Listar atribuições de função do Azure usando o portal do Azure

O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização usado para gerenciar o acesso aos recursos no Azure. Para determinar a quais recursos os usuários, grupos, entidades de serviço ou identidades gerenciadas têm acesso, liste as atribuições das funções. Este artigo descreve como listar as atribuições de função usando o portal do Azure.

Observação

Se sua organização tiver funções de gerenciamento terceirizadas para um provedor de serviços que usa o Azure Lighthouse, as atribuições de função autorizadas por esse provedor de serviços não serão mostradas aqui. Da mesma forma, os usuários no locatário do provedor de serviços não verão atribuições de função para usuários no locatário de um cliente, independentemente da função atribuída.

Pré-requisitos

Microsoft.Authorization/roleAssignments/read permissão, como Leitor

Listar as atribuições de função de um usuário ou grupo

Uma maneira rápida de ver as funções atribuídas a um usuário ou grupo em uma assinatura é usar o painel atribuições de função do Azure.

  1. No portal do Azure, selecione todos os serviços no menu do portal do Azure.

  2. Selecione Microsoft Entra ID e depois selecione Usuários ou Grupos.

  3. Clique no usuário ou grupo para o qual você deseja listar as atribuições de função.

  4. Clique em atribuições de função do Azure.

    Você vê uma lista de funções atribuídas ao usuário ou grupo selecionado em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Essa lista inclui todas as atribuições de função que você tem permissão para ler.

    Captura de tela das atribuições de função para um usuário.

  5. Para alterar a assinatura, clique na lista Assinaturas

Listar os proprietários de uma assinatura

Os usuários aos quais foi atribuída a função de proprietário de uma assinatura podem gerenciar tudo na assinatura. Siga estas etapas para listar os proprietários de uma assinatura.

  1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, em Assinaturas.

  2. Clique na assinatura cujos proprietários você deseja listar.

  3. Clique em IAM (Controle de Acesso).

  4. Clique na guia Atribuições de funções para visualizar todas as atribuições de função para essa assinatura.

  5. Role até a seção proprietários para ver todos os usuários aos quais foi atribuída a função de proprietário para esta assinatura.

    Captura de tela da guia Controle de acesso de assinatura e Atribuições de função.

Listar ou gerenciar atribuições de função de administrador com privilégios

Na guia Atribuições de função, você pode listar e ver a contagem de atribuições de função de administrador com privilégios no escopo atual. Para obter mais informações, consulte Funções de administrador com privilégios.

  1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, selecione o escopo. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

  2. Clique no recurso específico.

  3. Clique em IAM (Controle de Acesso).

  4. Clique na guia Atribuições de função e depois clique na guia Privilégios para listar as atribuições de função de administrador com privilégios neste escopo.

    Captura de tela da página de Controle de acesso, guia Atribuições de função e guia Privilégios mostrando as atribuições de função com privilégios.

  5. Para ver a contagem de atribuições de função de administrador com privilégios nesse escopo, consulte o cartão Privilégios.

  6. Para gerenciar atribuições de função de administrador com privilégios, consulte o cartão Privilégios e clique em Visualizar atribuições.

    Na página Gerenciar atribuições de função com privilégios, você pode adicionar uma condição para restringir a atribuição de função com privilégios ou remover a atribuição de função. Para obter mais informações, confira Delegar o gerenciamento da atribuição de função do Azure para outras pessoas com condições.

    Captura de tela da página Gerenciar atribuições de função com privilégios mostrando como adicionar condições ou remover atribuições de função.

Exibir as atribuições de função em um escopo

Importante

A integração da atribuição de funções do Azure com o Privileged Identity Management está atualmente em PREVIEW. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Siga estas etapas:

  1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, selecione o escopo. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

  2. Clique no recurso específico.

  3. Clique em IAM (Controle de Acesso).

  4. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

    Se você tiver uma licença Microsoft Entra ID Free ou Microsoft Entra ID P1, sua guia Atribuições de funções será semelhante à captura de tela a seguir.

    Captura de tela da guia Controle de acesso e Atribuições de função.

    Se você tiver uma licença Microsoft Entra ID P2 ou Microsoft Entra ID Governance, sua guia Atribuições de função será semelhante à captura de tela a seguir para escopos de grupo de gerenciamento, assinatura e grupo de recursos. Essa capacidade está a ser implementada em fases, pelo que poderá ainda não estar disponível no seu inquilino ou a sua interface poderá parecer diferente.

    Captura de tela das guias Controle de acesso e Atribuições ativas e Atribuições qualificadas.

    Você verá uma coluna Estado com um dos seguintes estados:

    Estadual Descrição
    Permanente ativo Uma atribuição de função em que um usuário sempre pode usar a função sem executar nenhuma ação.
    Associação de tempo ativa Uma atribuição de função em que um usuário pode usar a função sem realizar nenhuma ação somente nas datas de início e término.
    Permanente elegível Uma atribuição de função em que um usuário sempre está qualificado para ativar a função.
    Limite de tempo qualificado Uma atribuição de função em que um usuário está qualificado para ativar a função somente na data de início e término especificada.

    É possível definir a data de início no futuro.

    Se você quiser listar a hora de início e de término das atribuições de função, clique em Editar colunas e selecione Hora de início e Hora de término.

    Captura de tela do painel Colunas mostrando as caixas de seleção Hora de início e Hora de término.

    Observe que algumas funções são definidas para Este recurso enquanto outras são (Herdadas) de outro escopo. O acesso é atribuído especificamente a esse recurso ou herdado de uma atribuição ao escopo pai.

