Solucionar problemas do RBAC do Azure

Este artigo descreve algumas soluções comuns para problemas relacionados ao RBAC do Azure (controle de acesso baseado em função do Azure).

Limites

Sintoma – não podem ser criadas mais atribuições da função

Ao tentar atribuir uma função, você recebe a seguinte mensagem de erro:

No more role assignments can be created (code: RoleAssignmentLimitExceeded)

Causa

O Azure dá suporte a até 4 mil atribuições de função por assinatura. Esse limite inclui atribuições de função nos escopos de assinatura, de grupo de recursos e de recursos, mas não no escopo do grupo de gerenciamento.

Observação

Para nuvens especializadas, como o Azure Governamental e o Azure China 21Vianet, o limite é de 2 mil atribuições de funções por assinatura.

Solução

Tente reduzir o número de atribuições de função na assinatura. Se você estiver se aproximando desse limite, veja algumas formas de reduzir o número de atribuições de função:

  • Adicione usuários a grupos e atribua funções aos grupos.
  • Combine várias funções internas com uma função personalizada.
  • Faça atribuições de função comuns em um escopo mais alto, como assinatura ou grupo de gerenciamento.
  • Se você tiver o Azure AD Premium P2, torne as atribuições de função qualificadas no Azure AD Privileged Identity Management em vez de atribuídas permanentemente.
  • Adicione uma assinatura extra.

Para obter o número de atribuições de função, você pode ver o gráfico na página IAM (controle de acesso) no portal do Azure. Você também pode usar os seguintes comandos do Azure PowerShell:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Sintoma – Não é possível criar mais atribuições de função no escopo do grupo de gerenciamento

Não é possível atribuir uma função no escopo do grupo de gerenciamento.

Causa

O Azure dá suporte para até 500 atribuições de função por grupo de gerenciamento. Esse limite é diferente do limite de atribuições de função por assinatura.

Observação

O limite de 500 atribuições de função por grupo de gerenciamento é fixo e não pode ser aumentado.

Solução

Tente reduzir o número de atribuições de função no grupo de gerenciamento.

Atribuições de função do Azure

Sintoma – não é possível atribuir uma função

Não é possível atribuir uma função no portal do Azure no controle de acesso (IAM) porque a opção Adicionar>Adicionar atribuição de função está desabilitada ou porque você obtém o seguinte erro de permissões:

The client with object id does not have authorization to perform action

Causa

No momento, você está conectado com um usuário que não tem permissão para atribuir funções no escopo selecionado.

Solução

Verifique se você está conectado com um usuário atribuído a uma função que tem a permissão Microsoft.Authorization/roleAssignments/write, como o Proprietário ou o Administrador de Acesso do Usuário no escopo em que você está tentando atribuir a função.

Sintoma – não é possível atribuir uma função usando uma entidade de serviço com a CLI do Azure

Você está usando uma entidade de serviço para atribuir funções com a CLI do Azure e obtém o seguinte erro:

Insufficient privileges to complete the operation

Por exemplo, digamos que você tenha uma entidade de serviço à qual tenha sido atribuída a função Proprietário e tente criar a seguinte atribuição de função como entidade de serviço usando a CLI do Azure:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Causa

É provável que a CLI do Azure esteja tentando pesquisar a identidade do destinatário no Azure AD e a entidade de serviço não consegue ler o Azure AD por padrão.

Solução

Há duas maneiras possíveis de resolver esse erro. A primeira delas é atribuir a função Leitores de Diretório à entidade de serviço para que possa ler dados no diretório.

A segunda maneira de resolver esse erro é criar a atribuição de função usando o parâmetro --assignee-object-id em vez de --assignee. Usando --assignee-object-id, a CLI do Azure ignora a pesquisa do Azure AD. Você precisa obter a ID de objeto do usuário, grupo ou aplicativo ao qual deseja atribuir a função. Para obter mais informações, confira Atribuir funções do Azure usando a CLI do Azure.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Sintoma – às vezes, a atribuição de uma função a uma nova entidade de segurança falha

Você cria um novo usuário, grupo ou entidade de serviço e tenta imediatamente atribuir uma função a essa entidade e a atribuição de função às vezes falha. Você recebe uma mensagem semelhante ao seguinte erro:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Causa

O motivo provavelmente é um atraso de replicação. A entidade de segurança é criada em uma região; no entanto, a atribuição de função pode ocorrer em uma região diferente que ainda não replicou a entidade de segurança.

