Administradores da subscrição clássica do Azure

Importante

A partir de 31 de agosto de 2024, as funções de administrador clássico do Azure (juntamente com os recursos clássicos do Azure e o Azure Service Manager) serão desativadas e não terão mais suporte. Se você ainda tiver atribuições de função de Coadministrador ou Administrador de Serviço ativas, converta essas atribuições de função para o RBAC do Azure imediatamente.

A Microsoft recomenda que você gerencie o acesso aos recursos do Azure usando o controle de acesso baseado em função do Azure (Azure RBAC). Se você ainda estiver usando o modelo de implantação clássico, precisará migrar seus recursos da implantação clássica para a implantação do Gerenciador de Recursos. Para obter mais informações, consulte Azure Resource Manager vs. implantação clássica.

Este artigo descreve a desativação das funções de Coadministrador e Administrador de Serviços e como converter essas atribuições de função.

Perguntas mais frequentes

O que acontece com as atribuições clássicas de funções de administrador após 31 de agosto de 2024?

  • As funções de Coadministrador e Administrador de Serviços foram desativadas e não são mais suportadas. Você deve converter essas atribuições de função para o Azure RBAC imediatamente.

Como posso saber que subscrições têm administradores clássicos?

  • Você pode usar uma consulta do Gráfico de Recursos do Azure para listar assinaturas com atribuições de função de Administrador de Serviço ou Coadministrador. Para conhecer as etapas, consulte Listar administradores clássicos.

Qual é a função equivalente do Azure que devo atribuir aos Coadministradores?

  • A função de proprietário no escopo da assinatura tem acesso equivalente. No entanto, o Proprietário é uma função de administrador privilegiada e concede acesso total para gerenciar recursos do Azure. Você deve considerar uma função de trabalho com menos permissões, reduzir o escopo ou adicionar uma condição.

Qual é a função equivalente do Azure que devo atribuir para Administrador de Serviços?

Por que preciso migrar para o Azure RBAC?

  • O Azure RBAC oferece controle de acesso refinado, compatibilidade com o Microsoft Entra Privileged Identity Management (PIM) e suporte total a logs de auditoria. Todos os investimentos futuros serão no Azure RBAC.

E quanto à função de Administrador de Conta?

  • O Administrador de Conta é o utilizador principal da sua conta de faturação. O Administrador de Conta não está sendo preterido e você não precisa converter essa atribuição de função. O Administrador de Conta e o Administrador de Serviço podem ser o mesmo usuário. No entanto, você só precisa converter a atribuição de função de Administrador de Serviços.

O que devo fazer se perder o acesso a uma subscrição?

  • Se você remover seus administradores clássicos sem ter pelo menos uma atribuição de função de Proprietário para uma assinatura, perderá o acesso à assinatura e a assinatura ficará órfã. Para recuperar o acesso a uma assinatura, você pode fazer o seguinte:

O que devo fazer se tiver uma forte dependência de Coadministradores ou Administrador de Serviços?

  • Envie um e-mail ACARDeprecation@microsoft.com e descreva o seu cenário.

Listar administradores clássicos

Siga estas etapas para listar o Administrador de Serviço e os Coadministradores de uma assinatura usando o portal do Azure.

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Abra Subscrições e selecione uma subscrição.

  3. Selecione Controlo de acesso (IAM) .

  4. Selecione a guia Administradores clássicos para exibir uma lista dos Coadministradores.

    Captura de ecrã da página Controlo de acesso (IAM) com o separador Administradores clássicos selecionado.

Aposentadoria dos coadministradores

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a converter atribuições de função de Coadministrador.

Etapa 1: revisar seus coadministradores atuais

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Use o portal do Azure ou o Gráfico de Recursos do Azure para listar seus Coadministradores.

  3. Reveja os registos de início de sessão dos seus Coadministradores para avaliar se são utilizadores ativos.

Etapa 2: remover coadministradores que não precisam mais de acesso

  1. Se o usuário não estiver mais em sua empresa, remova o Coadministrador.

  2. Se o usuário foi excluído, mas sua atribuição de Coadministrador não foi removida, remova o Coadministrador.

    Os usuários que foram excluídos normalmente incluem o texto (Usuário não foi encontrado neste diretório).

    Captura de tela do usuário não encontrado no diretório e com a função de Coadministrador.

  3. Depois de rever a atividade do usuário, se o usuário não estiver mais ativo, remova o Coadministrador.

Etapa 3: Converter coadministradores em funções de função de trabalho

A maioria dos usuários não precisa das mesmas permissões que um Coadministrador. Em vez disso, considere uma função de função.

  1. Se um usuário ainda precisar de algum acesso, determine a função de trabalho apropriada de que ele precisa.

  2. Determine o escopo que o usuário precisa.

  3. Siga as etapas para atribuir uma função de trabalho ao usuário.

  4. Remova o coadministrador.

Etapa 4: Converter Coadministradores em função de Proprietário com condições

Alguns usuários podem precisar de mais acesso do que uma função de trabalho pode fornecer. Se você precisar atribuir a função de proprietário, considere adicionar uma condição ou usar o Microsoft Entra Privileged Identity Management (PIM) para restringir a atribuição de função.