Listar atribuições de função para um usuário em um escopo

Para exibir o acesso de um usuário, grupo, entidade de serviço ou identidade gerenciada, basta listar suas atribuições de função. Siga essas etapas para exibir as atribuições de função para um único usuário, grupo, entidade de serviço ou identidade gerenciada em um determinado escopo.

  1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, selecione o escopo. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

  2. Clique no recurso específico.

  3. Clique em IAM (Controle de Acesso).

    Captura de tela do controle de acesso do grupo de recursos e da guia Verificar acesso.

  4. Na guia Verificar acesso, clique no botão Verificar acesso.

  5. No painel Verificar acesso, clique em Usuário, grupo ou entidade de serviço ou Identidade gerenciada.

  6. Na caixa de pesquisa, insira uma cadeia de caracteres para pesquisar no diretório nomes de exibição, endereços de e-mail ou identificadores de objetos.

    Captura de tela de Verificar a lista de seleção de acesso.

  7. Clique na entidade de segurança para abrir o painel atribuições.

    Nesse painel, você pode ver o acesso para a entidade de segurança selecionada nesse escopo e herdada para esse escopo. As atribuições em escopos filho não estão listadas. Você verá as seguintes atribuições:

    • Atribuições de função adicionadas com o Azure RBAC.
    • Atribuições de negação adicionadas usando o Azure Blueprints ou os aplicativos gerenciados do Azure.
    • Atribuições de Administrador de serviços ou Coadministrador clássicas para implantações clássicas.

    Captura de tela do painel de atribuições.

Listar atribuições de função para uma identidade gerenciada

Você pode listar as atribuições de função para identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário em um determinado escopo usando a folha de Controle de acesso (IAM), conforme descrito anteriormente. Esta seção descreve como listar atribuições de função apenas para a identidade gerenciada.

Identidade gerenciada atribuída pelo sistema

  1. No portal do Azure, abra uma identidade gerenciada atribuída pelo sistema.

  2. No menu esquerdo, clique em Identidade.

    Captura de tela da identidade gerenciada atribuída pelo sistema.

  3. Em Permissões, clique em Atribuições de função do Azure.

    Você verá uma lista de funções atribuídas à identidade gerenciada atribuída pelo sistema selecionada em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Essa lista inclui todas as atribuições de função que você tem permissão para ler.

    Captura de tela das atribuições de função para uma identidade gerenciada atribuída pelo sistema.

  4. Para alterar a assinatura, clique na lista Assinaturas.

    Identidade gerenciada atribuída pelo usuário

    1. No portal do Azure, abra uma identidade gerenciada atribuída pelo usuário.

    2. Clique em atribuições de função do Azure.

      Você verá uma lista de funções atribuídas à identidade gerenciada atribuída pelo usuário selecionada em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Essa lista inclui todas as atribuições de função que você tem permissão para ler.

      Captura de tela das atribuições de função para uma identidade gerenciada atribuída pelo usuário.

    3. Para alterar a assinatura, clique na lista Assinaturas.

Exibir número de atribuições de função

Em cada assinatura, você pode ter até 4.000 atribuições de função. Esse limite inclui atribuições de função na assinatura, no grupo de recursos e nos escopos de recursos. As atribuições de funções elegíveis e as atribuições de funções agendadas no futuro não contam para esse limite. Para ajudar você a acompanhar esse limite, a guia Atribuições de função inclui um gráfico que lista o número de atribuições de função para a assinatura atual.

Captura de tela do Controle de acesso e número de atribuições de função.

Se você estiver se aproximando do número máximo e tentar adicionar mais atribuições de função, verá um aviso no painel Adicionar atribuição de função. Para ver como você pode reduzir o número de atribuições de função, consulte Solucionar problemas de limites de RBAC do Azure.

Captura de tela do Controle de acesso e do aviso Adicionar atribuição de função.

Baixar as atribuições de função

Você pode baixar atribuições de função em um escopo em formatos CSV ou JSON. Isso pode ser útil se você precisar inspecionar a lista em uma planilha ou fazer um inventário ao migrar uma assinatura.

Ao baixar atribuições de função, você deve ter em mente os seguintes critérios:

  • Se você não tiver permissões para ler o diretório, como a função leitores de diretório, as colunas DisplayName, SignInName e ObjectType ficarão em branco.
  • As atribuições de função cuja entidade de segurança foi excluída não estão incluídas.
  • O acesso concedido aos administradores clássicos não está incluído.

Siga estas etapas para baixar atribuições de função em um escopo.

  1. No portal do Azure, clique em Todos os serviços e selecione o escopo em que você deseja baixar as atribuição de função. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

  2. Clique no recurso específico.

  3. Clique em IAM (Controle de Acesso).

  4. Clique em Baixar atribuições de função para abrir o painel Baixar atribuições de função.

    Captura de tela de Controle de acesso e Baixar atribuições de função.

  5. Use as caixas de seleção para selecionar as atribuições de função que você deseja incluir no arquivo baixado.

    • Herdado - inclua atribuições de função herdadas para o escopo atual.
    • No escopo atual - inclua atribuições de função para o escopo atual.
    • Filhos - inclua atribuições de função em níveis abaixo do escopo atual. Esta caixa de seleção está desabilitada para o escopo do grupo de gerenciamento.
  6. Selecione o formato de arquivo, que pode ser CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation).

  7. Especifique o nome do arquivo.

  8. Clique em Iniciar para iniciar o download.

    Os exemplos a seguir mostram a saída de cada formato de arquivo.

    Captura de tela de Baixar atribuições de função como CSV.

    Captura de tela das atribuições de função baixadas no formato JSON.