Solução 1

Se você estiver criando um novo usuário ou entidade de serviço usando a API REST ou o modelo do ARM, defina a principalType propriedade ao criar a atribuição de função usando a API Atribuições de Função – Criar .

principalType apiVersion
User 2020-03-01-preview ou posterior
ServicePrincipal 2018-09-01-preview ou posterior

Para obter mais informações, confira Atribuir funções do Azure a uma nova entidade de serviço usando a API REST ou Atribuir funções do Azure a uma nova entidade de serviço usando modelos do Azure Resource Manager.

Solução 2

Se você estiver criando um novo usuário ou entidade de serviço usando Azure PowerShell, defina o ObjectType parâmetro como User ou ServicePrincipal ao criar a atribuição de função usando New-AzRoleAssignment. As mesmas restrições de versão da API subjacente da Solução 1 ainda se aplicam. Para obter mais informações, confira Atribuir funções do Azure usando o Azure PowerShell.

Solução 3

Se você estiver criando um novo grupo, aguarde alguns minutos antes de criar a atribuição de função.

Sintoma – a atribuição de função de modelo do ARM retorna o status BadRequest

Ao tentar implantar um arquivo Bicep ou modelo do ARM que atribui uma função a uma entidade de serviço, você recebe o erro:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Por exemplo, se você criar uma atribuição de função para uma identidade gerenciada, excluir a identidade gerenciada e recriá-la, a nova identidade gerenciada terá uma ID de entidade de segurança diferente. Se você tentar implantar a atribuição de função novamente e usar o mesmo nome de atribuição de função, a implantação falhará.

Causa

A atribuição de função name não é exclusiva e é exibida como uma atualização.

As atribuições de função são identificadas exclusivamente pelo nome, que é um GUID (identificador global exclusivo). Não é possível criar duas atribuições de função com o mesmo nome, ainda que em assinaturas diferentes do Azure. Você também não pode alterar as propriedades de uma atribuição de função existente.

Solução

Forneça um valor exclusivo idempotente para a atribuição de função name. É uma boa prática criar um GUID que use o escopo, a ID principal e a ID da função juntos. Use a função guid() para ajudar na criação de um GUID determinístico para seus nomes de atribuição de função, como neste exemplo:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Para obter mais informações, consulte Criar recursos do Azure RBAC usando o Bicep.

Sintoma – atribuições de função com identidade não encontrada

Na lista de atribuições de função para o portal do Azure, você observa que a entidade de segurança (usuário, grupo, entidade de serviço ou identidade gerenciada) está listada como Identidade não encontrada com um tipo Desconhecido.

Identidade não encontrada listada nas atribuições de função do Azure

Se você listar essa atribuição de função usando o Azure PowerShell, poderá ver um DisplayName e um SignInName vazios, ou ObjectType definido com o valor Unknown. Por exemplo, Get-AzRoleAssignment retorna uma atribuição de função semelhante à seguinte saída:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Da mesma forma, se você listar essa atribuição de função usando a CLI do Azure, poderá ver um principalName vazio. Por exemplo, az role assignment list retorna uma atribuição de função semelhante à seguinte saída:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Causa 1

Você recentemente convidou um usuário ao criar uma atribuição de função e essa entidade de segurança ainda está no processo de replicação entre regiões.

Solução 1

Aguarde alguns instantes e atualize a lista de atribuições de função.

Causa 2

Você excluiu uma entidade de segurança que tinha uma atribuição de função. Se você atribuir uma função a uma entidade de segurança e posteriormente excluí-la sem primeiro remover a atribuição de função, a entidade de segurança será listada como Identidade não encontrada e um tipo Desconhecido.

Solução 2

Não é um problema deixar essas atribuições de função onde a entidade de segurança foi excluída. Se desejar, você poderá remover essas atribuições de função usando etapas semelhantes a outras atribuições de função. Para obter informações sobre como remover atribuições de função, confira Remover atribuições de função do Azure.

No PowerShell, se você tentar remover as atribuições de função usando a ID de objeto e o nome de definição de função e mais de uma atribuição de função corresponder aos parâmetros, você receberá a mensagem de erro: The provided information does not map to a role assignment. A seguinte saída mostra um exemplo da mensagem de erro:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Se você receber essa mensagem de erro, especifique também os parâmetros -Scope ou -ResourceGroupName.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Sintoma – não é possível excluir a última atribuição da função Proprietário

Você tenta remover a última atribuição da função Proprietário para uma assinatura e vê o seguinte erro:

Cannot delete the last RBAC admin assignment

Causa

Não há suporte para a remoção da atribuição de função do proprietário de uma assinatura para evitar que ela fique órfã.

