Editar

Partilhar via


Atribuir funções do Azure usando o portal do Azure

O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure. Para conceder acesso, atribua funções a utilizadores, grupos, principais de serviço ou identidades geridas num determinado âmbito. Este artigo descreve como atribuir funções usando o portal do Azure.

Se você precisar atribuir funções de administrador na ID do Microsoft Entra, consulte Atribuir funções do Microsoft Entra aos usuários.

Pré-requisitos

Para atribuir funções do Azure, tem de ter:

Etapa 1: Identificar o escopo necessário

Quando atribui funções, deve especificar um âmbito. O âmbito é o conjunto de recursos ao qual o acesso se aplica. No Azure, você pode especificar um escopo em quatro níveis, do amplo ao estreito: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Para obter mais informações, consulte Entender o escopo.

Diagrama que mostra os níveis de escopo do Azure RBAC.

  1. Inicie sessão no portal do Azure.

  2. Na caixa Pesquisar na parte superior, procure o âmbito a que quer conceder acesso. Por exemplo, procure Grupos de gestão, Subscrições, Grupos de recursos ou um recurso específico.

  3. Clique no recurso específico para esse escopo.

    O seguinte mostra um exemplo de um grupo de recursos.

    Captura de ecrã da página de descrição geral do grupo de recursos.

Etapa 2: abrir a página Adicionar atribuição de função

O Controlo de acesso (IAM) é a página que normalmente utiliza para atribuir funções para conceder acesso aos recursos do Azure. É também conhecida como gestão de identidade e acesso (IAM) e surge em vários locais do portal do Azure.

  1. Clique em Controlo de acesso (IAM).

    Segue-se um exemplo da página Controlo de acesso (IAM) de um grupo de recursos.

    Captura de ecrã da página de controlo de acesso (IAM) de um grupo de recursos.

  2. Clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

  3. Clique em Adicionar>atribuição de função.

    Se não tiver permissões para atribuir funções, a opção Adicionar atribuição de função estará desativada.

    Captura de ecrã do menu Adicionar > atribuição de função.

    É aberta a página Adicionar atribuição de função.

Etapa 3: Selecione a função apropriada

Para selecionar uma função, siga estas etapas:

  1. Na guia Função, selecione uma função que você deseja usar.

    Pode procurar uma função pelo nome ou pela descrição. Também pode filtrar funções por tipo e categoria.

    Captura de ecrã da página Adicionar atribuição de função com o separador Função.

  2. Se desejar atribuir uma função de administrador privilegiado, selecione a guia Funções de administrador privilegiadas para selecionar a função.

    Para obter as práticas recomendadas ao usar atribuições de função de administrador privilegiado, consulte Práticas recomendadas para o Azure RBAC.

    Captura de ecrã da página Adicionar atribuição de funções com o separador Funções de administrador privilegiadas selecionada.

  3. Na coluna Detalhes, clique em Exibir para obter mais detalhes sobre uma função.

    Captura de ecrã do painel Ver detalhes da função com o separador Permissões.

  4. Clique em Next.

Etapa 4: Selecione quem precisa de acesso

Para selecionar quem precisa de acesso, siga estas etapas:

  1. No separador Membros, selecione Utilizador, grupo ou principal de serviço para atribuir a função selecionada a um ou mais utilizadores, grupos ou principais de serviço do Microsoft Entra (aplicações).

    Captura de ecrã da página Adicionar atribuição de função com o separador Membros.

  2. Clique em Selecionar membros.

  3. Localize e selecione os utilizadores, grupos ou principais de serviço.

    Pode escrever na caixa Selecionar para procurar no diretório o nome a apresentar ou o endereço de e-mail.

    Captura de ecrã do painel Selecionar membros.

  4. Clique em Selecionar para adicionar os usuários, grupos ou entidades de serviço à lista Membros.

  5. Para atribuir a função selecionada a uma ou mais identidades geridas, selecione Identidade Gerida.

  6. Clique em Selecionar membros.

  7. No painel Selecionar identidades geridas, selecione se o tipo é identidade gerida atribuída pelo utilizador ou identidade gerida atribuída pelo sistema.

  8. Localize e selecione as identidades geridas.

    Para identidades geridas atribuídas pelo sistema, pode selecionar as identidades geridas por instância de serviço do Azure.

    Captura de ecrã do painel Selecionar identidades geridas.

  9. Clique em Selecionar para adicionar as identidades gerenciadas à lista Membros.

  10. Na caixa Descrição, introduza uma descrição opcional para esta atribuição de função.

    Posteriormente, pode mostrar esta descrição na lista de atribuições de funções.

  11. Clique em Next.

Etapa 5: (Opcional) Adicionar condição

Se você selecionou uma função que oferece suporte a condições, uma guia Condições será exibida e você terá a opção de adicionar uma condição à sua atribuição de função. Uma condição é uma verificação adicional que pode, opcionalmente, adicionar à atribuição de funções para indicar um controlo de acesso mais detalhado.

