Resolver problemas de RBAC do Azure

  • Artigo

Este artigo descreve algumas soluções comuns para problemas relacionados ao controle de acesso baseado em função do Azure (Azure RBAC).

Atribuições de funções do Azure

Sintoma - A opção Adicionar atribuição de função está desativada

Não é possível atribuir uma função no portal do Azure no controle de acesso (IAM) porque a opção Adicionar>atribuição de função está desabilitada

Motivo

No momento, você está conectado com um usuário que não tem permissão para atribuir funções no escopo selecionado.

Solução

Verifique se você está atualmente conectado com um usuário ao qual foi atribuída uma função que tenha a Microsoft.Authorization/roleAssignments/write permissão, como Administrador de Controle de Acesso Baseado em Função , no escopo que você está tentando atribuir a função.

Sintoma - Funções ou entidades não estão listadas

Quando você tenta atribuir uma função no portal do Azure, algumas funções ou entidades não são listadas. Por exemplo, na guia Função , você verá um conjunto reduzido de funções.

Screenshot of role assignments constrained to specific roles.

Ou, no painel Selecionar membros , você verá um conjunto reduzido de entidades de segurança.

Screenshot of role assignments constrained to specific groups.

Motivo

Há restrições nas atribuições de função que você pode adicionar. Por exemplo, você está restrito nas funções que pode atribuir ou restrito nas entidades às quais pode atribuir funções.

Solução

Veja as funções atribuídas a si. Verifique se há uma condição que restringe as atribuições de função que você pode adicionar. Para obter mais informações, consulte Delegar o gerenciamento de acesso do Azure a outras pessoas.

Screenshot of role assignments that include a condition.

Sintoma - Não é possível atribuir uma função

Não é possível atribuir uma função e recebe um erro semelhante ao seguinte:

Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.

Causa 1

No momento, você está conectado com um usuário que não tem permissão para atribuir funções no escopo selecionado.

Solução 1

Verifique se você está atualmente conectado com um usuário ao qual foi atribuída uma função que tenha a Microsoft.Authorization/roleAssignments/write permissão, como Administrador de Controle de Acesso Baseado em Função , no escopo que você está tentando atribuir a função.

Causa 2

Há restrições nas atribuições de função que você pode adicionar. Por exemplo, você está restrito nas funções que pode atribuir ou restrito nas entidades às quais pode atribuir funções.

Solução 2

Veja as funções atribuídas a si. Verifique se há uma condição que restringe as atribuições de função que você pode adicionar. Para obter mais informações, consulte Delegar o gerenciamento de acesso do Azure a outras pessoas.

Screenshot of role assignments that include a condition.

Sintoma - Não é possível atribuir uma função usando uma entidade de serviço com a CLI do Azure

Você está usando uma entidade de serviço para atribuir funções com a CLI do Azure e recebe o seguinte erro:

Insufficient privileges to complete the operation

Por exemplo, digamos que tem um principal de serviço que foi atribuído à função de Proprietário e que tenta criar a seguinte atribuição de funções como o principal de serviço com a CLI do Azure:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Motivo

É provável que a CLI do Azure esteja tentando procurar a identidade do cessionário na ID do Microsoft Entra e a entidade de serviço não possa ler a ID do Microsoft Entra por padrão.

Solução

Há duas maneiras de resolver esse erro. A primeira maneira é atribuir a função Leitores de Diretório à entidade de serviço para que ela possa ler dados no diretório.

A segunda maneira de resolver esse erro é criar a atribuição de função usando o --assignee-object-id parâmetro em vez de --assignee. Ao usar --assignee-object-ido , a CLI do Azure ignorará a pesquisa do Microsoft Entra. Você precisará obter a ID do objeto do usuário, grupo ou aplicativo ao qual deseja atribuir a função. Para obter mais informações, veja Utilizar a CLI do Azure para atribuir funções do Azure.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Sintoma - A atribuição de uma função a um novo responsável por vezes falha

Você cria um novo usuário, grupo ou entidade de serviço e imediatamente tenta atribuir uma função a essa entidade e a atribuição de função às vezes falha. Você recebe uma mensagem semelhante ao seguinte erro:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Motivo

O motivo é provavelmente um atraso na replicação. O principal é criado em uma região; no entanto, a atribuição de função pode ocorrer em uma região diferente que ainda não replicou a entidade de segurança.

