Atribuir funções do Azure a usuários externos usando o portal do Azure

  • Artigo

O controle de acesso baseado em função do Azure (Azure RBAC) permite um melhor gerenciamento de segurança para grandes organizações e para pequenas e médias empresas que trabalham com colaboradores externos, fornecedores ou freelancers que precisam de acesso a recursos específicos em seu ambiente, mas não necessariamente a toda a infraestrutura ou a qualquer escopo relacionado à cobrança. Você pode usar os recursos do Microsoft Entra B2B para colaborar com usuários externos e pode usar o RBAC do Azure para conceder apenas as permissões que os usuários externos precisam em seu ambiente.

Pré-requisitos

Para atribuir funções do Azure ou remover atribuições de função, você deve ter:

Quando convidaria utilizadores externos?

Aqui estão alguns exemplos de cenários em que você pode convidar usuários para sua organização e conceder permissões:

  • Permita que um fornecedor externo autônomo que tenha apenas uma conta de email acesse seus recursos do Azure para um projeto.
  • Permitir que um parceiro externo gerencie determinados recursos ou uma assinatura inteira.
  • Permita que engenheiros de suporte que não estão em sua organização (como o suporte da Microsoft) acessem temporariamente seu recurso do Azure para solucionar problemas.

Diferenças de permissão entre usuários membros e usuários convidados

Os usuários de um diretório com tipo de membro (usuários membros) têm permissões diferentes por padrão dos usuários convidados de outro diretório como um convidado de colaboração B2B (usuários convidados). Por exemplo, os usuários membros podem ler quase todas as informações do diretório, enquanto os usuários convidados têm permissões de diretório restritas. Para obter mais informações sobre usuários membros e usuários convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Convide um usuário externo para o seu diretório

Siga estas etapas para convidar um usuário externo para seu diretório no Microsoft Entra ID.

  1. Inicie sessão no portal do Azure.

  2. Verifique se as configurações de colaboração externa da sua organização estão configuradas para que você possa convidar usuários externos. Para obter mais informações, veja Configurar as definições de colaboração externa.

  3. Selecione Microsoft Entra ID>Users.

  4. Selecione Novo usuário>Convidar usuário externo.

    Screenshot of Invite external user page in Azure portal.

  5. Siga as etapas para convidar um usuário externo. Para obter mais informações, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Depois de convidar um usuário externo para o diretório, você pode enviar ao usuário externo um link direto para um aplicativo compartilhado ou o usuário externo pode selecionar o link de aceitação de convite no email de convite.

Screenshot of external user invite email.

Para que o usuário externo possa acessar seu diretório, ele deve concluir o processo de convite.

Screenshot of external user invite review permissions.

Para obter mais informações sobre o processo de convite, consulte Resgate de convite de colaboração B2B do Microsoft Entra.

Atribuir uma função a um utilizador externo

No RBAC do Azure, para conceder acesso, você atribui uma função. Para atribuir uma função a um usuário externo, siga as mesmas etapas que seguiria para um usuário, grupo, entidade de serviço ou identidade gerenciada membro. Siga estas etapas: atribua uma função a um usuário externo em escopos diferentes.

  1. Inicie sessão no portal do Azure.

  2. Na caixa Pesquisar na parte superior, procure o âmbito a que quer conceder acesso. Por exemplo, procure Grupos de gestão, Subscrições, Grupos de recursos ou um recurso específico.

  3. Selecione o recurso específico para esse âmbito.

  4. Selecione Controlo de acesso (IAM) .

    Segue-se um exemplo da página Controlo de acesso (IAM) de um grupo de recursos.

    Screenshot of Access control (IAM) page for a resource group.

  5. Selecione o separador Atribuições de funções para ver as atribuições de funções neste âmbito.

  6. Selecione Adicionar>Adicionar atribuição de função.

    Se não tiver permissões para atribuir funções, a opção Adicionar atribuição de função estará desativada.

    Screenshot of Add > Add role assignment menu.

    A página Adicionar atribuição de função é aberta.

  7. Na guia Função, selecione uma função como Colaborador de Máquina Virtual.

    Screenshot of Add role assignment page with Roles tab.

  8. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

    Screenshot of Add role assignment page with Members tab.

  9. Selecione Selecionar membros.

  10. Localize e selecione o usuário externo. Se não vir o utilizador na lista, pode escrever na caixa Selecionar para procurar nome para apresentação ou endereço de e-mail no diretório.

    Pode escrever na caixa Selecionar para procurar no diretório o nome a apresentar ou o endereço de e-mail.

    Screenshot of Select members pane.

  11. Selecione Selecionar para adicionar o usuário externo à lista Membros.

  12. No separador Rever + atribuir, selecione Rever + atribuir.

    Após alguns momentos, o usuário externo recebe a função no escopo selecionado.

    Screenshot of role assignment for Virtual Machine Contributor.

Atribuir uma função a um usuário externo que ainda não está no diretório

Para atribuir uma função a um usuário externo, siga as mesmas etapas que seguiria para um usuário, grupo, entidade de serviço ou identidade gerenciada membro.

Se o usuário externo ainda não estiver no diretório, você poderá convidá-lo diretamente do painel Selecionar membros.

  1. Inicie sessão no portal do Azure.

  2. Na caixa Pesquisar na parte superior, procure o âmbito a que quer conceder acesso. Por exemplo, procure Grupos de gestão, Subscrições, Grupos de recursos ou um recurso específico.

