Administradores da subscrição clássica do Azure

Importante

Recursos clássicos e administradores clássicos serão aposentados em 31 de agosto de 2024. A partir de 3 de abril de 2024, não poderá adicionar novos Coadministradores. Esta data foi recentemente prorrogada. Remova coadministradores desnecessários e utilize o RBAC do Azure para ajustar o controlo de acesso.

A Microsoft recomenda que você gerencie o acesso aos recursos do Azure usando o controle de acesso baseado em função do Azure (Azure RBAC). No entanto, se você ainda estiver usando o modelo de implantação clássico, precisará usar uma função clássica de administrador de assinatura: Administrador de Serviço e Coadministrador. Para obter informações sobre como migrar seus recursos da implantação clássica para a implantação do Resource Manager, consulte Azure Resource Manager vs. implantação clássica.

Se você ainda tiver administradores clássicos, deverá remover essas atribuições de função antes da data de aposentadoria. Este artigo descreve como se preparar para a desativação das funções de Coadministrador e Administrador de Serviços e como remover ou alterar essas atribuições de função.

Perguntas mais frequentes

Os Coadministradores e o Administrador de Serviços perderão o acesso após 31 de agosto de 2024?

• A partir de 31 de agosto de 2024, a Microsoft iniciará o processo para remover o acesso de Coadministradores e Administrador de Serviços.

Como posso saber que subscrições têm administradores clássicos?

• Você pode usar uma consulta do Gráfico de Recursos do Azure para listar assinaturas com atribuições de função de Administrador de Serviço ou Coadministrador. Para conhecer as etapas, consulte Listar administradores clássicos.

Qual é a função equivalente do Azure que devo atribuir aos Coadministradores?

• A função de proprietário no escopo da assinatura tem acesso equivalente. No entanto, o Proprietário é uma função de administrador privilegiada e concede acesso total para gerenciar recursos do Azure. Você deve considerar uma função de trabalho com menos permissões, reduzir o escopo ou adicionar uma condição.

Qual é a função equivalente do Azure que devo atribuir para Administrador de Serviços?

• A função de proprietário no escopo da assinatura tem acesso equivalente.

Por que preciso migrar para o Azure RBAC?

• Os administradores clássicos serão aposentados. O Azure RBAC oferece controle de acesso refinado, compatibilidade com o Microsoft Entra Privileged Identity Management (PIM) e suporte total a logs de auditoria. Todos os investimentos futuros serão no Azure RBAC.

E quanto à função de Administrador de Conta?

• O Administrador de Conta é o utilizador principal da sua conta de faturação. O Administrador de Conta não está sendo preterido e você não precisa substituir essa atribuição de função. O Administrador de Conta e o Administrador de Serviço podem ser o mesmo usuário. No entanto, você só precisa remover a atribuição de função de Administrador de Serviços.

O que devo fazer se tiver uma forte dependência de Coadministradores ou Administrador de Serviços?

• Envie um e-mail ACARDeprecation@microsoft.com e descreva o seu cenário.

Prepare-se para a aposentadoria dos Coadministradores

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a se preparar para a desativação da função de Coadministrador.

Etapa 1: revisar seus coadministradores atuais

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Use o portal do Azure ou o Gráfico de Recursos do Azure para listar seus Coadministradores.

3. Reveja os registos de início de sessão dos seus Coadministradores para avaliar se são utilizadores ativos.

Etapa 2: remover coadministradores que não precisam mais de acesso

1. Se o usuário não estiver mais em sua empresa, remova o Coadministrador.

2. Se o usuário foi excluído, mas sua atribuição de Coadministrador não foi removida, remova o Coadministrador.

   Os usuários que foram excluídos normalmente incluem o texto (Usuário não foi encontrado neste diretório).

   

3. Depois de rever a atividade do usuário, se o usuário não estiver mais ativo, remova o Coadministrador.

Etapa 3: substituir coadministradores existentes por funções de função de trabalho

A maioria dos usuários não precisa das mesmas permissões que um Coadministrador. Em vez disso, considere uma função de função.

1. Se um usuário ainda precisar de algum acesso, determine a função de trabalho apropriada de que ele precisa.

2. Determine o escopo que o usuário precisa.

3. Siga as etapas para atribuir uma função de trabalho ao usuário.

4. Remova o coadministrador.

Etapa 4: substituir os coadministradores existentes pela função e condições de proprietário

Alguns usuários podem precisar de mais acesso do que uma função de trabalho pode fornecer. Se você precisar atribuir a função de Proprietário , considere adicionar uma condição para restringir a atribuição de função.

