Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições

Como administrador, você pode receber várias solicitações para conceder acesso aos recursos do Azure que deseja delegar a outra pessoa. Você pode atribuir a um usuário as funções de Proprietário ou Administrador de Acesso de Usuário, mas essas são funções altamente privilegiadas. Este artigo descreve uma maneira mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização, mas adicionar restrições para essas atribuições de função. Por exemplo, você pode restringir as funções que podem ser atribuídas ou restringir as entidades às quais as funções podem ser atribuídas.

O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções de Colaborador de Backup ou Leitor de Backup somente aos grupos de Marketing ou Vendas.

Pré-requisitos

Para atribuir funções do Azure, você precisa ter:

• Microsoft.Authorization/roleAssignments/write permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário

Etapa 1: Determinar as permissões de que o delegado precisa

Para ajudar a determinar as permissões de que o delegado precisa, responda às seguintes perguntas:

• Quais funções o delegado pode atribuir?
• A quais tipos de entidades de segurança o delegado pode atribuir funções?
• A quais entidades de segurança o delegado pode atribuir funções?
• O delegado pode remover as atribuições de função?

Depois de saber as permissões que o delegado precisa, use as etapas a seguir para adicionar uma condição à atribuição de função do representante. Para obter condições de exemplo, consulte Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.

Etapa 2: Iniciar uma nova atribuição de função

1. Entre no portal do Azure.

2. Siga as etapas para abrir a página Adicionar atribuição de função.

3. Na guia Funções, selecione a guia Funções de administrador privilegiado.

4. Selecione a função Administrador de Controle de Acesso Baseado em Função .

   A guia Condições é exibida.

   Você pode selecionar qualquer função que inclua as ações ouMicrosoft.Authorization/roleAssignments/delete, como Administrador de Acesso de Usuário, mas o Administrador de Controle de Microsoft.Authorization/roleAssignments/write Acesso Baseado em Função tem menos permissões.

5. Na guia Membros, localize e selecione o delegado.

Etapa 3: Adicionar uma condição

Há duas maneiras de se adicionar uma condição. Você pode usar um modelo de condição ou um editor de condição avançado.

Modelo

1. Na guia Condições em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades.

   A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.

   

3. Selecione um modelo de condição e, em seguida, selecione Configurar.

   Modelo de condição	Selecione este modelo para
   Restringir funções	Permitir que o usuário atribua apenas funções selecionadas
   Restringir funções e tipos principais	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções somente aos tipos de entidade selecionados (usuários, grupos ou entidades de serviço)
   Restringir funções e entidades	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções somente às entidades selecionadas

4. No painel de configuração, adicione as configurações necessárias.

   

5. Selecione Salvar para adicionar a condição à atribuição de função.

Editor de condições

Se os modelos de condição não funcionarem para o seu cenário ou se você quiser ter mais controle, você poderá usar o editor de condições.

Abrir editor de condições

1. Na guia Condições em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades.

   A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.

   

3. Selecione Abrir editor de condição avançado.

   A página Adicionar condição de atribuição de função será exibida.

4. Para a opção Tipo de editor, deixe o Visual padrão selecionado.

Adicionar ação

1. Na seção Adicionar ação, selecione Adicionar ação.

   O painel Selecionar uma ação será exibido. Esse painel é uma lista filtrada de ações com base na atribuição de função que será o destino da sua condição.

   

2. Selecione a ação Criar ou atualizar atribuições de função que você deseja permitir se a condição for verdadeira.

   Dica

   Se você selecionar as ações Criar ou atualizar atribuições de função e Excluir uma atribuição de função, não poderá adicionar uma expressão de condição. Se você quiser direcionar ambas as ações, deverá adicionar duas condições. Para obter mais informações, consulte Exemplo: restringir funções.

Criar expressões

1. Na seção Criar expressão, selecione Adicionar expressão.

   Aqui é onde você cria a expressão para restringir atribuições de função que o delegado pode adicionar.

2. Na lista Origem do atributo, selecione Solicitação.

3. Na lista Atributo, selecione um dos seguintes atributos para o lado esquerdo da expressão.

   • A ID de definição de função é usada para restringir as funções que o delegado pode atribuir.
   • A ID da entidade de segurança é usada para restringir as entidades específicas às quais o delegado pode atribuir funções.
   • O tipo principal é usado para restringir os tipos de entidades (usuários, grupos ou entidades de serviço) aos quais o delegado pode atribuir funções.

4. Na lista Operador, selecione um operador.

   Dependendo do atributo e da expressão que você deseja criar, você normalmente seleciona esses operadores, que permitem selecionar um ou mais valores para o lado direito da expressão.

   Atributo	Operador comum
   ID de definição de função	ForAnyOfAnyValues:GuidEquals
   ID da entidade de segurança	ForAnyOfAnyValues:GuidEquals
   Tipo de entidade	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Na caixa Valor, insira um ou mais valores para o lado direito da expressão.

   

6. Adicione expressões adicionais conforme necessário.

   Dica

   Quando você adiciona várias expressões para delegar o gerenciamento de atribuição de função com condições, normalmente usa o operador And entre expressões em vez do operador Or padrão.

7. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 4: Atribuir função com condição para delegar

1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

2. Selecione Examinar e atribuir para atribuir a função.

   Após alguns instantes, o delegado recebe a função Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.

Etapa 5: Delegar atribui funções com condições

• O delegado agora pode seguir as etapas para atribuir funções.

  

  Quando o delegado tenta atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar apenas as funções que eles podem atribuir.

  

  Se houver uma condição para entidades de segurança, a lista de entidades disponíveis para atribuição também será filtrada.

  

  Se o delegado tentar atribuir uma função que esteja fora das condições usando uma API, a atribuição de função falhará com um erro. Para obter mais informações, consulte Sintoma - Não é possível atribuir uma função.

Próximas etapas

• Delegar o gerenciamento de acesso do Azure a outras pessoas
• Ações e atributos de autorização