Compartilhar via


Atribuir funções do Azure a utilizadores externos utilizando o portal do Azure

O controle de acesso baseado em função do Azure (RBAC do Azure) permite um melhor gerenciamento de segurança para grandes empresas e, empresas de pequeno e médio porte que trabalham com colaboradores externos, fornecedores ou freelancers que precisam de acesso a recursos específicos no seu ambiente, mas não necessariamente a toda a infraestrutura nem nenhum escopo relacionado à cobrança. Você pode usar os recursos do Microsoft Entra B2B para colaborar com usuários externos e pode usar o Azure RBAC para conceder apenas as permissões que os usuários externos precisam em seu ambiente.

Pré-requisitos

Para atribuir funções do Azure e remover atribuições de função, você precisa ter:

Quando convidar usuários externos?

Aqui estão alguns exemplos de cenários em que você pode convidar usuários para sua organização e conceder permissões:

  • Permitir que um fornecedor externo autônomo tenha apenas uma conta de email para acessar os recursos do Azure para um projeto.
  • Permitir que um parceiro externo gerencie determinados recursos ou uma assinatura inteira.
  • Permitir que os engenheiros de suporte que não são da sua organização (como o suporte da Microsoft) acessem temporariamente o recurso do Azure para solucionar problemas.

Diferenças de permissão entre usuários membros e usuários convidados

Os usuários de um diretório com tipo de membro (usuários membros) têm permissões diferentes por padrão dos usuários convidados de outro diretório como convidados de colaboração B2B (usuários convidados). Por exemplo, os usuários membros podem ler quase todas as informações do diretório, enquanto os usuários convidados têm permissões restritas de diretório. Para obter mais informações sobre usuários membros e usuários convidados, veja Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Convide um usuário externo para o seu diretório

Siga estas etapas para convidar um usuário externo para seu diretório no Microsoft Entra ID.

  1. Entre no portal do Azure.

  2. Certifique-se de que as configurações de colaboração externa da sua organização estejam definidas de forma que você tenha permissão para convidar usuários externos. Para obter mais informações, confira Definir configurações de colaboração externa.

  3. Selecione Microsoft Entra ID>Usuários.

  4. Selecione Novo usuário>Convidar usuário externo.

    Screenshot of Invite external user page in Azure portal.

  5. Siga as etapas para convidar um usuário externo. Para saber mais, veja Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Depois de convidar um usuário externo para o diretório, você pode enviar ao usuário externo um link direto para um aplicativo compartilhado ou o usuário externo pode selecionar o link aceitar convite no email de convite.

Screenshot of external user invite email.

Para que o usuário externo possa acessar seu diretório, ele deverá concluir o processo de convite.

Screenshot of external user invite review permissions.

Para obter mais informações sobre o processo de convite, veja Resgate de convite de colaboração Microsoft Entra B2B.

Atribuir uma função a um usuário externo

No RBAC do Azure, para conceder acesso, você atribui uma função. Para atribuir uma função a um utilizador externo, siga os mesmos passos que seguiria para um utilizador membro, grupo, entidade de serviço ou identidade gerida. Siga estas etapas para atribuir uma função a um usuário externo em diferentes escopos.

  1. Entre no portal do Azure.

  2. Pesquise pelo escopo ao qual você deseja conceder acesso na caixa Pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.

  3. Selecione o recurso específico desse escopo.

  4. Selecione IAM (Controle de acesso) .

    O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.

    Screenshot of Access control (IAM) page for a resource group.

  5. Selecione a guia Atribuições de função para ver todas as atribuições de função nesse escopo.

  6. Selecione Adicionar>Adicionar atribuição de função.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

    Screenshot of Add > Add role assignment menu.

    A página Adicionar atribuição de função será aberta.

  7. Na guia Função, selecione uma função como Contribuidor de Máquina Virtual.

    Screenshot of Add role assignment page with Roles tab.

  8. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

    Screenshot of Add role assignment page with Members tab.

  9. Escolha Selecionar membros.

  10. Encontre e selecione o usuário externo. Se o usuário não estiver na lista, digite na caixa Selecionar para pesquisar no diretório o nome de exibição ou o endereço de email.

    Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

    Screenshot of Select members pane.

  11. Selecione Selecionar para adicionar o usuário externo à lista de Membros.

  12. Na guia Revisão + atribuição, selecione Examinar + atribuir.

    Após alguns momentos, o usuário externo recebe a função no escopo selecionado.

    Screenshot of role assignment for Virtual Machine Contributor.

Atribuir uma função a um usuário externo que ainda não está em seu diretório

Para atribuir uma função a um utilizador externo, siga os mesmos passos que seguiria para um utilizador membro, grupo, entidade de serviço ou identidade gerida.

Se o usuário externo ainda não estiver em seu diretório, você poderá convidá-lo diretamente no painel Selecionar membros.

  1. Entre no portal do Azure.

  2. Pesquise pelo escopo ao qual você deseja conceder acesso na caixa Pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.