1. Atribua a função de Proprietário no escopo da assinatura com condições ao usuário.

2. Remova o coadministrador.

Prepare-se para a aposentadoria do Administrador de Serviços

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a se preparar para a desativação da função de Administrador de Serviços. Para remover o Administrador de Serviço, você deve ter pelo menos um usuário ao qual seja atribuída a função de Proprietário no escopo da assinatura sem condições para evitar a órfã da assinatura. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

Etapa 1: revise seu administrador de serviço atual

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Use o portal do Azure ou o Gráfico de Recursos do Azure para listar seu Administrador de Serviço.

3. Reveja os registos de início de sessão do seu Administrador de Serviços para avaliar se é um utilizador ativo.

Passo 2: Rever os proprietários atuais da sua conta de faturação

O usuário ao qual é atribuída a função de Administrador de Serviço também pode ser o mesmo usuário que é o administrador da sua conta de cobrança. Deve rever os proprietários atuais da sua conta de faturação para garantir que continuam a ser precisos.

1. Utilize o portal do Azure para obter os proprietários da sua conta de Faturação.

2. Reveja a sua lista de proprietários de contas de faturação. Se necessário, atualize ou adicione outro proprietário de conta de cobrança.

Etapa 3: Substituir a função de Administrador de Serviço existente pela função de Proprietário

O seu Administrador de Serviços pode ser uma conta Microsoft ou uma conta Microsoft Entra. Uma conta Microsoft é uma conta pessoal como o Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Uma conta Microsoft Entra é uma identidade criada através do Microsoft Entra ID.

1. Se o usuário Administrador de Serviço for uma conta da Microsoft e você quiser que esse usuário mantenha as mesmas permissões, atribua a função de Proprietário a esse usuário no escopo da assinatura sem condições.

2. Se o usuário Administrador de Serviço for uma conta do Microsoft Entra e você quiser que esse usuário mantenha as mesmas permissões, atribua a função de Proprietário a esse usuário no escopo da assinatura sem condições.

3. Se você quiser alterar o usuário Administrador de Serviço para um usuário diferente, atribua a função Proprietário a esse novo usuário no escopo da assinatura sem condições.

4. Remova o administrador de serviço.

Listar administradores clássicos

Portal do Azure

Siga estas etapas para listar o Administrador de Serviço e os Coadministradores de uma assinatura usando o portal do Azure.

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione a guia Administradores clássicos para exibir uma lista dos Coadministradores.

   

Azure Resource Graph

Siga estas etapas para listar o número de Administrador de Serviço e Coadministradores em suas assinaturas usando o Azure Resource Graph.

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Abra o Azure Resource Graph Explorer.

3. Selecione Escopo e defina o escopo da consulta.

   Defina o escopo como Diretório para consultar todo o locatário, mas você pode restringir o escopo a assinaturas específicas.

   

4. Selecione Definir escopo de autorização e defina o escopo de autorização como At, acima e abaixo para consultar todos os recursos no escopo especificado.

   

5. Execute a consulta a seguir para listar o número de Administradores de Serviço e Coadministradores com base no escopo.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Segue-se um exemplo dos resultados. A coluna count_ é o número de Administradores de Serviço ou Coadministradores de uma assinatura.

   

Remover um Coadministrador

Importante

Recursos clássicos e administradores clássicos serão aposentados em 31 de agosto de 2024. A partir de 3 de abril de 2024, não poderá adicionar novos Coadministradores. Esta data foi recentemente prorrogada. Remova coadministradores desnecessários e utilize o RBAC do Azure para ajustar o controlo de acesso.

Siga estas etapas para remover um coadministrador.

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione a guia Administradores clássicos para exibir uma lista dos Coadministradores.

5. Adicione uma marca de verificação ao lado do Coadministrador que quer remover.

6. Selecione Remover.

7. Na caixa de mensagens apresentada, selecione Sim.

   

Adicionar um Coadministrador

Importante

Recursos clássicos e administradores clássicos serão aposentados em 31 de agosto de 2024. A partir de 3 de abril de 2024, não poderá adicionar novos Coadministradores. Esta data foi recentemente prorrogada. Remova coadministradores desnecessários e utilize o RBAC do Azure para ajustar o controlo de acesso.

Você só precisará adicionar um Coadministrador se o usuário precisar gerenciar implantações clássicas do Azure usando o Módulo PowerShell de Gerenciamento de Serviços do Azure. Se o utilizador utilizar apenas o portal do Azure para gerir os recursos clássicos, não precisará de adicionar um administrador clássico para o utilizador.

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Abra Subscrições e selecione uma subscrição.

   Os coadministradores só podem ser atribuídos no âmbito da subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione o separador Administradores clássicos.

   

5. Selecione Adicionar>Adicionar coadministrador para abrir o painel Adicionar coadministrador.

   Se a opção Adicionar coadministrador estiver desativada, você não terá permissões.