Solução

Se você quiser cancelar sua assinatura, confira Cancelar sua assinatura do Azure.

Você poderá remover a última atribuição de função de Proprietário (ou Administrador de Acesso do Usuário) no escopo da assinatura, se você for um Administrador Global do locatário ou um administrador clássico (Administrador de Serviços ou Coadministrador) da assinatura. Nesse caso, não há restrição para exclusão. No entanto, se a chamada for de alguma outra entidade de serviço, você não poderá remover a última atribuição de função de Proprietário no escopo da assinatura.

Sintoma – a atribuição de função não é movida após mover um recurso

Causa

Se você mover um recurso que tenha uma função do Azure atribuída diretamente ao recurso (ou a um recurso filho), a atribuição de função não será movida e se tornará órfã.

Solução

Depois de mover um recurso, você precisa recriar a atribuição de função. Por fim, a atribuição de função órfã será removida automaticamente, mas a melhor prática é remover a atribuição de função antes de mover o recurso. Para obter informações sobre como mover recursos, confira Mover recursos para um novo grupo de recursos ou assinatura.

Sintoma – não estão sendo detectadas alterações de atribuição de função

Você adicionou ou atualizou recentemente uma atribuição de função, mas as alterações não estão sendo detectadas. Você pode ver a mensagem Status: 401 (Unauthorized).

Causa 1

Às vezes, o Azure Resource Manager armazena em cache configurações e dados para melhorar o desempenho. Quando você atribui funções ou remove atribuições de função, pode levar até 30 minutos para que as alterações entrem em vigor.

Solução 1

Se estiver usando o portal do Azure, o Azure PowerShell ou a CLI do Azure, será possível forçar uma atualização das alterações de atribuição de função, saindo e entrando novamente. Se estiver fazendo alterações de atribuição de função com chamadas à API REST, poderá forçar uma atualização atualizando o token de acesso.

Se você for adicionar ou remover uma atribuição de função no escopo do grupo de gerenciamento e a função tiver DataActions, o acesso no plano de dados poderá não ser atualizado por várias horas. Isso se aplica somente ao escopo do grupo de gerenciamento e ao plano de dados.

Causa 2

Você adicionou identidades gerenciadas a um grupo e atribuiu uma função a esse grupo. Os serviços de back-end para identidades gerenciadas mantêm um cache por URI de recurso por cerca de 24 horas.

Solução 2

Pode levar várias horas para que as alterações em uma associação de grupo ou de função de uma identidade gerenciada entrem em vigor. Para obter mais informações, consulte Limitação do uso de identidades gerenciadas para autorização.

Sintoma – A remoção das atribuições de função usando o PowerShell leva vários minutos

Use o comando Remove-AzRoleAssignment para remover uma atribuição de função. Em seguida, use o comando Get-AzRoleAssignment para verificar se a atribuição de função foi removida para uma entidade de segurança. Por exemplo:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

O comando Get-AzRoleAssignment indica que a atribuição de função não foi removida. No entanto, se você aguardar de 5 a 10 minutos e executar Get-AzRoleAssignment novamente, a saída indicará que a atribuição de função foi removida.

Causa

A atribuição de função foi removida. No entanto, para melhorar o desempenho, o PowerShell usa um cache ao listar atribuições de função. Pode haver um atraso de cerca de 10 minutos para que o cache seja atualizado.

Solução

Em vez de listar as atribuições de função para uma entidade de segurança, liste todas as atribuições de função no escopo da assinatura e filtre a saída. Por exemplo, o seguinte comando:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id 

Pode ser substituído por este comando:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Funções personalizadas

Sintoma – não é possível excluir ou atualizar uma função personalizada

Não é possível atualizar uma função personalizada.

Causa

No momento, você está conectado com um usuário que não tem permissão para atualizar funções personalizadas.

Solução

Verifique se você está atualmente conectado como um usuário com atribuição de função que tenha a permissão Microsoft.Authorization/roleDefinition/write, como Proprietário ou Administrador de Acesso do Usuário.

Sintoma – não é possível criar ou atualizar uma função personalizada

Ao tentar criar ou atualizar uma função personalizada, você recebe um erro semelhante ao seguinte:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Causa

Esse erro geralmente indica que você não tem permissões para um ou mais escopos atribuíveis na função personalizada.