Solução 1

Se você estiver criando um novo usuário ou entidade de serviço usando a API REST ou o modelo ARM, defina a principalType propriedade ao criar a atribuição de função usando a API Atribuições de função - Criar .

principalType apiVersion
User 2020-03-01-preview ou mais tarde
ServicePrincipal 2018-09-01-preview ou mais tarde

Para obter mais informações, veja Atribuir funções do Azure a um novo principal de serviço com a API REST ou Atribuir funções do Azure a um novo principal de serviço com os modelos do Azure Resource Manager.

Solução 2

Se você estiver criando um novo usuário ou entidade de serviço usando o Azure PowerShell, defina o ObjectType parâmetro como User ou ServicePrincipal ao criar a atribuição de função usando New-AzRoleAssignment. As mesmas restrições de versão da API subjacentes da Solução 1 ainda se aplicam. Para obter mais informações, consulte Atribuir funções do Azure usando o Azure PowerShell.

Solução 3

Se você estiver criando um novo grupo, aguarde alguns minutos antes de criar a atribuição de função.

Sintoma - A atribuição de função de modelo ARM retorna o status BadRequest

Quando você tenta implantar um arquivo Bicep ou modelo ARM que atribui uma função a uma entidade de serviço, você recebe o erro:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Por exemplo, se você criar uma atribuição de função para uma identidade gerenciada, excluir a identidade gerenciada e recriá-la, a nova identidade gerenciada terá uma ID principal diferente. Se você tentar implantar a atribuição de função novamente e usar o mesmo nome de atribuição de função, a implantação falhará.

Motivo

A atribuição name de função não é exclusiva e é vista como uma atualização.

As atribuições de função são identificadas exclusivamente por seu nome, que é um identificador global exclusivo (GUID). Não é possível criar duas atribuições de função com o mesmo nome, mesmo em assinaturas diferentes do Azure. Também não é possível alterar as propriedades de uma atribuição de função existente.

Solução

Forneça um valor exclusivo idempotente para a atribuição namede função. É uma boa prática criar um GUID que use o escopo, a ID principal e a ID da função juntos. É uma boa ideia usar a guid() função para ajudá-lo a criar um GUID determinístico para seus nomes de atribuição de função, como neste exemplo:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Para obter mais informações, consulte Criar recursos do RBAC do Azure usando o Bicep.

Sintoma - Atribuições de função com identidade não encontrada

Na lista de atribuições de função para o portal do Azure, você observa que a entidade de segurança (usuário, grupo, entidade de serviço ou identidade gerenciada) está listada como Identidade não encontrada com um tipo Desconhecido .

Identity not found listed in Azure role assignments

Se você listar essa atribuição de função usando o Azure PowerShell, poderá ver um vazio DisplayName e SignInName, ou um valor para ObjectType de Unknown. Por exemplo, Get-AzRoleAssignment devolverá uma atribuição de função semelhante à seguinte saída:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Da mesma forma, se listar esta atribuição de função com a CLI do Azure, poderá ver um principalName vazio. Por exemplo, az role assignment list devolverá uma atribuição de função semelhante à seguinte saída:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Causa 1

Você convidou recentemente um usuário ao criar uma atribuição de função e essa entidade de segurança ainda está no processo de replicação entre regiões.

Solução 1

Aguarde alguns momentos e atualize a lista de atribuições de função.

Causa 2

Você excluiu uma entidade de segurança que tinha uma atribuição de função. Se atribuir uma função a um principal de segurança e depois eliminar esse principal de segurança sem primeiro remover a atribuição de função, o principal de segurança será listado como Identidade não encontrada e um tipo Desconhecido.

Solução 2

Não é um problema deixar essas atribuições de função onde a entidade de segurança foi excluída. Se desejar, você pode remover essas atribuições de função usando etapas semelhantes a outras atribuições de função. Para obter informações sobre como remover atribuições de função, consulte Remover atribuições de função do Azure.

No PowerShell, se você tentar remover as atribuições de função usando a ID do objeto e o nome da definição de função, e mais de uma atribuição de função corresponder aos seus parâmetros, você receberá a mensagem de erro: The provided information does not map to a role assignment. A seguinte saída mostra um exemplo da mensagem de erro:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Se você receber essa mensagem de erro, certifique-se de especificar também os -Scope parâmetros ou -ResourceGroupName .