  1. Atribua a função de Proprietário com condições.

    Por exemplo, atribua a função Proprietário no escopo da assinatura com condições. Se você tiver PIM, torne o usuário elegível para a atribuição de função de proprietário.

  2. Remova o coadministrador.

Etapa 5: Converter Coadministradores em função de Proprietário

Se um usuário precisar ser administrador de uma assinatura, atribua a função Proprietário no escopo da assinatura.

Como converter uma função de Coadministrador em Proprietário

A maneira mais fácil de ocultar uma atribuição de função de Coadministrador para a função de Proprietário no escopo da assinatura é usar as etapas de Correção.

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Abra Subscrições e selecione uma subscrição.

  3. Selecione Controlo de acesso (IAM) .

  4. Selecione a guia Administradores clássicos para exibir uma lista dos Coadministradores.

  5. Para o Coadministrador que você deseja converter para a função Proprietário, na coluna Corrigir , selecione o link Atribuir função RBAC.

  6. No painel Adicionar atribuição de função, revise a atribuição de função.

    Captura de tela do painel Adicionar atribuição de função depois de selecionar o link Atribuir função RBAC.

  7. Selecione Rever + atribuir para atribuir a função de Proprietário e remover a atribuição da função de Coadministrador.

Como remover um Coadministrador

Siga estas etapas para remover um coadministrador.

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Abra Subscrições e selecione uma subscrição.

  3. Selecione Controlo de acesso (IAM) .

  4. Selecione a guia Administradores clássicos para exibir uma lista dos Coadministradores.

  5. Adicione uma marca de verificação ao lado do Coadministrador que quer remover.

  6. Selecione Eliminar.

  7. Na caixa de mensagens apresentada, selecione Sim.

    Captura de ecrã da caixa de mensagem ao remover um Coadministrador.

Aposentadoria do administrador de serviços

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a converter a atribuição de função de Administrador de Serviços. Antes de remover o Administrador de Serviço, você deve ter pelo menos um usuário ao qual seja atribuída a função de Proprietário no escopo da assinatura sem condições para evitar a órfã da assinatura. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

Etapa 1: revise seu administrador de serviço atual

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Use o portal do Azure ou o Gráfico de Recursos do Azure para listar seu Administrador de Serviço.

  3. Reveja os registos de início de sessão do seu Administrador de Serviços para avaliar se é um utilizador ativo.

Passo 2: Rever os proprietários atuais da sua conta de faturação

O usuário ao qual é atribuída a função de Administrador de Serviço também pode ser o mesmo usuário que é o administrador da sua conta de cobrança. Deve rever os proprietários atuais da sua conta de faturação para garantir que continuam a ser precisos.

  1. Utilize o portal do Azure para obter os proprietários da sua conta de Faturação.

  2. Reveja a sua lista de proprietários de contas de faturação. Se necessário, atualize ou adicione outro proprietário de conta de cobrança.

Etapa 3: Converter a função de administrador de serviço em proprietário

O seu Administrador de Serviços pode ser uma conta Microsoft ou uma conta Microsoft Entra. Uma conta Microsoft é uma conta pessoal como o Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Uma conta Microsoft Entra é uma identidade criada através do Microsoft Entra ID.

  1. Se o usuário Administrador de Serviço for uma conta da Microsoft e você quiser que esse usuário mantenha as mesmas permissões, converta a função de Administrador de Serviço em Proprietário.

  2. Se o usuário Administrador de Serviço for uma conta do Microsoft Entra e você quiser que esse usuário mantenha as mesmas permissões, converta a função de Administrador de Serviço em Proprietário.

  3. Se você quiser alterar o usuário Administrador de Serviço para um usuário diferente, atribua a função Proprietário a esse novo usuário no escopo da assinatura sem condições. Em seguida, remova o administrador de serviço.

Como converter a função de Administrador de Serviço em Proprietário

A maneira mais fácil de converter a atribuição da função Administrador de Serviços para a função Proprietário no escopo da assinatura é usar as etapas de Correção .

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Abra Subscrições e selecione uma subscrição.

  3. Selecione Controlo de acesso (IAM) .

  4. Selecione a guia Administradores clássicos para exibir o Administrador de serviço.

  5. Para o Administrador de Serviço, na coluna Corrigir , selecione o link Atribuir função RBAC.

  6. No painel Adicionar atribuição de função, revise a atribuição de função.

    Captura de tela do painel Adicionar atribuição de função depois de selecionar o link Atribuir função RBAC.

  7. Selecione Rever + atribuir para atribuir a função de Proprietário e remover a atribuição da função de Administrador de Serviços.

Como remover o administrador de serviço

Importante

Para remover o Administrador de Serviço, você deve ter um usuário ao qual seja atribuída a função de Proprietário no escopo da assinatura sem condições para evitar a orfandade da assinatura. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Abra Subscrições e selecione uma subscrição.

  3. Selecione Controlo de acesso (IAM) .

  4. Selecione o separador Administradores clássicos.

  5. Adicione uma marca de verificação ao lado do Administrador de Serviços.

  6. Selecione Eliminar.

  7. Na caixa de mensagens apresentada, selecione Sim.

    Captura de ecrã da mensagem de remoção clássica do administrador ao remover um Administrador de Serviço.

Próximos passos