  3. Selecione o recurso específico para esse âmbito.

  4. Selecione Controlo de acesso (IAM) .

  5. Selecione Adicionar>Adicionar atribuição de função.

    Se não tiver permissões para atribuir funções, a opção Adicionar atribuição de função estará desativada.

    Screenshot of Add > Add role assignment menu.

    A página Adicionar atribuição de função é aberta.

  6. Na guia Função, selecione uma função como Colaborador de Máquina Virtual.

  7. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

    Screenshot of Add role assignment page with Members tab.

  8. Selecione Selecionar membros.

  9. Na caixa Selecionar, digite o endereço de e-mail da pessoa que você deseja convidar e selecione essa pessoa.

    Screenshot of invite external user in Select members pane.

  10. Selecione Selecionar para adicionar o usuário externo à lista Membros.

  11. Na guia Revisar + atribuir, selecione Revisar + atribuir para adicionar o usuário externo ao diretório, atribuir a função e enviar um convite.

    Depois de alguns momentos, você verá uma notificação da atribuição de função e informações sobre o convite.

    Screenshot of role assignment and invited user notification.

  12. Para convidar manualmente o usuário externo, clique com o botão direito do mouse e copie o link do convite na notificação. Não selecione o link de convite porque ele inicia o processo de convite.

    O link do convite terá o seguinte formato:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Envie o link de convite para o usuário externo para concluir o processo de convite.

    Para obter mais informações sobre o processo de convite, consulte Resgate de convite de colaboração B2B do Microsoft Entra.

Remover um usuário externo do diretório

Antes de remover um usuário externo de um diretório, você deve primeiro remover todas as atribuições de função para esse usuário externo. Siga estas etapas para remover um usuário externo de um diretório.

  1. Controle de acesso aberto (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, onde o usuário externo tem uma atribuição de função.

  2. Selecione a guia Atribuições de função para exibir todas as atribuições de função.

  3. Na lista de atribuições de função, adicione uma marca de seleção ao lado do usuário externo com a atribuição de função que você deseja remover.

    Screenshot of selected role assignment to remove.

  4. Selecione Remover.

    Screenshot of Remove role assignment message.

  5. Na mensagem de remoção de atribuição de função exibida, selecione Sim.

  6. Selecione o separador Administradores clássicos.

  7. Se o usuário externo tiver uma atribuição de Coadministrador, adicione uma marca de seleção ao lado do usuário externo e selecione Remover.

  8. Na barra de navegação esquerda, selecione Usuários do ID do Microsoft Entra>.

  9. Selecione o usuário externo que você deseja remover.

  10. Selecione Eliminar.

    Screenshot of deleting an external user.

  11. Na mensagem de exclusão exibida, selecione Sim.

Resolver problemas

O usuário externo não pode navegar no diretório

Os usuários externos têm permissões de diretório restritas. Por exemplo, os usuários externos não podem navegar no diretório e não podem pesquisar grupos ou aplicativos. Para obter mais informações, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Screenshot of external user can't browse users in a directory.

Se um usuário externo precisar de privilégios adicionais no diretório, você poderá atribuir uma função do Microsoft Entra ao usuário externo. Se você realmente quiser que um usuário externo tenha acesso total de leitura ao seu diretório, você pode adicionar o usuário externo à função Leitores de Diretório na ID do Microsoft Entra. Para obter mais informações, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Screenshot of assigning Directory Readers role.

O usuário externo não pode procurar usuários, grupos ou entidades de serviço para atribuir funções

Os usuários externos têm permissões de diretório restritas. Mesmo que um usuário externo seja um Proprietário em um escopo, se ele tentar atribuir uma função para conceder acesso a outra pessoa, ele não poderá navegar na lista de usuários, grupos ou entidades de serviço.

Screenshot of external user can't browse security principals to assign roles.

Se o usuário externo souber o nome exato de entrada de alguém no diretório, ele poderá conceder acesso. Se você realmente quiser que um usuário externo tenha acesso total de leitura ao seu diretório, você pode adicionar o usuário externo à função Leitores de Diretório na ID do Microsoft Entra. Para obter mais informações, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

O usuário externo não pode registrar aplicativos ou criar entidades de serviço

Os usuários externos têm permissões de diretório restritas. Se um usuário externo precisar ser capaz de registrar aplicativos ou criar entidades de serviço, você poderá adicionar o usuário externo à função Desenvolvedor de Aplicativos na ID do Microsoft Entra. Para obter mais informações, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Screenshot of external user can't register applications.

O usuário externo não vê o novo diretório

Se um usuário externo tiver recebido acesso a um diretório, mas ele não vir o novo diretório listado no portal do Azure quando tentar alternar em sua página Diretórios , verifique se o usuário externo concluiu o processo de convite. Para obter mais informações sobre o processo de convite, consulte Resgate de convite de colaboração B2B do Microsoft Entra.

O usuário externo não vê recursos

Se um usuário externo tiver recebido acesso a um diretório, mas não vir os recursos aos quais recebeu acesso no portal do Azure, verifique se o usuário externo selecionou o diretório correto. Um usuário externo pode ter acesso a vários diretórios. Para alternar diretórios, no canto superior esquerdo, selecione Diretórios de configurações>e, em seguida, selecione o diretório apropriado.

Screenshot of Portal setting Directories section in Azure portal.

Próximos passos