Listar atribuições de função do Azure usando o portal do Azure

  • Procedimentos

O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure. Para determinar a que recursos os utilizadores, grupos, principais de serviços ou identidades geridas têm acesso, liste as suas atribuições de funções. Este artigo descreve como listar atribuições de função usando o portal do Azure.

Nota

Se sua organização tiver terceirizado funções de gerenciamento para um provedor de serviços que usa o Azure Lighthouse, as atribuições de função autorizadas por esse provedor de serviços não serão mostradas aqui. Da mesma forma, os usuários no locatário do provedor de serviços não verão atribuições de função para usuários no locatário de um cliente, independentemente da função que lhes foi atribuída.

Pré-requisitos

Microsoft.Authorization/roleAssignments/read permissão, como o Reader

Listar atribuições de função para um usuário ou grupo

Uma maneira rápida de ver as funções atribuídas a um usuário ou grupo em uma assinatura é usar o painel de atribuições de função do Azure.

  1. No portal do Azure, selecione Todos os serviços no menu do portal.

  2. Selecione Microsoft Entra ID e Utilizadores ou Grupos.

  3. Clique no utilizador ou grupo para o qual pretende mostrar as atribuições de funções.

  4. Clique em Atribuições de funções do Azure.

    Verá uma lista das funções atribuídas ao utilizador ou grupo selecionado em vários âmbitos, como grupo de gestão, subscrição, grupo de recursos ou recurso. Esta lista inclui todas as atribuições de funções que tem permissão para ler.

    Captura de tela das atribuições de função para um usuário.

  5. Para alterar a subscrição, clique na lista Subscrições.

Listar proprietários de uma assinatura

Os usuários aos quais foi atribuída a função Proprietário de uma assinatura podem gerenciar tudo na assinatura. Siga estas etapas para listar os proprietários de uma assinatura.

  1. No portal do Azure, clique em Todos os serviços e, em seguida, em Subscrições.

  2. Clique na subscrição da qual pretende listar os proprietários.

  3. Clique em Controlo de acesso (IAM).

  4. Clique no separador Atribuições de funções para ver todas as atribuições de funções para esta subscrição.

  5. Desloque-se até à secção Proprietários para ver todos os utilizadores aos quais foi atribuída a função de Proprietário para esta subscrição.

    Captura de ecrã do separador Controlo de acesso e Atribuições de funções da subscrição.

Listar ou gerenciar atribuições de função de administrador privilegiado

Na guia Atribuições de função, você pode listar e ver a contagem de atribuições de função de administrador privilegiadas no escopo atual. Para obter mais informações, consulte Funções de administrador privilegiadas.

  1. No portal do Azure, clique em Todos os serviços e selecione o escopo. Por exemplo, você pode selecionar Grupos de gerenciamento, Assinaturas, Grupos de recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

  4. Clique na guia Atribuições de função e, em seguida, clique na guia Privilegiado para listar as atribuições de função de administrador privilegiado neste escopo.

    Captura de ecrã da página Controlo de acesso, do separador Atribuições de função e do separador Privilegiado que mostra as atribuições de funções privilegiadas.

  5. Para ver a contagem de atribuições de função de administrador privilegiado neste escopo, consulte o cartão Privileged .

  6. Para gerenciar atribuições de função de administrador privilegiado, consulte o cartão Privileged e clique em Exibir atribuições.

    Na página Gerenciar atribuições de função privilegiada, você pode adicionar uma condição para restringir a atribuição de função privilegiada ou remover a atribuição de função. Para obter mais informações, consulte Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições.

    Captura de ecrã da página Gerir atribuições de funções privilegiadas que mostra como adicionar condições ou remover atribuições de funções.