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Sintoma - Não é possível excluir a última atribuição de função de Proprietário

Você tenta remover a última atribuição de função de proprietário para uma assinatura e vê o seguinte erro:

Cannot delete the last RBAC admin assignment

Motivo

Não há suporte para a remoção da última atribuição de função de Proprietário de uma assinatura para evitar a órfã da assinatura.

Solução

Se precisar de cancelar a subscrição, veja Cancelar a subscrição do Azure.

Você tem permissão para remover a última atribuição de função de Proprietário (ou Administrador de Acesso de Usuário) no escopo da assinatura, se for um Administrador Global para o locatário ou um administrador clássico (Administrador de Serviço ou Coadministrador) para a assinatura. Nesse caso, não há restrição para exclusão. No entanto, se a chamada vier de alguma outra entidade de segurança, você não poderá remover a última atribuição de função de Proprietário no escopo da assinatura.

Sintoma - A atribuição de função não é movida depois de mover um recurso

Motivo

Se mover um recurso que tenha uma função do Azure atribuída diretamente ao recurso (ou a um recurso subordinado), a atribuição de funções não é movida e torna-se órfã.

Solução

Depois de mover um recurso, você deve recriar a atribuição de função. Eventualmente, a atribuição de função órfã será removida automaticamente, mas é uma prática recomendada remover a atribuição de função antes de mover o recurso. Para obter informações sobre como mover recursos, veja Mover recursos para um novo grupo de recursos ou subscrição.

Sintoma - As alterações de atribuição de função não estão sendo detetadas

Você adicionou ou atualizou recentemente uma atribuição de função, mas as alterações não estão sendo detetadas. Poderá ver a mensagem Status: 401 (Unauthorized).

Causa 1

Por vezes, o Azure Resource Manager coloca configurações e dados em cache para melhorar o desempenho.

Solução 1

Quando você atribui funções ou remove atribuições de função, pode levar até 10 minutos para que as alterações entrem em vigor. Se estiver a utilizar o portal do Azure, o Azure PowerShell ou a CLI do Azure, pode forçar uma atualização das alterações de atribuição de função terminando sessão e iniciando sessão. Se você estiver fazendo alterações de atribuição de função com chamadas de API REST, poderá forçar uma atualização atualizando seu token de acesso.

Causa 2

Você adicionou identidades gerenciadas a um grupo e atribuiu uma função a esse grupo. Os serviços back-end para identidades gerenciadas mantêm um cache por URI de recurso por cerca de 24 horas.

Solução 2

Pode levar várias horas para que as alterações no grupo ou associação de função de uma identidade gerenciada entrem em vigor. Para obter mais informações, consulte Limitação do uso de identidades gerenciadas para autorização.

Sintoma - As alterações de atribuição de função no escopo do grupo de gerenciamento não estão sendo detetadas

Você adicionou ou atualizou recentemente uma atribuição de função no escopo do grupo de gerenciamento, mas as alterações não estão sendo detetadas.

Motivo

Por vezes, o Azure Resource Manager coloca configurações e dados em cache para melhorar o desempenho.

Solução

Quando você atribui funções ou remove atribuições de função, pode levar até 10 minutos para que as alterações entrem em vigor. Se você adicionar ou remover uma atribuição de função interna no escopo do grupo de gerenciamento e a função interna tiver DataActions, o acesso no plano de dados pode não ser atualizado por várias horas. Tal aplica-se apenas ao âmbito do grupo de gestão e ao plano de dados. As funções personalizadas com DataActions não podem ser atribuídas no âmbito do grupo de gestão.

Sintoma - As atribuições de função para alterações do grupo de gerenciamento não estão sendo detetadas

Você criou um novo grupo de gerenciamento filho e a atribuição de função no grupo de gerenciamento pai não está sendo detetada para o grupo de gerenciamento filho.

Motivo

Por vezes, o Azure Resource Manager coloca configurações e dados em cache para melhorar o desempenho.

Solução

Pode levar até 10 minutos para que a atribuição de função para o grupo de gerenciamento de filhos entre em vigor. Se estiver a utilizar o portal do Azure, o Azure PowerShell ou a CLI do Azure, poderá forçar uma atualização das alterações nas atribuição de funções ao terminar e voltar a iniciar sessão. Se estiver a fazer alterações nas atribuições de funções com chamadas à API REST, poderá forçar uma atualização ao atualizar o token de acesso.

