Listar atribuições de função do Azure usando o portal do Azure

Microsoft.Authorization/roleAssignments/read permissão, como Leitor

Uma maneira rápida de ver as funções atribuídas a um usuário ou grupo em uma assinatura é usar o painel atribuições de função do Azure.

1. No portal do Azure, selecione todos os serviços no menu do portal do Azure.

2. Selecione Microsoft Entra ID e depois selecione Usuários ou Grupos.

3. Clique no usuário ou grupo para o qual você deseja listar as atribuições de função.

4. Clique em atribuições de função do Azure.

   Você vê uma lista de funções atribuídas ao usuário ou grupo selecionado em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Essa lista inclui todas as atribuições de função que você tem permissão para ler.

   

5. Para alterar a assinatura, clique na lista Assinaturas

Os usuários aos quais foi atribuída a função de proprietário de uma assinatura podem gerenciar tudo na assinatura. Siga estas etapas para listar os proprietários de uma assinatura.

1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, em Assinaturas.

2. Clique na assinatura cujos proprietários você deseja listar.

3. Clique em IAM (Controle de Acesso).

4. Clique na guia Atribuições de funções para visualizar todas as atribuições de função para essa assinatura.

5. Role até a seção proprietários para ver todos os usuários aos quais foi atribuída a função de proprietário para esta assinatura.

   

Na guia Atribuições de função, você pode listar e ver a contagem de atribuições de função de administrador com privilégios no escopo atual. Para obter mais informações, consulte Funções de administrador com privilégios.

1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, selecione o escopo. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

2. Clique no recurso específico.

3. Clique em IAM (Controle de Acesso).

4. Clique na guia Atribuições de função e depois clique na guia Privilégios para listar as atribuições de função de administrador com privilégios neste escopo.

   

5. Para ver a contagem de atribuições de função de administrador com privilégios nesse escopo, consulte o cartão Privilégios.

6. Para gerenciar atribuições de função de administrador com privilégios, consulte o cartão Privilégios e clique em Visualizar atribuições.

   Na página Gerenciar atribuições de função com privilégios, você pode adicionar uma condição para restringir a atribuição de função com privilégios ou remover a atribuição de função. Para obter mais informações, confira Delegar o gerenciamento da atribuição de função do Azure para outras pessoas com condições.

   

Siga estas etapas:

1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, selecione o escopo. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

2. Clique no recurso específico.

3. Clique em IAM (Controle de Acesso).

4. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

   Se você tiver uma licença Microsoft Entra ID Free ou Microsoft Entra ID P1, sua guia Atribuições de funções será semelhante à captura de tela a seguir.

   

   Se você tiver uma licença Microsoft Entra ID P2 ou Microsoft Entra ID Governance, sua guia Atribuições de função será semelhante à captura de tela a seguir para escopos de grupo de gerenciamento, assinatura e grupo de recursos. Essa capacidade está a ser implementada em fases, pelo que poderá ainda não estar disponível no seu inquilino ou a sua interface poderá parecer diferente.

   

   Você verá uma coluna Estado com um dos seguintes estados:

   Estadual	Descrição
   Permanente ativo	Uma atribuição de função em que um usuário sempre pode usar a função sem executar nenhuma ação.
   Associação de tempo ativa	Uma atribuição de função em que um usuário pode usar a função sem realizar nenhuma ação somente nas datas de início e término.
   Permanente elegível	Uma atribuição de função em que um usuário sempre está qualificado para ativar a função.
   Limite de tempo qualificado	Uma atribuição de função em que um usuário está qualificado para ativar a função somente na data de início e término especificada.

   É possível definir a data de início no futuro.

   Se você quiser listar a hora de início e de término das atribuições de função, clique em Editar colunas e selecione Hora de início e Hora de término.

   

   Observe que algumas funções são definidas para Este recurso enquanto outras são (Herdadas) de outro escopo. O acesso é atribuído especificamente a esse recurso ou herdado de uma atribuição ao escopo pai.

Para exibir o acesso de um usuário, grupo, entidade de serviço ou identidade gerenciada, basta listar suas atribuições de função. Siga essas etapas para exibir as atribuições de função para um único usuário, grupo, entidade de serviço ou identidade gerenciada em um determinado escopo.