Listar atribuições de função em um escopo

Importante

A integração da atribuição de funções do Azure com o Privileged Identity Management está atualmente em pré-visualização. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Siga estes passos:

  1. No portal do Azure, clique em Todos os serviços e selecione o escopo. Por exemplo, você pode selecionar Grupos de gerenciamento, Assinaturas, Grupos de recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

  4. Clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

    Se você tiver uma licença do Microsoft Entra ID Free ou do Microsoft Entra ID P1, a guia Atribuições de função será semelhante à captura de tela a seguir.

    Captura de ecrã do separador Controlo de acesso e Atribuições de funções.

    Se você tiver uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, a guia Atribuições de função será semelhante à captura de tela a seguir para escopos de grupo de gerenciamento, assinatura e grupo de recursos. Esse recurso está sendo implantado em etapas, portanto, pode não estar disponível ainda em seu locatário ou sua interface pode parecer diferente.

    Captura de ecrã dos separadores Controlo de acesso e Atribuições ativas e Atribuições elegíveis.

    Você verá uma coluna Estado com um dos seguintes estados:

    Condição Description
    Ativo permanente Uma atribuição de função em que um usuário sempre pode usar a função sem executar nenhuma ação.
    Limite de tempo ativo Uma atribuição de função em que um usuário pode usar a função sem executar nenhuma ação apenas nas datas de início e fim.
    Permanente elegível Uma atribuição de função em que um usuário está sempre qualificado para ativar a função.
    Prazo elegível Uma atribuição de função em que um usuário é elegível para ativar a função somente nas datas de início e fim.

    É possível definir a data de início no futuro.

    Se quiser listar a hora de início e a hora de término das atribuições de função, clique em Editar colunas e selecione Hora de início e Hora de término.

    Captura de ecrã do painel Colunas a mostrar as caixas de verificação Hora de início e Hora de fim.

    Tenha em conta que algumas funções têm o âmbito Este recurso, ao passo que outras são (Herdadas) de outro âmbito. O acesso é atribuído especificamente a este recurso ou herdado de uma atribuição ao escopo pai.

Listar atribuições de função para um usuário em um escopo

Para listar o acesso de um usuário, grupo, entidade de serviço ou identidade gerenciada, liste suas atribuições de função. Siga estas etapas para listar as atribuições de função para um único usuário, grupo, entidade de serviço ou identidade gerenciada em um escopo específico.

  1. No portal do Azure, clique em Todos os serviços e selecione o escopo. Por exemplo, você pode selecionar Grupos de gerenciamento, Assinaturas, Grupos de recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

    Captura de ecrã do controlo de acesso do grupo de recursos e do separador Verificar acesso.

  4. Na guia Verificar acesso, clique no botão Verificar acesso.

  5. No painel Verificar acesso, clique em Usuário, grupo ou entidade de serviço ou Identidade gerenciada.

  6. Na caixa de pesquisa, insira uma cadeia de caracteres para pesquisar nomes para exibição, endereços de e-mail ou identificadores de objeto no diretório.

    Captura de ecrã da lista de seleção Verificar acesso.

  7. Clique na entidade de segurança para abrir o painel de atribuições.

    Neste painel, você pode ver o acesso para a entidade de segurança selecionada neste escopo e herdada para este escopo. As atribuições em escopos filho não são listadas. Você verá as seguintes atribuições:

    • Atribuições de função adicionadas com o RBAC do Azure.
    • Negar atribuições adicionadas usando Azure Blueprints ou aplicativos gerenciados do Azure.
    • Atribuições de Administrador de Serviço Clássico ou Coadministrador para implantações clássicas.

    Captura de ecrã do painel de atribuições.

Listar atribuições de função para uma identidade gerenciada

Você pode listar atribuições de função para identidades gerenciadas atribuídas pelo sistema e pelo usuário em um escopo específico usando a folha Controle de acesso (IAM), conforme descrito anteriormente. Esta seção descreve como listar atribuições de função apenas para a identidade gerenciada.

