Funções do Azure, funções do Microsoft Entra e funções clássicas de administrador de assinatura

Se você é novo no Azure, pode achar um pouco difícil entender todas as diferentes funções no Azure. Este artigo ajuda a explicar as funções seguintes e quando utilizar cada uma:

• Funções do Azure
• Funções do Microsoft Entra
• Funções de administrador de subscrição clássica

De que forma estão relacionadas as funções

Para compreender melhor as funções no Azure, ajuda conhecer alguma da história. Quando o Azure foi lançado inicialmente, o acesso aos recursos era gerido com apenas três funções de administrador: Administrador de Conta, Administrador de Serviços e Coadministrador. Mais tarde, o controle de acesso baseado em função do Azure (Azure RBAC) foi adicionado. O RBAC do Azure é um sistema de autorização mais recente que fornece gestão pormenorizada de acesso para recursos do Azure. O RBAC do Azure inclui muitas funções internas, pode ser atribuído em escopos diferentes e permite que você crie suas próprias funções personalizadas. Para gerenciar recursos no Microsoft Entra ID, como usuários, grupos e domínios, há várias funções do Microsoft Entra.

O diagrama a seguir é uma exibição de alto nível de como as funções do Azure, as funções do Microsoft Entra e as funções de administrador de assinatura clássicas estão relacionadas.

Funções do Azure

O RBAC do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos do Azure, como computação e armazenamento. O RBAC do Azure inclui mais de 100 funções internas. Há cinco funções fundamentais do Azure. As três primeiras aplicam-se a todos os tipos de recursos:

Função do Azure	Permissões	Notas
Proprietário	Concede acesso total para gerenciar todos os recursos Atribuir funções no RBAC do Azure	É atribuída a função Proprietário ao Administrador de Serviços e aos Coadministradores no âmbito da subscrição Aplica-se a todos os tipos de recursos.
Contribuinte	Concede acesso total para gerenciar todos os recursos Não é possível atribuir funções no RBAC do Azure Não é possível gerenciar atribuições no Azure Blueprints ou compartilhar galerias de imagens	Aplica-se a todos os tipos de recursos.
Leitor	Ver os recursos do Azure	Aplica-se a todos os tipos de recursos.
Administrador de controle de acesso baseado em função	Gerir o acesso de utilizador aos recursos do Azure Atribuir funções no RBAC do Azure Atribuir a si mesmo ou a outros a função de Proprietário Não é possível gerenciar o acesso usando outras maneiras, como a Política do Azure
Administrador de Acesso do Utilizador	Gerir o acesso de utilizador aos recursos do Azure Atribuir funções no RBAC do Azure Atribuir a si mesmo ou a outros a função de Proprietário

As restantes funções incorporadas permitem a gestão de recursos específicos do Azure. Por exemplo, a função Contribuidor de Máquina Virtual permite ao utilizador criar e gerir máquinas virtuais. Para obter uma lista de todas as funções incorporadas, veja Funções incorporadas do Azure.

Apenas o portal do Azure e as APIs do Azure Resource Manager suportam o Azure RBAC. Os utilizadores, grupos e aplicações com funções do Azure atribuídas não podem utilizar as APIs do modelo de implementação clássica do Azure.

No portal do Azure, as atribuições de função usando o RBAC do Azure aparecem na página Controle de acesso (IAM). Esta página pode ser encontrada em todo o portal, como grupos de gerenciamento, assinaturas, grupos de recursos e vários recursos.

Ao clicar na guia Funções , você verá a lista de funções internas e personalizadas.

Para obter mais informações, consulte Atribuir funções do Azure utilizando o portal do Azure.

Funções do Microsoft Entra

As funções do Microsoft Entra são usadas para gerenciar recursos do Microsoft Entra em um diretório, como criar ou editar usuários, atribuir funções administrativas a outros, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios. A tabela a seguir descreve algumas das funções mais importantes do Microsoft Entra.

Função do Microsoft Entra	Permissões	Notas
Administrador Global do	Gerencie o acesso a todos os recursos administrativos no Microsoft Entra ID, bem como aos serviços que se federam ao Microsoft Entra ID Atribuir funções de administrador a outras pessoas Repor a palavra-passe para qualquer utilizador e todos os outros administradores	A pessoa que se inscreve no locatário do Microsoft Entra se torna um Administrador Global.
Administrador de Utilizadores	Criar e gerir todos os aspetos de utilizadores e grupos Gerir pedidos de suporte Monitorizar o estado de funcionamento do serviço Alterar palavras-passe para utilizadores, administradores de suporte técnico e outros Administradores de Utilizadores
Administrador de Faturação	Efetuar compras Gerir subscrições Gerir pedidos de suporte Monitoriza o estado de funcionamento do serviço

No portal do Azure, você pode ver a lista de funções do Microsoft Entra na página Funções e administradores . Para obter uma lista de todas as funções do Microsoft Entra, consulte Permissões de função de administrador no ID do Microsoft Entra.

Diferenças entre funções do Azure e funções do Microsoft Entra

Em um alto nível, as funções do Azure controlam permissões para gerenciar recursos do Azure, enquanto as funções do Microsoft Entra controlam permissões para gerenciar recursos do Microsoft Entra. A tabela seguinte compara algumas das diferenças.