Solução

Experimente o seguinte:

Para obter mais informações, confira os tutoriais de função personalizada usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Sintoma – não é possível excluir uma função personalizada

Você não consegue excluir uma função personalizada e recebe a seguinte mensagem de erro:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Causa

Remova as atribuições de função que ainda estão usando a função personalizada.

Solução

Remova as atribuições de função que usam a função personalizada e tente excluir a função personalizada novamente. Para obter mais informações, confira Localizar atribuições de função para excluir uma função personalizada.

Sintoma – não é possível adicionar mais de um grupo de gerenciamento como escopo atribuível

Ao tentar criar ou atualizar uma função personalizada, não é possível adicionar mais de um grupo de gerenciamento como escopo atribuível.

Causa

Você só pode definir um grupo de gerenciamento em AssignableScopes de uma função personalizada. A adição de um grupo de gerenciamento a AssignableScopes está em versão prévia no momento.

Solução

Defina um grupo de gerenciamento em AssignableScopes da sua função personalizada. Para obter mais informações sobre funções personalizadas e grupos de gerenciamento, confira Organizar seus recursos com grupos de gerenciamento do Azure.

Sintoma – não é possível adicionar ações de dados à função personalizada

Ao tentar criar ou atualizar uma função personalizada, não é possível adicionar ações de dados ou você vê a seguinte mensagem:

You cannot add data action permissions when you have a management group as an assignable scope

Causa

Você está tentando criar uma função personalizada com ações de dados e um grupo de gerenciamento como escopo atribuível. Funções personalizadas com DataActions não podem ser atribuídas no escopo do grupo de gerenciamento.

Solução

Crie a função personalizada com uma ou mais assinaturas como o escopo atribuível. Para obter mais informações sobre funções personalizadas e grupos de gerenciamento, confira Organizar seus recursos com grupos de gerenciamento do Azure.

Sintoma – nenhuma definição de função adicional pode ser criada

Ao tentar criar uma função personalizada, você recebe a seguinte mensagem:

Role definition limit exceeded. No more role definitions can be created (code: RoleDefinitionLimitExceeded)

Causa

O Azure dá suporte a até 5.000 funções personalizadas em um diretório. (Para o Azure China 21Vianet, o limite é de 2 mil funções personalizadas.)

Solução

Tente reduzir o número de funções personalizadas.

Acesso negado ou erros de permissão

Sintoma – falha na autorização

Ao tentar criar um recurso, você recebe a seguinte mensagem de erro:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Causa

No momento, você está conectado com um usuário que não tem permissão de gravação para o recurso no escopo selecionado.

Solução

Verifique se está atualmente conectado como um usuário com atribuição de função que tenha permissão de gravação para o recurso no escopo selecionado. Por exemplo, para gerenciar máquinas virtuais em um grupo de recursos, você deverá ter a função Colaborador da Máquina Virtual no grupo de recursos (ou escopo pai). Para obter uma lista das permissões de cada função interna, confira Funções internas do Azure.

Sintoma – não é possível criar uma solicitação de suporte

Ao tentar criar ou atualizar um tíquete de suporte, você recebe a seguinte mensagem de erro:

You don't have permission to create a support request

Causa

No momento, você está conectado com um usuário que não tem permissão para criar solicitações de suporte.

Solução

Verifique se você está atualmente conectado como um usuário com atribuição de função que tenha a permissão Microsoft.Support/supportTickets/write, como Contribuidor de Solicitação de Suporte.

Os recursos do Azure estão desabilitados

Sintoma – alguns recursos do aplicativo Web estão desabilitados

Um usuário tem acesso de leitura a um aplicativo Web e alguns recursos estão desabilitados.

Causa

Se você conceder a um usuário o acesso de leitura a um aplicativo Web, alguns recursos inesperados estarão desabilitados. As funcionalidades de gerenciamento a seguir exigem o acesso de gravação em um aplicativo Web e não estão disponíveis em um cenário somente leitura.

  • Comandos (como iniciar, parar, etc.)
  • Alterar configurações como configuração geral, configurações de escala, configurações de backup e configurações de monitoramento.
  • Acessar credenciais de publicação e outros segredos como configurações de aplicativos e cadeias de conexão.
  • Logs de streaming
  • Configuração de logs de recursos
  • Console (prompt de comando)
  • Ativo e implantações recentes (para a implantação contínua do git local)
  • Gasto estimado
  • Testes da Web
  • Rede virtual (somente visível para um leitor se uma rede virtual foi anteriormente configurada por um usuário com acesso para gravação).

Solução

Atribua um Contribuidor ou outra função interna do Azure com permissões de gravação para o aplicativo Web.