1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, selecione o escopo. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

2. Clique no recurso específico.

3. Clique em IAM (Controle de Acesso).

   

4. Na guia Verificar acesso, clique no botão Verificar acesso.

5. No painel Verificar acesso, clique em Usuário, grupo ou entidade de serviço ou Identidade gerenciada.

6. Na caixa de pesquisa, insira uma cadeia de caracteres para pesquisar no diretório nomes de exibição, endereços de e-mail ou identificadores de objetos.

   

7. Clique na entidade de segurança para abrir o painel atribuições.

   Nesse painel, você pode ver o acesso para a entidade de segurança selecionada nesse escopo e herdada para esse escopo. As atribuições em escopos filho não estão listadas. Você verá as seguintes atribuições:

   • Atribuições de função adicionadas com o Azure RBAC.
   • Atribuições de negação adicionadas usando o Azure Blueprints ou os aplicativos gerenciados do Azure.
   • Atribuições de Administrador de serviços ou Coadministrador clássicas para implantações clássicas.

   

Você pode listar as atribuições de função para identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário em um determinado escopo usando a folha de Controle de acesso (IAM), conforme descrito anteriormente. Esta seção descreve como listar atribuições de função apenas para a identidade gerenciada.

Identidade gerenciada atribuída pelo sistema

1. No portal do Azure, abra uma identidade gerenciada atribuída pelo sistema.

2. No menu esquerdo, clique em Identidade.

   

3. Em Permissões, clique em Atribuições de função do Azure.

   Você verá uma lista de funções atribuídas à identidade gerenciada atribuída pelo sistema selecionada em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Essa lista inclui todas as atribuições de função que você tem permissão para ler.

   

4. Para alterar a assinatura, clique na lista Assinaturas.

   Identidade gerenciada atribuída pelo usuário

   1. No portal do Azure, abra uma identidade gerenciada atribuída pelo usuário.

   2. Clique em atribuições de função do Azure.

      Você verá uma lista de funções atribuídas à identidade gerenciada atribuída pelo usuário selecionada em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Essa lista inclui todas as atribuições de função que você tem permissão para ler.

      

   3. Para alterar a assinatura, clique na lista Assinaturas.

Em cada assinatura, você pode ter até 4.000 atribuições de função. Esse limite inclui atribuições de função na assinatura, no grupo de recursos e nos escopos de recursos. As atribuições de funções elegíveis e as atribuições de funções agendadas no futuro não contam para esse limite. Para ajudar você a acompanhar esse limite, a guia Atribuições de função inclui um gráfico que lista o número de atribuições de função para a assinatura atual.

Se você estiver se aproximando do número máximo e tentar adicionar mais atribuições de função, verá um aviso no painel Adicionar atribuição de função. Para ver como você pode reduzir o número de atribuições de função, consulte Solucionar problemas de limites de RBAC do Azure.

Baixar as atribuições de função

Você pode baixar atribuições de função em um escopo em formatos CSV ou JSON. Isso pode ser útil se você precisar inspecionar a lista em uma planilha ou fazer um inventário ao migrar uma assinatura.

Ao baixar atribuições de função, você deve ter em mente os seguintes critérios:

• Se você não tiver permissões para ler o diretório, como a função leitores de diretório, as colunas DisplayName, SignInName e ObjectType ficarão em branco.
• As atribuições de função cuja entidade de segurança foi excluída não estão incluídas.
• O acesso concedido aos administradores clássicos não está incluído.

Siga estas etapas para baixar atribuições de função em um escopo.

1. No portal do Azure, clique em Todos os serviços e selecione o escopo em que você deseja baixar as atribuição de função. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.

2. Clique no recurso específico.

3. Clique em IAM (Controle de Acesso).

4. Clique em Baixar atribuições de função para abrir o painel Baixar atribuições de função.

   

5. Use as caixas de seleção para selecionar as atribuições de função que você deseja incluir no arquivo baixado.

   • Herdado - inclua atribuições de função herdadas para o escopo atual.
   • No escopo atual - inclua atribuições de função para o escopo atual.
   • Filhos - inclua atribuições de função em níveis abaixo do escopo atual. Esta caixa de seleção está desabilitada para o escopo do grupo de gerenciamento.

6. Selecione o formato de arquivo, que pode ser CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation).

7. Especifique o nome do arquivo.

8. Clique em Iniciar para iniciar o download.

   Os exemplos a seguir mostram a saída de cada formato de arquivo.