6. Selecione o utilizador que quer adicionar e selecione Adicionar.

   

Adicionar um utilizador convidado como Coadministrador

Para adicionar um utilizador convidado como Coadministrador, siga os mesmos passos que na secção Adicionar um Coadministrador anterior. O usuário convidado deve atender aos seguintes critérios:

• O utilizador convidado deve ter uma presença no diretório. Tal significa que o utilizador foi convidado para o diretório e aceitou o convite.

Para obter mais informações sobre como adicionar um usuário convidado ao seu diretório, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.

Antes de remover um usuário convidado do diretório, você deve primeiro remover todas as atribuições de função para esse usuário convidado. Para obter mais informações, consulte Remover um usuário externo do diretório.

Diferenças para usuários convidados

Os utilizadores convidados a quem tenha sido atribuída a função de Coadministrador podem ver algumas diferenças em comparação com os utilizadores membros com a função de Coadministrador. Considere o seguinte cenário:

• O usuário A com uma conta do Microsoft Entra (conta corporativa ou de estudante) é o Administrador de Serviço de uma assinatura do Azure.
• O utilizador B tem uma conta Microsoft.
• O usuário A atribui a função de coadministrador ao usuário B.
• O usuário B pode fazer quase tudo, mas não consegue registrar aplicativos ou procurar usuários no diretório do Microsoft Entra.

Você esperaria que o usuário B pudesse gerenciar tudo. A razão para essa diferença é que a conta da Microsoft é adicionada à assinatura como um usuário convidado em vez de um usuário membro. Os usuários convidados têm permissões padrão diferentes no ID do Microsoft Entra em comparação com os usuários membros. Por exemplo, os usuários membros podem ler outros usuários no Microsoft Entra ID e os usuários convidados não. Os usuários membros podem registrar novas entidades de serviço no Microsoft Entra ID e os usuários convidados não.

Se um usuário convidado precisar ser capaz de executar essas tarefas, uma solução possível é atribuir as funções específicas do Microsoft Entra de que o usuário convidado precisa. Por exemplo, no cenário anterior, você poderia atribuir a função Leitores de Diretório para ler outros usuários e atribuir a função de Desenvolvedor de Aplicativos para poder criar entidades de serviço. Para obter mais informações sobre usuários membros e convidados e suas permissões, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?. Para obter mais informações sobre como conceder acesso para usuários convidados, consulte Atribuir funções do Azure a usuários externos usando o portal do Azure.

Observe que as funções internas do Azure são diferentes das funções do Microsoft Entra. As funções internas não concedem nenhum acesso ao Microsoft Entra ID. Para obter mais informações, consulte Compreender as diferentes funções.

Para obter informações que comparam usuários membros e usuários convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Alterar o Administrador de Serviços

Apenas o Administrador de Conta pode alterar o Administrador de Serviços de uma subscrição. Por predefinição, quando se inscreve numa subscrição do Azure, o Administrador de Serviços é o mesmo que o Administrador de Conta.

O utilizador com a função de Administrador de Conta pode aceder ao portal do Azure e gerir a faturação, mas não pode cancelar subscrições. O utilizador com a função de Administrador de Serviços tem acesso total ao portal do Azure e pode cancelar subscrições. O Administrador de Conta pode atribuir a função de Administrador de Serviços a si próprio.

Siga estas etapas para alterar o Administrador de Serviço no portal do Azure.

1. Inicie sessão no portal do Azure como Administrador de Conta.

2. Abra Cost Management + Faturação e selecione uma subscrição.

3. Na navegação à esquerda, selecione Propriedades.

4. Selecione Alterar administrador de serviços.

   

5. Na página Editar administrador de serviços, introduza o endereço de e-mail do novo Administrador de Serviços.

   

6. Selecione OK para guardar a alteração.

Remover o Administrador de Serviços

Para remover o Administrador de Serviço, você deve ter um usuário ao qual seja atribuída a função de Proprietário no escopo da assinatura sem condições para evitar a orfandade da assinatura. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

1. Entre no portal do Azure como proprietário de uma assinatura.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione o separador Administradores clássicos.

5. Adicione uma marca de verificação ao lado do Administrador de Serviços.

6. Selecione Remover.

7. Na caixa de mensagens apresentada, selecione Sim.

   

Se o usuário do administrador de serviço não estiver no diretório, você pode obter o seguinte erro ao tentar remover o administrador de serviço:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Se o usuário Administrador de Serviço não estiver no diretório, tente alterar o Administrador de Serviço para um usuário existente e, em seguida, tente remover o Administrador de Serviço.

Próximos passos

• Compreender as diferentes funções
• Atribuir funções do Azure com o portal do Azure
• Compreender as funções administrativas do Contrato de Cliente da Microsoft no Azure