Atribuir funções do Azure usando o portal do Azure

Para atribuir funções do Azure, tem de ter:

• Microsoft.Authorization/roleAssignments/write permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário

Quando atribui funções, deve especificar um âmbito. O âmbito é o conjunto de recursos ao qual o acesso se aplica. No Azure, você pode especificar um escopo em quatro níveis, do amplo ao estreito: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Para obter mais informações, consulte Entender o escopo.

1. Inicie sessão no portal do Azure.

2. Na caixa Pesquisar na parte superior, procure o âmbito a que quer conceder acesso. Por exemplo, procure Grupos de gestão, Subscrições, Grupos de recursos ou um recurso específico.

3. Clique no recurso específico para esse escopo.

   O seguinte mostra um exemplo de um grupo de recursos.

   

O Controlo de acesso (IAM) é a página que normalmente utiliza para atribuir funções para conceder acesso aos recursos do Azure. É também conhecida como gestão de identidade e acesso (IAM) e surge em vários locais do portal do Azure.

1. Clique em Controlo de acesso (IAM).

   Segue-se um exemplo da página Controlo de acesso (IAM) de um grupo de recursos.

   

2. Clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

3. Clique em Adicionar>atribuição de função.

   Se não tiver permissões para atribuir funções, a opção Adicionar atribuição de função estará desativada.

   

   É aberta a página Adicionar atribuição de função.

Para selecionar uma função, siga estas etapas:

1. Na guia Função, selecione uma função que você deseja usar.

   Pode procurar uma função pelo nome ou pela descrição. Também pode filtrar funções por tipo e categoria.

   

2. Se desejar atribuir uma função de administrador privilegiado, selecione a guia Funções de administrador privilegiadas para selecionar a função.

   Para obter as práticas recomendadas ao usar atribuições de função de administrador privilegiado, consulte Práticas recomendadas para o Azure RBAC.

   

3. Na coluna Detalhes, clique em Exibir para obter mais detalhes sobre uma função.

   

4. Clique em Next.

Para selecionar quem precisa de acesso, siga estas etapas:

1. No separador Membros, selecione Utilizador, grupo ou principal de serviço para atribuir a função selecionada a um ou mais utilizadores, grupos ou principais de serviço do Microsoft Entra (aplicações).

   

2. Clique em Selecionar membros.

3. Localize e selecione os utilizadores, grupos ou principais de serviço.

   Pode escrever na caixa Selecionar para procurar no diretório o nome a apresentar ou o endereço de e-mail.

   

4. Clique em Selecionar para adicionar os usuários, grupos ou entidades de serviço à lista Membros.

5. Para atribuir a função selecionada a uma ou mais identidades geridas, selecione Identidade Gerida.

6. Clique em Selecionar membros.

7. No painel Selecionar identidades geridas, selecione se o tipo é identidade gerida atribuída pelo utilizador ou identidade gerida atribuída pelo sistema.

8. Localize e selecione as identidades geridas.

   Para identidades geridas atribuídas pelo sistema, pode selecionar as identidades geridas por instância de serviço do Azure.

   

9. Clique em Selecionar para adicionar as identidades gerenciadas à lista Membros.

10. Na caixa Descrição, introduza uma descrição opcional para esta atribuição de função.

    Posteriormente, pode mostrar esta descrição na lista de atribuições de funções.

11. Clique em Next.

Se você selecionou uma função que oferece suporte a condições, uma guia Condições será exibida e você terá a opção de adicionar uma condição à sua atribuição de função. Uma condição é uma verificação adicional que pode, opcionalmente, adicionar à atribuição de funções para indicar um controlo de acesso mais detalhado.

A guia Condições terá uma aparência diferente dependendo da função selecionada.

Delegar condição

Se você selecionou uma das seguintes funções privilegiadas, siga as etapas nesta seção.

• Proprietário
• Administrador de controle de acesso baseado em função
• Administrador de Acesso do Utilizador

1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Clique em Selecionar funções e entidades para adicionar uma condição que restrinja as funções e entidades às quais esse usuário pode atribuir funções.