Sintoma – alguns recursos do aplicativo Web estão desabilitados

Um usuário tem acesso de gravação a um aplicativo Web e alguns recursos estão desabilitados.

Causa

Os aplicativos Web são complicados pela presença de alguns recursos diferentes que interagem. Aqui está um grupo de recursos típico com alguns sites:

Grupo de recursos do aplicativo Web

Como resultado, se você conceder a alguém o acesso somente ao aplicativo Web, muitas das funcionalidades na folha do site no portal do Azure estarão desabilitadas.

Estes itens exigem acesso para gravação no Plano do Serviço de Aplicativos que corresponde ao seu site:

  • Exibindo o tipo de preço do aplicativo Web (Gratuito ou Standard)
  • Configuração de escala (número instâncias, tamanho da máquina virtual, configurações de escalonamento automático)
  • Cotas (armazenamento, largura de banda, CPU)

Estes itens exigem acesso para gravação no Grupo de recursos inteiro que contém o seu site:

  • Associações e Certificados TLS/SSL (os certificados TLS/SSL podem ser compartilhados entre sites no mesmo grupo de recursos e localização geográfica)
  • Regras de alerta
  • Configurações de autoescala
  • Componentes do Application insights
  • Testes da Web

Solução

Atribua uma função interna do Azure com permissões de gravação para o plano de serviço de aplicativo ou grupo de recursos.

Sintoma – alguns recursos de máquina virtual estão desabilitados

Um usuário tem acesso a uma máquina virtual e alguns recursos estão desabilitados.

Causa

Semelhante aos aplicativos Web, alguns recursos na folha da máquina virtual exigem acesso para gravação à máquina virtual ou a outros recursos no grupo de recursos.

As máquinas virtuais são relacionadas a nomes de domínio, redes virtuais, contas de armazenamento e regras de alerta.

Estes itens exigem acesso para gravação na máquina virtual:

  • Pontos de extremidade
  • Endereços IP
  • Discos
  • Extensões

Estes exigem acesso para gravação tanto na máquina virtual quanto no grupo de recursos (juntamente com o Nome de domínio) encontrados em:

  • Conjunto de disponibilidade
  • Conjunto de balanceamento de carga
  • Regras de alerta

Se você não conseguir acessar nenhum desses blocos, solicite ao administrador o acesso de Colaborador ao Grupo de recursos.

Solução

Atribua uma função interna do Azure com permissões de gravação para a máquina virtual ou o grupo de recursos.

Sintoma – alguns recursos do aplicativo de funções estão desabilitados

Um usuário tem acesso a um aplicativo de funções e alguns recursos estão desabilitados. Por exemplo, podem clicar na guia Recursos da plataforma e, em seguida, clicar em Todas as configurações para exibir algumas configurações relacionadas a um aplicativo de funções (semelhante a um aplicativo Web), mas não pode modificar essas configurações.

Causa

Alguns recursos do Azure Functions exigem acesso de gravação. Por exemplo, se um usuário receber a função Reader, ele não poderá ver as funções em um aplicativo de funções. O portal exibirá (Sem acesso).

Aplicativos de funções sem acesso

Solução

Atribua uma função interna do Azure com permissões de gravação para o aplicativo de funções ou grupo de recursos.

Transferência de uma assinatura para um diretório diferente

Sintoma – todas as atribuições de função são excluídas após a transferência de uma assinatura

Causa

Quando você transfere uma assinatura do Azure para um diretório diferente do Azure AD, todas as atribuições de função são excluídas permanentemente do diretório de origem do Azure AD e não são migradas para o diretório de destino do Azure AD.

Solução

Você precisa recriar as atribuições de função no diretório de destino. Você também precisa recriar manualmente as identidades gerenciadas para recursos do Azure. Para mais informações, confira Transferir uma assinatura do Azure para um diretório do Azure AD diferente e Perguntas frequentes e problemas conhecidos com identidades gerenciadas.

Sintoma – não é possível acessar a assinatura depois de transferir uma assinatura

Solução

Se você é Administrador global do Azure AD e perdeu o acesso a uma assinatura quando ela foi transferida entre diretórios, use a alternância do Gerenciamento de acesso para recursos do Azure para elevar seu acesso temporariamente e ter acesso à assinatura.

Administradores de assinatura clássica

Se você estiver tendo problemas com o Administrador de serviços ou os coadministradores, confira Adicionar ou alterar administradores de assinatura do Azure e Funções de administrador da assinatura clássica, funções do Azure e funções do Azure AD.

Próximas etapas