela a seguir descreve algumas das funções mais importantes do Microsoft Entra.
| Função do Microsoft Entra | Permissões | Observações |
|---|---|---|
| Administrador global |
|
A pessoa que se inscreve no locatário do Microsoft Entra torna-se um administrador global. |
| Administrador de usuários |
|
|
| Administrador de cobrança |
|
No portal do Azure, você pode ver a lista de funções do Microsoft Entra na página Funções e administradores. Para obter uma lista de todas as funções do Microsoft Entra, consulte Permissões de função de administrador no Microsoft Entra ID.
Diferenças entre as funções do Azure e as funções do Microsoft Entra
Em um nível alto, as funções do Azure controlam permissões para gerenciar recursos do Azure, enquanto as funções do Microsoft Entra controlam permissões para gerenciar recursos do Microsoft Entra. A tabela a seguir compara algumas das diferenças.
| Funções do Azure | Funções do Microsoft Entra |
|---|---|
| Gerenciar o acesso aos recursos do Azure | Gerenciar o acesso aos recursos do Microsoft Entra |
| Dá suporte a funções personalizadas | Dá suporte a funções personalizadas |
| O escopo pode ser especificado em vários níveis (grupo de gerenciamento, assinatura, grupo de recursos e recursos) | O escopo pode ser especificado no nível do locatário (em toda a organização), na unidade administrativa ou em um objeto individual (por exemplo, um aplicativo específico) |
| As informações de função podem ser acessadas no portal do Azure, na CLI do Azure, no Azure PowerShell, nos modelos do Azure Resource Manager, na API REST | As informações de função podem ser acessadas no portal do Azure, Centro de administração do Microsoft Entra, Centro de administração do Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
As funções do Azure e as funções do Microsoft Entra se sobrepõem?
Por padrão, as funções do Azure e as funções do Microsoft Entra não abrangem o Azure e o Microsoft Entra ID. No entanto, se um Administrador global elevar o acesso escolhendo a opção Gerenciamento de acesso para os recursos do Azure no portal do Azure, ele receberá a função Administrador de Acesso do Usuário (uma função do Azure) em todas as assinaturas de um locatário específico. A função de Administrador de Acesso do Usuário permite que o usuário conceda a outros usuários o acesso aos recursos do Azure. Essa opção pode ser útil para recuperar o acesso a uma assinatura. Para obter mais informações, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.
Várias funções do Microsoft Entra abrangem o Microsoft Entra ID e o Microsoft 365, como as funções de administrador global e admistrador de usuário. Por exemplo, se você for membro da função administrador global, terá recursos de administrador global no Microsoft Entra ID e no Microsoft 365, como fazer alterações no Microsoft Exchange e no Microsoft SharePoint. No entanto, por padrão, o Administrador Global não tem acesso aos recursos do Azure.
Funções de administrador de assinatura Clássico
Importante
A partir de 31 de agosto de 2024, as funções de administrador clássico do Azure (juntamente com recursos clássicos do Azure e o Azure Service Manager) estão desativadas e não têm mais suporte. Se você ainda tiver atribuições de função ativas de Coadministrador ou Administrador de serviços, converta imediatamente essas atribuições de função para o RBAC do Azure.
Para obter mais informações, veja Administradores de assinatura clássicos do Azure.
Administrador de Conta, Administrador de Serviços e Coadministrador são as três funções clássicas de administrador de assinatura no Azure. Os administradores de assinatura clássicos têm acesso total à assinatura do Azure. Eles podem gerenciar recursos usando o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implantação clássico. A conta usada para se inscrever no Azure é definida automaticamente como Administrador da Conta e Administrador de Serviços. Depois, outros Coadministradores podem ser adicionados. O administrador de serviços e os coadministradores têm o acesso equivalente ao de usuários que receberam a função de Proprietário (uma função do Azure) no escopo da assinatura. A tabela a seguir descreve as diferenças entre essas três funções administrativas de assinatura clássico.
| Administrador de assinatura clássico | Limite | Permissões | Observações |
|---|---|---|---|
| Administrador de conta | 1 por conta do Azure |
|
Conceitualmente, o proprietário de cobrança da assinatura. |
| Administrador de serviços | 1 por assinatura do Azure |
|
Por padrão, para uma nova assinatura, o Administrador da Conta também é o Administrador de Serviços. O administrador de serviço tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura. O Administrador de Serviços não tem acesso completo ao portal do Azure. |
| Coadministrador | 200 por assinatura |
|
O coadministrador tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura. |
No portal do Azure, você pode gerenciar Coadministradores ou exibir o Administrador de Serviços usando a guia Administradores clássicos.
Para obter mais informações, veja Administradores de assinatura clássicos do Azure.
Conta do Azure e assinaturas do Azure
Uma conta do Azure é usada para estabelecer um relacionamento de cobrança. Uma conta do Azure é uma identidade de usuário, uma ou mais assinaturas do Azure e um conjunto de recursos do Azure associado. A pessoa que cria a conta é o administrador da conta para todas as assinaturas criadas nessa conta. Essa pessoa também é o administrador de serviço padrão da assinatura.
As assinaturas do Azure o ajudam a organizar o acesso aos recursos do Azure. Eles também ajudam a controlar como o uso de recursos é reportado, cobrado e pago. Cada assinatura pode ter uma configuração diferente de cobrança e pagamento, assim você pode ter diferentes assinaturas e planos diferentes por escritório, departamento, projeto e afins. A maioria dos serviços pertence a uma assinatura e a ID da assinatura pode ser exigida para operações programáticas.
Cada assinatura é associada a um diretório do Microsoft Entra. Para localizar o diretório ao qual a assinatura está associada, abra Assinaturas no portal do Azure e selecione uma assinatura para visualizar o diretório.
Contas e assinaturas são gerenciadas no portal do Azure.