Share via


Funções do Azure, funções do Microsoft Entra e funções clássicas de administrador de assinatura

Se você é novo no Azure, pode achar um pouco difícil entender todas as diferentes funções no Azure. Este artigo ajuda a explicar as funções seguintes e quando utilizar cada uma:

  • Funções do Azure
  • Funções do Microsoft Entra
  • Funções de administrador de subscrição clássica

Para compreender melhor as funções no Azure, ajuda conhecer alguma da história. Quando o Azure foi lançado inicialmente, o acesso aos recursos era gerido com apenas três funções de administrador: Administrador de Conta, Administrador de Serviços e Coadministrador. Mais tarde, o controle de acesso baseado em função do Azure (Azure RBAC) foi adicionado. O RBAC do Azure é um sistema de autorização mais recente que fornece gestão pormenorizada de acesso para recursos do Azure. O RBAC do Azure inclui muitas funções internas, pode ser atribuído em escopos diferentes e permite que você crie suas próprias funções personalizadas. Para gerenciar recursos no Microsoft Entra ID, como usuários, grupos e domínios, há várias funções do Microsoft Entra.

O diagrama a seguir é uma exibição de alto nível de como as funções do Azure, as funções do Microsoft Entra e as funções de administrador de assinatura clássicas estão relacionadas.

Diagrama das diferentes funções no Azure.

Funções do Azure

O RBAC do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos do Azure, como computação e armazenamento. O RBAC do Azure inclui mais de 100 funções internas. Há cinco funções fundamentais do Azure. As três primeiras aplicam-se a todos os tipos de recursos:

Função do Azure Permissões Notas
Proprietário
  • Concede acesso total para gerenciar todos os recursos
  • Atribuir funções no RBAC do Azure
É atribuída a função Proprietário ao Administrador de Serviços e aos Coadministradores no âmbito da subscrição
Aplica-se a todos os tipos de recursos.
Contribuinte
  • Concede acesso total para gerenciar todos os recursos
  • Não é possível atribuir funções no RBAC do Azure
  • Não é possível gerenciar atribuições no Azure Blueprints ou compartilhar galerias de imagens
Aplica-se a todos os tipos de recursos.
Leitor
  • Ver os recursos do Azure
Aplica-se a todos os tipos de recursos.
Administrador de controle de acesso baseado em função
  • Gerir o acesso de utilizador aos recursos do Azure
  • Atribuir funções no RBAC do Azure
  • Atribuir a si mesmo ou a outros a função de Proprietário
  • Não é possível gerenciar o acesso usando outras maneiras, como a Política do Azure
Administrador de Acesso do Utilizador
  • Gerir o acesso de utilizador aos recursos do Azure
  • Atribuir funções no RBAC do Azure
  • Atribuir a si mesmo ou a outros a função de Proprietário

As restantes funções incorporadas permitem a gestão de recursos específicos do Azure. Por exemplo, a função Contribuidor de Máquina Virtual permite ao utilizador criar e gerir máquinas virtuais. Para obter uma lista de todas as funções incorporadas, veja Funções incorporadas do Azure.

Apenas o portal do Azure e as APIs do Azure Resource Manager suportam o Azure RBAC. Os utilizadores, grupos e aplicações com funções do Azure atribuídas não podem utilizar as APIs do modelo de implementação clássica do Azure.

No portal do Azure, as atribuições de função usando o RBAC do Azure aparecem na página Controle de acesso (IAM). Esta página pode ser encontrada em todo o portal, como grupos de gerenciamento, assinaturas, grupos de recursos e vários recursos.

Captura de ecrã da página de controlo de acesso (IAM) no portal do Azure.

Ao clicar na guia Funções , você verá a lista de funções internas e personalizadas.

Captura de ecrã de funções incorporadas no portal do Azure.

Para obter mais informações, consulte Atribuir funções do Azure utilizando o portal do Azure.

Funções do Microsoft Entra

As funções do Microsoft Entra são usadas para gerenciar recursos do Microsoft Entra em um diretório, como criar ou editar usuários, atribuir funções administrativas a outros, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios. A tabela a seguir descreve algumas das funções mais importantes do Microsoft Entra.

Função do Microsoft Entra Permissões Notas
Administrador Global do
  • Gerencie o acesso a todos os recursos administrativos no Microsoft Entra ID, bem como aos serviços que se federam ao Microsoft Entra ID
  • Atribuir funções de administrador a outras pessoas
  • Repor a palavra-passe para qualquer utilizador e todos os outros administradores
A pessoa que se inscreve no locatário do Microsoft Entra se torna um Administrador Global.
Administrador de Utilizadores
  • Criar e gerir todos os aspetos de utilizadores e grupos
  • Gerir pedidos de suporte
  • Monitorizar o estado de funcionamento do serviço
  • Alterar palavras-passe para utilizadores, administradores de suporte técnico e outros Administradores de Utilizadores
Administrador de Faturação
  • Efetuar compras
  • Gerir subscrições
  • Gerir pedidos de suporte
  • Monitoriza o estado de funcionamento do serviço

No portal do Azure, você pode ver a lista de funções do Microsoft Entra na página Funções e administradores . Para obter uma lista de todas as funções do Microsoft Entra, consulte Permissões de função de administrador no ID do Microsoft Entra.

Captura de ecrã das funções do Microsoft Entra no portal do Azure.

Diferenças entre funções do Azure e funções do Microsoft Entra

Em um alto nível, as funções do Azure controlam permissões para gerenciar recursos do Azure, enquanto as funções do Microsoft Entra controlam permissões para gerenciar recursos do Microsoft Entra. A tabela seguinte compara algumas das diferenças.