Funções do Azure	Funções do Microsoft Entra
Gerir o acesso aos recursos do Azure	Gerenciar o acesso aos recursos do Microsoft Entra
Suporta funções personalizadas	Suporta funções personalizadas
O âmbito pode ser especificado em vários níveis (grupo de gestão, subscrição, grupo de recursos, recurso)	O escopo pode ser especificado no nível do locatário (em toda a organização), unidade administrativa ou em um objeto individual (por exemplo, um aplicativo específico)
As informações das funções podem ser acedidas no portal do Azure, CLI do Azure, Azure PowerShell, modelos do Azure Resource Manager, API REST	As informações de função podem ser acessadas no portal do Azure, centro de administração do Microsoft Entra, centro de administração do Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

As funções do Azure e do Microsoft Entra sobrepõem-se?

Por padrão, as funções do Azure e do Microsoft Entra não abrangem o Azure e o Microsoft Entra ID. No entanto, se um Administrador Global elevar seu acesso escolhendo a opção Gerenciamento de acesso para recursos do Azure no portal do Azure, o Administrador Global receberá a função de Administrador de Acesso de Usuário (uma função do Azure) em todas as assinaturas de um locatário específico. A função Administrador de Acesso de Utilizador permite ao utilizador conceder a outros utilizadores o acesso aos recursos do Azure. Esta opção pode ser útil para recuperar o acesso a uma subscrição. Para obter mais informações, veja Elevar o acesso para gerir todas as subscrições e grupos de gestão do Azure.

Várias funções do Microsoft Entra abrangem o Microsoft Entra ID e o Microsoft 365, como as funções de Administrador Global e Administrador de Usuário. Por exemplo, se você for membro da função de Administrador Global, terá recursos de administrador global no Microsoft Entra ID e no Microsoft 365, como fazer alterações no Microsoft Exchange e no Microsoft SharePoint. No entanto, por predefinição, o Administrador Global não tem acesso aos recursos do Azure.

Funções de administrador de subscrição clássica

Importante

Recursos clássicos e administradores clássicos serão aposentados em 31 de agosto de 2024. A partir de 3 de abril de 2024, não poderá adicionar novos Coadministradores. Esta data foi recentemente prorrogada. Remova coadministradores desnecessários e utilize o RBAC do Azure para ajustar o controlo de acesso.

Administrador de Conta, Administrador de Serviços e Coadministrador são as três funções de administrador de subscrição clássica no Azure. Os administradores de subscrição clássica têm acesso total à subscrição do Azure. Podem gerir recursos com o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implementação clássica. A conta utilizada para se inscrever no Azure é definida automaticamente como Administrador de Conta e Administrador de Serviços. Em seguida, podem ser adicionados outros Coadministradores. O Administrador de Serviços e os Coadministradores têm o acesso equivalente de utilizadores com a função Proprietário atribuída (uma função RBAC do Azure) no âmbito da subscrição. A tabela seguinte descreve as diferenças entre estas três funções administrativas de subscrição clássica.

Administrador de subscrição clássica	Limite	Permissões	Notas
Administrador de Conta	1 por conta do Azure	Pode aceder ao portal do Azure e gerir a faturação Gerir a faturação para todas as subscrições na conta Criar novas subscrições Cancelar subscrições Alterar a faturação de uma subscrição Alterar o Administrador de Serviços Não é possível cancelar assinaturas a menos que elas tenham a função de Administrador de Serviço ou Proprietário da assinatura	Conceitualmente, o proprietário de faturação da subscrição.
Administrador de Serviços	1 por subscrição do Azure	Gerir os serviços no portal do Azure Cancelar a subscrição Atribuir utilizadores à função Coadministrador	Por predefinição, para uma nova subscrição, o Administrador de Conta também é o Administrador de Serviços. O Administrador de Serviços tem o acesso equivalente de um utilizador com a função Proprietário atribuída no âmbito da subscrição. O Administrador de Serviços tem acesso total ao portal do Azure.
Coadministrador	200 por subscrição	Os mesmos privilégios de acesso que o administrador de serviço, mas não pode alterar a associação de assinaturas para diretórios do Microsoft Entra Atribua utilizadores à Função de coadministrador, mas não pode alterar o Administrador de Serviços	O Coadministrador tem o acesso equivalente de um utilizador com a função Proprietário atribuída no âmbito da subscrição.

No portal do Azure, pode gerir os Coadministradores ou ver o Administrador de Serviços com o separador Administradores clássicos.

Para obter mais informações, veja Administradores da subscrição clássica do Azure.

Conta e subscrições do Azure

Uma conta do Azure é usada para estabelecer uma relação de cobrança. Uma conta do Azure é uma identidade de utilizador, uma ou mais subscrições do Azure e um conjunto associado de recursos do Azure. A pessoa que cria a conta é o Administrador de Conta de todas as subscrições criadas nessa conta. Essa pessoa também é o Administrador de Serviços predefinido da subscrição.

As subscrições do Azure ajudam a organizar o acesso aos recursos do Azure. Também ajudam a controlar de que forma é que a utilização dos recursos é comunicada, faturada e paga. Cada subscrição pode ter uma configuração de faturação e pagamento diferente, para que possa ter subscrições e planos diferentes por escritório, departamento, projeto e assim por diante. A maioria dos serviços pertence a uma assinatura e a ID da assinatura pode ser necessária para operações programáticas.

Cada assinatura está associada a um diretório do Microsoft Entra. Para localizar o diretório ao qual a assinatura está associada, abra Assinaturas no portal do Azure e selecione uma assinatura para ver o diretório.

As contas e subscrições são geridas no portal do Azure.

Próximos passos

• Atribuir funções do Azure com o portal do Azure
• Atribuir funções do Microsoft Entra aos utilizadores
• Funções para serviços do Microsoft 365 no Microsoft Entra ID