3. Siga as etapas em Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições.

Condições de armazenamento

Se você selecionou uma das seguintes funções de armazenamento, siga as etapas nesta seção.

• Contribuinte de Dados do Armazenamento de Blobs
• Proprietário dos Dados do Armazenamento de Blobs
• Leitor de Dados do Armazenamento de Blobs
• Contribuidor de dados da fila de armazenamento
• Processador de mensagens de dados da fila de armazenamento
• Remetente da mensagem de dados da fila de armazenamento
• Leitor de dados da fila de armazenamento

1. Clique em Adicionar condição se quiser refinar ainda mais as atribuições de função com base nos atributos de armazenamento.

   

2. Siga as etapas em Adicionar ou editar condições de atribuição de função do Azure.

Se você tiver uma licença de Governança de ID P2 ou ID do Microsoft Entra, uma guia Tipo de atribuição será exibida para escopos de grupo de gerenciamento, assinatura e grupo de recursos. Use atribuições qualificadas para fornecer acesso just-in-time a uma função. Esse recurso está sendo implantado em etapas, portanto, pode não estar disponível ainda em seu locatário ou sua interface pode parecer diferente. Para obter mais informações, consulte Integração com gerenciamento privilegiado de identidades (visualização).

Se você não quiser usar a funcionalidade PIM, selecione as opções Tipo de atribuição ativa e Duração da atribuição permanente. Essas configurações criam uma atribuição de função em que o principal sempre tem permissões na função.

1. Na guia Tipo de atribuição, selecione o Tipo de atribuição.

   • Elegível - O usuário deve executar uma ou mais ações para usar a função, como executar uma verificação de autenticação multifator, fornecer uma justificativa comercial ou solicitar aprovação de aprovadores designados. Não é possível criar atribuições de função qualificadas para aplicativos, entidades de serviço ou identidades gerenciadas porque elas não podem executar as etapas de ativação.
   • Ativo - O usuário não precisa executar nenhuma ação para usar a função.

   

2. Dependendo das suas configurações, para Duração da atribuição, selecione Permanente ou Limite de tempo.

   Selecione permanente se quiser que o membro tenha sempre permissão para ativar ou usar a função. Selecione a hora vinculada para especificar as datas de início e fim. Essa opção pode ser desabilitada se a criação de atribuições permanentes não for permitida pela política do PIM.

3. Se a opção Limite de tempo estiver selecionada, defina Data e hora de início e Data e hora de início para especificar quando o usuário tem permissão para ativar ou usar a função.

   É possível definir a data de início no futuro. A duração máxima permitida elegível depende da sua política de Gestão de Identidades Privilegiadas (PIM).

4. (Opcional) Use Configurar Política PIM para configurar opções de expiração, requisitos de ativação de função (aprovação, autenticação multifator ou contexto de autenticação de Acesso Condicional) e outras configurações.

   Quando você seleciona o link Atualizar política PIM, uma página PIM é exibida. Selecione Configurações para configurar a política PIM para funções. Para obter mais informações, consulte Configurar configurações de função de recurso do Azure no Privileged Identity Management.

5. Clique em Next.

Siga estes passos:

1. No separador Rever + atribuir, reveja as definições da atribuição de função.

   

2. Clique em Rever + atribuir para atribuir a função.

   Após alguns instantes, é atribuída ao principal de segurança a função no âmbito selecionado.

   

3. Se não vir a descrição da atribuição de função, clique em Editar colunas para adicionar a coluna Descrição .

Se você tiver uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, poderá editar as configurações do tipo de atribuição de função. Para obter mais informações, consulte Integração com gerenciamento privilegiado de identidades (visualização).

1. Na página Controle de acesso (IAM), clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

2. Encontre a atribuição de função que você deseja editar.

3. Na coluna Estado, clique no link, como Limite de tempo qualificado ou Permanente ativo.

   O painel Editar atribuição é exibido onde você pode atualizar as configurações de tipo de atribuição de função. O painel pode demorar alguns minutos a abrir.

   

4. Quando terminar, clique em Guardar.

   Suas atualizações podem demorar um pouco para serem processadas e refletidas no portal.