Funções do Azure, funções do Microsoft Entra e funções clássicas de administrador de assinatura

Se você for novo no Azure, poderá ter alguma dificuldade em entender todas as diferentes funções no Azure. Este artigo ajuda a explicar as funções e quando usar cada uma:

  • Funções do Azure
  • Funções do Microsoft Entra
  • Funções de administrador de assinatura Clássico

Para entender melhor as funções no Azure, é bom conhecer sua história. Quando o Azure foi lançado inicialmente, o acesso aos recursos era gerenciado com apenas três funções de administrador: Administrador da conta, administrador de serviços e coadministrador. Posteriormente, o RBAC do Azure (controle de acesso baseado em função do Azure) foi adicionado. O Azure RBAC é um sistema de autorização mais recente que fornece gerenciamento de acesso refinado para recursos do Azure. O RBAC do Azure inclui muitas funções internas, pode ser atribuído em escopos diferentes e permite que você crie funções personalizadas próprias. Para gerenciar recursos no Microsoft Entra ID, como usuários, grupos e domínios, há várias funções do Microsoft Entra.

O diagrama a seguir é uma exibição de alto nível de como as funções do Azure, as funções do Microsoft Entra e as funções clássicas de administrador de assinatura estão relacionadas.

Diagrama mostrando as diferentes funções no Azure.

Funções do Azure

O Azure RBAC é um sistema de autorização baseado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos do Azure, como computação e armazenamento. O Azure RBAC inclui mais de 100 funções internas. Há cinco funções fundamentais do Azure. As três primeiras se aplicam a todos os tipos de recursos:

Função do Azure Permissões Observações
Proprietário
  • Concede acesso total para gerenciar todos os recursos
  • Atribuir funções no RBAC do Azure
O administrador de serviços e os coadministradores recebem a função de Proprietário no escopo da assinatura
Aplica-se a todos os tipos de recurso.
Colaborador
  • Concede acesso total para gerenciar todos os recursos
  • Não é possível atribuir funções no RBAC do Azure
  • Não é possível gerenciar atribuições no Azure Blueprints ou compartilhar galerias de imagens
Aplica-se a todos os tipos de recurso.
Leitor
  • Exibir recursos do Azure
Aplica-se a todos os tipos de recurso.
Administrador de controle de acesso baseado em função
  • Gerenciar o acesso do usuário aos recursos do Azure
  • Atribuir funções no RBAC do Azure
  • Atribuir a si mesmo ou a outras pessoas a função Proprietário
  • Não é possível gerenciar o acesso usando outras formas, como o Azure Policy
Administrador de Acesso do Usuário
  • Gerenciar o acesso do usuário aos recursos do Azure
  • Atribuir funções no RBAC do Azure
  • Atribuir a si mesmo ou a outras pessoas a função Proprietário

As demais funções internas permitem o gerenciamento de recursos específicos do Azure. Por exemplo, a função Colaborador de Máquina Virtual permite que o usuário crie e gerencie máquinas virtuais. Para obter uma lista de todas as funções internas, confira Funções internas do Azure.

Somente o Portal do Azure e as APIs do Azure Resource Manager dão suporte ao RBAC do Azure. Os usuários, grupos e aplicativos aos quais são atribuídas funções do Azure não podem usar as APIs do modelo de implantação clássico do Azure.

No portal do Azure, as atribuições de função usando o RBAC do Azure aparecem no painel Controle de acesso (IAM). Esse painel pode ser encontrado em todo o portal, por exemplo, em grupos de gerenciamento, assinaturas, grupos de recursos e vários recursos.

Captura de tela da página Controle de acesso (IAM) no portal do Azure.

Quando você clicar na guia Funções, verá a lista de funções internas e personalizadas.

Captura de tela mostrando as funções internas no portal do Azure.

Para obter mais informações, confira Atribuir funções do Azure usando o portal do Azure.

Funções do Microsoft Entra

As funções do Microsoft Entra são usadas para gerenciar recursos do Microsoft Entra em um diretório, como criar ou editar usuários, atribuir funções administrativas a outras pessoas, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios. A tabela a seguir descreve algumas das funções mais importantes do Microsoft Entra.

Função do Microsoft Entra Permissões Observações
Administrador global
  • Gerenciar o acesso a todos os recursos administrativos no Microsoft Entra ID, bem como aos serviços federados para o Microsoft Entra ID
  • Atribuir funções de administrador a outras pessoas
  • Redefinir a senha para qualquer usuário e todos os outros administradores
A pessoa que se inscreve no locatário do Microsoft Entra torna-se um administrador global.
Administrador de usuários
  • Criar e gerenciar todos os aspectos de usuários e grupos
  • Gerenciar tíquetes de suporte
  • Monitorar a integridade do serviço
  • Alterar senhas de usuários, Administradores de Assistência Técnica e outros Administradores de Usuário
Administrador de cobrança
  • Fazer compras
  • Gerenciar Assinaturas
  • Gerenciar tíquetes de suporte
  • Monitorar a integridade do serviço

No portal do Azure, você pode ver a lista de funções do Microsoft Entra na página Funções e administradores. Para obter uma lista de todas as funções do Microsoft Entra, consulte Permissões de função de administrador no Microsoft Entra ID.

Captura de tela das funções do Microsoft Entra no portal do Azure.

Diferenças entre as funções do Azure e as funções do Microsoft Entra

Em um nível alto, as funções do Azure controlam permissões para gerenciar recursos do Azure, enquanto as funções do Microsoft Entra controlam permissões para gerenciar recursos do Microsoft Entra. A tabela a seguir compara algumas das diferenças.