A guia Condições terá uma aparência diferente dependendo da função selecionada.

Delegar condição

Se você selecionou uma das seguintes funções privilegiadas, siga as etapas nesta seção.

  1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

    Captura de ecrã de Adicionar atribuição de função com a opção Restringido selecionada.

  2. Clique em Selecionar funções e entidades para adicionar uma condição que restrinja as funções e entidades às quais esse usuário pode atribuir funções.

  3. Siga as etapas em Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições.

Condições de armazenamento

Se você selecionou uma das seguintes funções de armazenamento, siga as etapas nesta seção.

  1. Clique em Adicionar condição se quiser refinar ainda mais as atribuições de função com base nos atributos de armazenamento.

    Captura de ecrã da página Adicionar atribuição de função com o separador Adicionar condição.

  2. Siga as etapas em Adicionar ou editar condições de atribuição de função do Azure.

Etapa 6: selecionar o tipo de atribuição (Visualização)

Importante

A integração da atribuição de funções do Azure com o Privileged Identity Management está atualmente em pré-visualização. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Se você tiver uma licença de Governança de ID P2 ou ID do Microsoft Entra, uma guia Tipo de atribuição será exibida para escopos de grupo de gerenciamento, assinatura e grupo de recursos. Use atribuições qualificadas para fornecer acesso just-in-time a uma função. Esse recurso está sendo implantado em etapas, portanto, pode não estar disponível ainda em seu locatário ou sua interface pode parecer diferente. Para obter mais informações, consulte Integração com gerenciamento privilegiado de identidades (visualização).

Se você não quiser usar a funcionalidade PIM, selecione as opções Tipo de atribuição ativa e Duração da atribuição permanente. Essas configurações criam uma atribuição de função em que o principal sempre tem permissões na função.

  1. Na guia Tipo de atribuição, selecione o Tipo de atribuição.

    • Elegível - O usuário deve executar uma ou mais ações para usar a função, como executar uma verificação de autenticação multifator, fornecer uma justificativa comercial ou solicitar aprovação de aprovadores designados. Não é possível criar atribuições de função qualificadas para aplicativos, entidades de serviço ou identidades gerenciadas porque elas não podem executar as etapas de ativação.
    • Ativo - O usuário não precisa executar nenhuma ação para usar a função.

    Captura de ecrã de Adicionar atribuição de função com as opções Tipo de atribuição apresentadas.

  2. Dependendo das suas configurações, para Duração da atribuição, selecione Permanente ou Limite de tempo.

    Selecione permanente se quiser que o membro tenha sempre permissão para ativar ou usar a função. Selecione a hora vinculada para especificar as datas de início e fim. Essa opção pode ser desabilitada se a criação de atribuições permanentes não for permitida pela política do PIM.

  3. Se a opção Limite de tempo estiver selecionada, defina Data e hora de início e Data e hora de início para especificar quando o usuário tem permissão para ativar ou usar a função.

    É possível definir a data de início no futuro. A duração máxima permitida elegível depende da sua política de Gestão de Identidades Privilegiadas (PIM).

  4. (Opcional) Use Configurar Política PIM para configurar opções de expiração, requisitos de ativação de função (aprovação, autenticação multifator ou contexto de autenticação de Acesso Condicional) e outras configurações.

    Quando você seleciona o link Atualizar política PIM, uma página PIM é exibida. Selecione Configurações para configurar a política PIM para funções. Para obter mais informações, consulte Configurar configurações de função de recurso do Azure no Privileged Identity Management.

  5. Clique em Next.

Etapa 7: Atribuir função

Siga estes passos:

  1. No separador Rever + atribuir, reveja as definições da atribuição de função.

    Captura de ecrã da página Atribuir uma função com o separador Rever + atribuir.

  2. Clique em Rever + atribuir para atribuir a função.

    Após alguns instantes, é atribuída ao principal de segurança a função no âmbito selecionado.

    Captura de tela da lista de atribuição de função após a atribuição da função.

  3. Se não vir a descrição da atribuição de função, clique em Editar colunas para adicionar a coluna Descrição .

Editar atribuição (Pré-visualização)

Importante

A integração da atribuição de funções do Azure com o Privileged Identity Management está atualmente em pré-visualização. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Se você tiver uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, poderá editar as configurações do tipo de atribuição de função. Para obter mais informações, consulte Integração com gerenciamento privilegiado de identidades (visualização).

  1. Na página Controle de acesso (IAM), clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

  2. Encontre a atribuição de função que você deseja editar.

  3. Na coluna Estado, clique no link, como Limite de tempo qualificado ou Permanente ativo.

    O painel Editar atribuição é exibido onde você pode atualizar as configurações de tipo de atribuição de função. O painel pode demorar alguns minutos a abrir.

    Captura de ecrã do painel Editar atribuição com as opções Tipo de atribuição apresentadas.

  4. Quando terminar, clique em Guardar.

    Suas atualizações podem demorar um pouco para serem processadas e refletidas no portal.