Identidade gerida atribuída pelo sistema

  1. No portal do Azure, abra uma identidade gerenciada atribuída ao sistema.

  2. No menu à esquerda, clique em Identidade.

    Captura de ecrã da identidade gerida atribuída pelo sistema.

  3. Em Permissões, clique em Atribuições de funções do Azure.

    Você vê uma lista de funções atribuídas à identidade gerenciada atribuída ao sistema selecionada em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Esta lista inclui todas as atribuições de funções que tem permissão para ler.

    Captura de tela de atribuições de função para uma identidade gerenciada atribuída ao sistema.

  4. Para alterar a assinatura, clique na lista Assinatura .

    Identidade gerida atribuída pelo utilizador

    1. No portal do Azure, abra uma identidade gerenciada atribuída pelo usuário.

    2. Clique em Atribuições de funções do Azure.

      Você vê uma lista de funções atribuídas à identidade gerenciada atribuída pelo usuário selecionada em vários escopos, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Esta lista inclui todas as atribuições de funções que tem permissão para ler.

      Captura de tela das atribuições de função para uma identidade gerenciada atribuída pelo usuário.

    3. Para alterar a assinatura, clique na lista Assinatura .

Listar o número de atribuições de função

Você pode ter até 4000 atribuições de função em cada assinatura. Este limite inclui atribuições de funções nos âmbitos de subscrição, grupo de recursos e recursos. As atribuições de funções elegíveis e as atribuições de função agendadas no futuro não contam para este limite. Para ajudá-lo a controlar esse limite, a guia Atribuições de função inclui um gráfico que lista o número de atribuições de função para a assinatura atual.

Captura de ecrã do gráfico Controlo de acesso e número de atribuições de funções.

Se você estiver se aproximando do número máximo e tentar adicionar mais atribuições de função, verá um aviso no painel Adicionar atribuição de função. Para saber como reduzir o número de atribuições de função, consulte Solucionar problemas de limites do RBAC do Azure.

Captura de ecrã do aviso Controlo de acesso e Adicionar atribuição de função.

Baixar atribuições de função

Você pode baixar atribuições de função em um escopo nos formatos CSV ou JSON. Isso pode ser útil se você precisar inspecionar a lista em uma planilha ou fazer um inventário ao migrar uma assinatura.

Ao baixar atribuições de função, você deve ter em mente os seguintes critérios:

  • Se você não tiver permissões para ler o diretório, como a função Leitores de Diretório, as colunas DisplayName, SignInName e ObjectType ficarão em branco.
  • As atribuições de função cuja entidade de segurança foi excluída não estão incluídas.
  • O acesso concedido a administradores clássicos não está incluído.

Siga estas etapas para baixar atribuições de função em um escopo.

  1. No portal do Azure, clique em Todos os serviços e selecione o escopo onde você deseja baixar as atribuições de função. Por exemplo, você pode selecionar Grupos de gerenciamento, Assinaturas, Grupos de recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

  4. Clique em Baixar atribuições de função para abrir o painel Baixar atribuições de função.

    Captura de ecrã de Controlo de acesso e Transferir atribuições de função.

  5. Use as caixas de seleção para selecionar as atribuições de função que você deseja incluir no arquivo baixado.

    • Herdado - Inclua atribuições de função herdadas para o escopo atual.
    • No escopo atual - Inclua atribuições de função para o escopo atual.
    • Crianças - Inclua atribuições de função em níveis abaixo do escopo atual. Esta caixa de seleção está desabilitada para o escopo do grupo de gerenciamento.

  6. Selecione o formato de arquivo, que pode ser valores separados por vírgulas (CSV) ou JavaScript Object Notation (JSON).

  7. Especifique o nome do arquivo.

  8. Clique em Iniciar para iniciar o download.

    A seguir mostram exemplos da saída para cada formato de arquivo.

    Captura de tela de atribuições de função de download como CSV.

    Captura de tela das atribuições de função baixadas como no formato JSON.

Conteúdos relacionados