Funções do Azure Funções do Microsoft Entra
Gerenciar o acesso aos recursos do Azure Gerenciar o acesso aos recursos do Microsoft Entra
Dá suporte a funções personalizadas Dá suporte a funções personalizadas
O escopo pode ser especificado em vários níveis (grupo de gerenciamento, assinatura, grupo de recursos e recursos) O escopo pode ser especificado no nível do locatário (em toda a organização), na unidade administrativa ou em um objeto individual (por exemplo, um aplicativo específico)
As informações de função podem ser acessadas no portal do Azure, na CLI do Azure, no Azure PowerShell, nos modelos do Azure Resource Manager, na API REST As informações de função podem ser acessadas no portal do Azure, Centro de administração do Microsoft Entra, Centro de administração do Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

As funções do Azure e as funções do Microsoft Entra se sobrepõem?

Por padrão, as funções do Azure e as funções do Microsoft Entra não abrangem o Azure e o Microsoft Entra ID. No entanto, se um Administrador global elevar o acesso escolhendo a opção Gerenciamento de acesso para os recursos do Azure no portal do Azure, ele receberá a função Administrador de Acesso do Usuário (uma função do Azure) em todas as assinaturas de um locatário específico. A função de Administrador de Acesso do Usuário permite que o usuário conceda a outros usuários o acesso aos recursos do Azure. Essa opção pode ser útil para recuperar o acesso a uma assinatura. Para obter mais informações, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

Várias funções do Microsoft Entra abrangem o Microsoft Entra ID e o Microsoft 365, como as funções de administrador global e admistrador de usuário. Por exemplo, se você for membro da função administrador global, terá recursos de administrador global no Microsoft Entra ID e no Microsoft 365, como fazer alterações no Microsoft Exchange e no Microsoft SharePoint. No entanto, por padrão, o Administrador Global não tem acesso aos recursos do Azure.

Diagrama que mostra as diferenças entre o RBAC do Azure e as funções do Microsoft Entra.

Funções de administrador de assinatura Clássico

Importante

Os recursos clássicos e os administradores clássicos serão desativados em 31 de agosto de 2024. A partir de 3 de abril de 2024, você não conseguirá adicionar novos coadministradores. Essa data foi prorrogada recentemente. Remova os Coadministradores desnecessários e use o Azure RBAC para um controle de acesso refinado.

Administrador da Conta, Administrador de Serviços e Coadministrador são as funções de administrador de assinatura clássicas no Azure. Os administradores de assinatura clássicos têm acesso total à assinatura do Azure. Eles podem gerenciar recursos usando o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implantação clássico. A conta usada para se inscrever no Azure é definida automaticamente como Administrador da Conta e Administrador de Serviços. Depois, outros Coadministradores podem ser adicionados. O administrador de serviços e os coadministradores têm o acesso equivalente ao de usuários que receberam a função de Proprietário (uma função do Azure) no escopo da assinatura. A tabela a seguir descreve as diferenças entre essas três funções administrativas de assinatura clássico.

Administrador de assinatura clássico Limite Permissões Observações
Administrador de conta 1 por conta do Azure
  • Pode acessar o portal do Azure e gerenciar a cobrança
  • Gerenciar a cobrança de todas as assinaturas na conta
  • Criar novas assinaturas
  • Cancelar assinaturas
  • Alterar a cobrança de uma assinatura
  • Alterar o administrador do serviço
  • Não é possível cancelar assinaturas, a menos que tenham a função Administrador de Serviços ou Proprietário da assinatura
Conceitualmente, o proprietário de cobrança da assinatura.
Administrador de serviços 1 por assinatura do Azure
  • Gerenciar serviços no portal do Azure
  • Cancelar a assinatura
  • Atribuir usuários à função de coadministrador
Por padrão, para uma nova assinatura, o Administrador da Conta também é o Administrador de Serviços.
O administrador de serviço tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura.
O Administrador de Serviços não tem acesso completo ao portal do Azure.
Coadministrador 200 por assinatura
  • Os mesmos privilégios de acesso que o administrador de serviços, mas não pode alterar a associação de assinaturas aos diretórios do Microsoft Entra
  • Atribui usuários à função de coadministrador, mas não pode alterar o administrador de serviço
O coadministrador tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura.

No portal do Azure, você pode gerenciar Coadministradores ou exibir o Administrador de Serviços usando a guia Administradores clássicos.

Captura de tela mostrando os administradores de assinatura clássicos do Azure no portal do Azure.

Para obter mais informações, veja Administradores de assinatura clássicos do Azure.

Conta do Azure e assinaturas do Azure

Uma conta do Azure é usada para estabelecer um relacionamento de cobrança. Uma conta do Azure é uma identidade de usuário, uma ou mais assinaturas do Azure e um conjunto de recursos do Azure associado. A pessoa que cria a conta é o administrador da conta para todas as assinaturas criadas nessa conta. Essa pessoa também é o administrador de serviço padrão da assinatura.

As assinaturas do Azure o ajudam a organizar o acesso aos recursos do Azure. Eles também ajudam a controlar como o uso de recursos é reportado, cobrado e pago. Cada assinatura pode ter uma configuração diferente de cobrança e pagamento, assim você pode ter diferentes assinaturas e planos diferentes por escritório, departamento, projeto e afins. Cada serviço pertence a uma assinatura e a ID da assinatura pode ser exigida para operações programáticas.

Cada assinatura é associada a um diretório do Microsoft Entra. Para localizar o diretório ao qual a assinatura está associada, abra Assinaturas no portal do Azure e selecione uma assinatura para visualizar o diretório.

Contas e assinaturas são gerenciadas no portal do Azure.

Próximas etapas