  3. Selecione o recurso específico desse escopo.

  4. Selecione IAM (Controle de acesso) .

  5. Selecione Adicionar>Adicionar atribuição de função.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

    Screenshot of Add > Add role assignment menu.

    A página Adicionar atribuição de função será aberta.

  6. Na guia Função, selecione uma função como Contribuidor de Máquina Virtual.

  7. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

    Screenshot of Add role assignment page with Members tab.

  8. Escolha Selecionar membros.

  9. Na caixa Selecionar, digite o endereço de email da pessoa que deseja convidar e selecione essa pessoa.

    Screenshot of invite external user in Select members pane.

  10. Selecione Selecionar para adicionar o usuário externo à lista de Membros.

  11. Na guia Revisar + atribuir, selecione Revisar + atribuir para adicionar o usuário externo ao seu diretório, atribuir a função e enviar um convite.

    Após alguns instantes, você verá uma notificação da atribuição de função e informações sobre o convite.

    Screenshot of role assignment and invited user notification.

  12. Para convidar manualmente o usuário externo, clique com o botão direito e copie o link do convite na notificação. Não selecione o link do convite porque ele inicia o processo de convite.

    O link do convite terá o seguinte formato:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Envie o link do convite ao usuário externo para concluir o processo de convite.

    Para obter mais informações sobre o processo de convite, veja Resgate de convite de colaboração Microsoft Entra B2B.

Remova um usuário externo do seu diretório

Antes de remover um usuário externo de um diretório, você deve primeiro remover quaisquer atribuições de função desse usuário externo. Siga estas etapas para remover um usuário externo de um diretório.

  1. Abra o Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, onde o usuário externo tem uma atribuição de função.

  2. Selecione a guia Atribuições de funções para visualizar todas as atribuições de funções.

  3. Na lista de atribuições de função, adicione uma marca de seleção ao lado do usuário externo com a atribuição de função que você deseja remover.

    Screenshot of selected role assignment to remove.

  4. Selecione Remover.

    Screenshot of Remove role assignment message.

  5. Na mensagem de remoção de atribuição de função exibida, selecione Sim.

  6. Selecione a guia Administradores clássicos.

  7. Se o usuário externo tiver uma atribuição de coadministrador, adicione uma marca de seleção ao lado do usuário externo e selecione Remover.

  8. Na barra de navegação esquerda, selecione Microsoft Entra ID>Usuários.

  9. Selecione o usuário externo que você deseja remover.

  10. Selecione Excluir.

    Screenshot of deleting an external user.

  11. Na mensagem de exclusão que é exibida, clique em Sim.

Solucionar problemas

O usuário externo não pode navegar no diretório

Os usuários externos têm permissões de diretório restritas. Por exemplo, os usuários externos não podem navegar no diretório e não podem procurar grupos ou aplicativos. Para obter mais informações, veja Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Screenshot of external user can't browse users in a directory.

Se um usuário externo precisar de privilégios adicionais no diretório, você poderá atribuir uma função Microsoft Entra ao usuário externo. Se você realmente deseja que um usuário externo tenha acesso total de leitura ao seu diretório, você pode adicionar o usuário externo à função Leitores de Diretório no Microsoft Entra ID. Para saber mais, veja Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Screenshot of assigning Directory Readers role.

O usuário externo não pode procurar usuários, grupos ou entidades de serviço para atribuir funções

Os usuários externos têm permissões de diretório restritas. Mesmo que um utilizador externo seja um Proprietário num âmbito, se tentar atribuir uma função para conceder acesso a outra pessoa, não poderá navegar na lista de utilizadores, grupos ou entidades de serviço.

Screenshot of external user can't browse security principals to assign roles.

Se o usuário externo souber o nome exato de entrada de alguém no diretório, ele poderá conceder acesso. Se você realmente deseja que um usuário externo tenha acesso total de leitura ao seu diretório, você pode adicionar o usuário externo à função Leitores de Diretório no Microsoft Entra ID. Para saber mais, veja Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

O usuário externo não pode registrar aplicativos ou criar entidades de serviço

Os usuários externos têm permissões de diretório restritas. Se um usuário externo precisar registrar aplicativos ou criar entidades de serviço, você poderá adicionar o usuário externo à função Desenvolvedor de aplicativos no Microsoft Entra ID. Para saber mais, veja Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Screenshot of external user can't register applications.

O usuário externo não vê o novo diretório

Se um utilizador externo tiver acesso a um diretório, mas não vir o novo diretório listado no portal do Azure quando tentar mudar na sua página Diretórios, certifique-se de que o utilizador externo concluiu o processo de convite. Para obter mais informações sobre o processo de convite, veja Resgate de convite de colaboração Microsoft Entra B2B.

O usuário externo não vê os recursos

Se um utilizador externo tiver acesso a um diretório, mas não vir os recursos aos quais foi concedido acesso no portal do Azure, certifique-se de que o utilizador externo selecionou o diretório correto. Um usuário externo pode ter acesso a vários diretórios. Para alternar diretórios, no canto superior esquerdo, selecione Configurações>Diretórios e selecione o diretório apropriado.

Screenshot of Portal setting Directories section in Azure portal.

Próximas etapas