Funções do Azure Funções do Microsoft Entra
Gerir o acesso aos recursos do Azure Gerenciar o acesso aos recursos do Microsoft Entra
Suporta funções personalizadas Suporta funções personalizadas
O âmbito pode ser especificado em vários níveis (grupo de gestão, subscrição, grupo de recursos, recurso) O escopo pode ser especificado no nível do locatário (em toda a organização), unidade administrativa ou em um objeto individual (por exemplo, um aplicativo específico)
As informações das funções podem ser acedidas no portal do Azure, CLI do Azure, Azure PowerShell, modelos do Azure Resource Manager, API REST As informações de função podem ser acessadas no portal do Azure, centro de administração do Microsoft Entra, centro de administração do Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

As funções do Azure e do Microsoft Entra sobrepõem-se?

Por padrão, as funções do Azure e do Microsoft Entra não abrangem o Azure e o Microsoft Entra ID. No entanto, se um Administrador Global elevar seu acesso escolhendo a opção Gerenciamento de acesso para recursos do Azure no portal do Azure, o Administrador Global receberá a função de Administrador de Acesso de Usuário (uma função do Azure) em todas as assinaturas de um locatário específico. A função Administrador de Acesso de Utilizador permite ao utilizador conceder a outros utilizadores o acesso aos recursos do Azure. Esta opção pode ser útil para recuperar o acesso a uma subscrição. Para obter mais informações, veja Elevar o acesso para gerir todas as subscrições e grupos de gestão do Azure.

Várias funções do Microsoft Entra abrangem o Microsoft Entra ID e o Microsoft 365, como as funções de Administrador Global e Administrador de Usuário. Por exemplo, se você for membro da função de Administrador Global, terá recursos de administrador global no Microsoft Entra ID e no Microsoft 365, como fazer alterações no Microsoft Exchange e no Microsoft SharePoint. No entanto, por predefinição, o Administrador Global não tem acesso aos recursos do Azure.

Diagrama que mostra as funções do Azure RBAC versus Microsoft Entra.

Funções de administrador de subscrição clássica

Importante

Recursos clássicos e administradores clássicos serão aposentados em 31 de agosto de 2024. A partir de 3 de abril de 2024, não poderá adicionar novos Coadministradores. Esta data foi recentemente prorrogada. Remova coadministradores desnecessários e utilize o RBAC do Azure para ajustar o controlo de acesso.

Administrador de Conta, Administrador de Serviços e Coadministrador são as três funções de administrador de subscrição clássica no Azure. Os administradores de subscrição clássica têm acesso total à subscrição do Azure. Podem gerir recursos com o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implementação clássica. A conta utilizada para se inscrever no Azure é definida automaticamente como Administrador de Conta e Administrador de Serviços. Em seguida, podem ser adicionados outros Coadministradores. O Administrador de Serviços e os Coadministradores têm o acesso equivalente de utilizadores com a função Proprietário atribuída (uma função RBAC do Azure) no âmbito da subscrição. A tabela seguinte descreve as diferenças entre estas três funções administrativas de subscrição clássica.

Administrador de subscrição clássica Limite Permissões Notas
Administrador de Conta 1 por conta do Azure
  • Pode aceder ao portal do Azure e gerir a faturação
  • Gerir a faturação para todas as subscrições na conta
  • Criar novas subscrições
  • Cancelar subscrições
  • Alterar a faturação de uma subscrição
  • Alterar o Administrador de Serviços
  • Não é possível cancelar assinaturas a menos que elas tenham a função de Administrador de Serviço ou Proprietário da assinatura
Conceitualmente, o proprietário de faturação da subscrição.
Administrador de Serviços 1 por subscrição do Azure
  • Gerir os serviços no portal do Azure
  • Cancelar a subscrição
  • Atribuir utilizadores à função Coadministrador
Por predefinição, para uma nova subscrição, o Administrador de Conta também é o Administrador de Serviços.
O Administrador de Serviços tem o acesso equivalente de um utilizador com a função Proprietário atribuída no âmbito da subscrição.
O Administrador de Serviços tem acesso total ao portal do Azure.
Coadministrador 200 por subscrição
  • Os mesmos privilégios de acesso que o administrador de serviço, mas não pode alterar a associação de assinaturas para diretórios do Microsoft Entra
  • Atribua utilizadores à Função de coadministrador, mas não pode alterar o Administrador de Serviços
O Coadministrador tem o acesso equivalente de um utilizador com a função Proprietário atribuída no âmbito da subscrição.

No portal do Azure, pode gerir os Coadministradores ou ver o Administrador de Serviços com o separador Administradores clássicos.

Captura de ecrã dos administradores de subscrição clássica do Azure no portal do Azure.

Para obter mais informações, veja Administradores da subscrição clássica do Azure.

Conta e subscrições do Azure

Uma conta do Azure é usada para estabelecer uma relação de cobrança. Uma conta do Azure é uma identidade de utilizador, uma ou mais subscrições do Azure e um conjunto associado de recursos do Azure. A pessoa que cria a conta é o Administrador de Conta de todas as subscrições criadas nessa conta. Essa pessoa também é o Administrador de Serviços predefinido da subscrição.

As subscrições do Azure ajudam a organizar o acesso aos recursos do Azure. Também ajudam a controlar de que forma é que a utilização dos recursos é comunicada, faturada e paga. Cada subscrição pode ter uma configuração de faturação e pagamento diferente, para que possa ter subscrições e planos diferentes por escritório, departamento, projeto e assim por diante. A maioria dos serviços pertence a uma assinatura e a ID da assinatura pode ser necessária para operações programáticas.

Cada assinatura está associada a um diretório do Microsoft Entra. Para localizar o diretório ao qual a assinatura está associada, abra Assinaturas no portal do Azure e selecione uma assinatura para ver o diretório.

As contas e subscrições são geridas no portal do Azure.

Próximos passos