Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições

Como administrador, você pode receber várias solicitações para conceder acesso aos recursos do Azure que deseja delegar a outra pessoa. Você pode atribuir a um usuário as funções de Proprietário ou Administrador de Acesso de Usuário, mas essas são funções altamente privilegiadas. Este artigo descreve uma maneira mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização, mas adicionar restrições para essas atribuições de função. Por exemplo, você pode restringir as funções que podem ser atribuídas ou restringir as entidades às quais as funções podem ser atribuídas.

O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções de Colaborador de Backup ou Leitor de Backup somente aos grupos de Marketing ou Vendas.

Pré-requisitos

Para atribuir funções do Azure, tem de ter:

• Microsoft.Authorization/roleAssignments/write permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário

Etapa 1: Determinar as permissões de que o delegado precisa

Para ajudar a determinar as permissões de que o delegado precisa, responda às seguintes perguntas:

• Que funções o delegado pode atribuir?
• A que tipos de entidades o delegado pode atribuir funções?
• A quais entidades o delegado pode atribuir funções?
• O delegado pode remover quaisquer atribuições de função?

Depois de saber as permissões de que o delegado precisa, use as etapas a seguir para adicionar uma condição à atribuição de função do delegado. Para obter condições de exemplo, consulte Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.

Etapa 2: Iniciar uma nova atribuição de função

1. Inicie sessão no portal do Azure.

2. Siga as etapas para abrir a página Adicionar atribuição de função.

3. Na guia Funções, selecione a guia Funções de administrador privilegiadas.

4. Selecione a função Administrador de Controle de Acesso Baseado em Função .

   A guia Condições é exibida.

   Você pode selecionar qualquer função que inclua as ações ou Microsoft.Authorization/roleAssignments/delete , como Administrador de Acesso de Usuário, mas o Administrador de Controle de Acesso Baseado em Microsoft.Authorization/roleAssignments/write Função tem menos permissões.

5. Na guia Membros, localize e selecione o delegado.

Etapa 3: adicionar uma condição

Há duas maneiras de adicionar uma condição. Você pode usar um modelo de condição ou um editor de condição avançado.

Modelo

1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página Adicionar condição de atribuição de função é exibida com uma lista de modelos de condição.

   

3. Selecione um modelo de condição e, em seguida, selecione Configurar.

   Modelo de condição	Selecione este modelo para
   Restringir funções	Permitir que o usuário atribua apenas funções selecionadas
   Restringir funções e tipos principais	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções apenas aos tipos principais selecionados (usuários, grupos ou entidades de serviço)
   Restringir funções e princípios	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções apenas às entidades selecionadas

4. No painel de configuração, adicione as configurações necessárias.

   

5. Selecione Salvar para adicionar a condição à atribuição de função.

Editor de condições

Se os modelos de condição não funcionarem para o seu cenário ou se você quiser mais controle, você pode usar o editor de condições.

Abrir editor de condições

1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página Adicionar condição de atribuição de função é exibida com uma lista de modelos de condição.

   

3. Selecione Abrir editor de condições avançadas.

   A página Adicionar condição de atribuição de função é exibida.

4. Para a opção Tipo de editor, deixe o Visual padrão selecionado.

Adicionar ação

1. Na seção Adicionar ação, selecione Adicionar ação.

   O painel Selecione uma ação é exibido. Este painel é uma lista filtrada de ações com base na atribuição de função que será o destino da sua condição.

   

2. Selecione a ação Criar ou atualizar atribuições de função que deseja permitir se a condição for verdadeira.

   Gorjeta

   Se você selecionar Criar ou atualizar atribuições de função e Excluir uma ação de atribuição de função, não poderá adicionar uma expressão de condição. Se você quiser direcionar ambas as ações, você deve adicionar duas condições. Para obter mais informações, consulte Exemplo: restringir funções.

Criar expressões

1. Na seção Criar expressão, selecione Adicionar expressão.

   Aqui é onde você cria a expressão para restringir as atribuições de função que o delegado pode adicionar.

2. Na lista Origem do atributo, selecione Solicitação.

3. Na lista Atributo, selecione um dos seguintes atributos para o lado esquerdo da expressão.

   • O ID de definição de função é usado para restringir as funções que o delegado pode atribuir.
   • O ID principal é usado para restringir as entidades específicas às quais o delegado pode atribuir funções.
   • O tipo de entidade é usado para restringir os tipos de entidades (usuários, grupos ou entidades de serviço) às quais o delegado pode atribuir funções.

4. Na lista Operador, selecione um operador.

   Dependendo do atributo e da expressão que você deseja criar, você normalmente seleciona esses operadores, que permitem selecionar um ou mais valores para o lado direito da expressão.

   Atributo	Operador comum
   ID de definição de função	ForAnyOfAnyValues:GuidEquals
   Principal ID	ForAnyOfAnyValues:GuidEquals
   Tipo principal	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Na caixa Valor, insira um ou mais valores para o lado direito da expressão.

   

6. Adicione expressões adicionais conforme necessário.

   Gorjeta

   Quando você adiciona várias expressões para delegar o gerenciamento de atribuição de função com condições, normalmente usa o operador And entre expressões em vez do operador Or padrão.

7. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 4: Atribuir função com condição para delegar

1. No separador Rever + atribuir, reveja as definições da atribuição de função.

2. Selecione Rever + atribuir para atribuir a função.

   Após alguns momentos, o delegado recebe a função de Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.

Etapa 5: Delegar atribui funções com condições

• O delegado agora pode seguir as etapas para atribuir funções.

  

  Quando o delegado tenta atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar apenas as funções que eles podem atribuir.

  

  Se houver uma condição para os principais, a lista de principais disponíveis para atribuição também será filtrada.

  

  Se o delegado tentar atribuir uma função que esteja fora das condições usando uma API, a atribuição de função falhará com um erro. Para obter mais informações, consulte Sintoma - Não é possível atribuir uma função.

Próximos passos

• Delegar o gerenciamento de acesso do Azure a outras pessoas
• Ações e atributos de autorização