Sintoma - Remover atribuições de função usando o PowerShell leva vários minutos

Use o comando Remove-AzRoleAssignment para remover uma atribuição de função. Em seguida, use o comando Get-AzRoleAssignment para verificar se a atribuição de função foi removida para uma entidade de segurança. Por exemplo:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

O comando Get-AzRoleAssignment indica que a atribuição de função não foi removida. No entanto, se você aguardar de 5 a 10 minutos e executar Get-AzRoleAssignment novamente, a saída indica que a atribuição de função foi removida.

Motivo

A atribuição de função foi removida. No entanto, para melhorar o desempenho, o PowerShell usa um cache ao listar atribuições de função. Pode haver um atraso de cerca de 10 minutos para que o cache seja atualizado.

Solução

Em vez de listar as atribuições de função para uma entidade de segurança, liste todas as atribuições de função no escopo da assinatura e filtre a saída. Por exemplo, o seguinte comando:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Em vez disso, pode ser substituído por este comando:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Funções personalizadas

Sintoma - Não é possível atualizar ou excluir uma função personalizada

Não é possível atualizar ou excluir uma função personalizada existente.

Causa 1

No momento, você está conectado com um usuário que não tem permissão para atualizar ou excluir funções personalizadas.

Solução 1

Verifique se você está conectado com um usuário ao qual foi atribuída uma função que tenha a Microsoft.Authorization/roleDefinitions/write permissão, como Administrador de Acesso de Usuário.

Causa 2

A função personalizada inclui uma assinatura em escopos atribuíveis e essa assinatura está em um estado desabilitado.

Solução 2

Reative a assinatura desabilitada e atualize a função personalizada conforme necessário. Para obter mais informações, veja Reativar uma subscrição do Azure desativada.

Sintoma - Não é possível criar ou atualizar uma função personalizada

Quando você tenta criar ou atualizar uma função personalizada, você recebe um erro semelhante ao seguinte:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Motivo

Esse erro geralmente indica que você não tem permissões para um ou mais escopos atribuíveis na função personalizada.

Solução

Experimente o seguinte:

  • Revise Quem pode criar, excluir, atualizar ou exibir uma função personalizada e verifique se você tem permissões para criar ou atualizar a função personalizada para todos os escopos atribuíveis.
  • Se você não tiver permissões, peça ao administrador para atribuir uma função que tenha a Microsoft.Authorization/roleDefinitions/write ação, como Administrador de Acesso de Usuário, no escopo do escopo atribuível.
  • Verifique se todos os escopos atribuíveis na função personalizada são válidos. Caso contrário, remova todos os escopos atribuíveis inválidos.

Para obter mais informações, consulte os tutoriais de função personalizada usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Sintoma - Não é possível excluir uma função personalizada

Não é possível excluir uma função personalizada e receber a seguinte mensagem de erro:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Motivo

Há atribuições de função ainda usando a função personalizada.

Solução

Remova as atribuições de função que usam a função personalizada e tente excluir a função personalizada novamente. Para obter mais informações, consulte Localizar atribuições de função para excluir uma função personalizada.

Sintoma - Não é possível adicionar mais de um grupo de gerenciamento como escopo atribuível

Ao tentar criar ou atualizar uma função personalizada, não é possível adicionar mais de um grupo de gerenciamento como escopo atribuível.

Motivo

Só pode definir um grupo de gestão em AssignableScopes de uma função personalizada.

Solução

Defina um grupo de gerenciamento em AssignableScopes sua função personalizada. Para obter mais informações sobre as funções personalizadas e os grupos de gestão, veja Organizar recursos com grupos de gestão do Azure.

Sintoma - Não é possível adicionar ações de dados à função personalizada

Quando tenta criar ou atualizar uma função personalizada, não consegue adicionar ações de dados ou vê a seguinte mensagem:

You cannot add data action permissions when you have a management group as an assignable scope

Motivo

Você está tentando criar uma função personalizada com ações de dados e um grupo de gerenciamento como escopo atribuível. As funções personalizadas com DataActions não podem ser atribuídas no âmbito do grupo de gestão.

Solução

Crie a função personalizada com uma ou mais assinaturas como o escopo atribuível. Para obter mais informações sobre as funções personalizadas e os grupos de gestão, veja Organizar recursos com grupos de gestão do Azure.

Acesso negado ou erros de permissões

Sintoma - Falha na autorização

Quando você tenta criar um recurso, você recebe a seguinte mensagem de erro:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Causa 1

No momento, você está conectado com um usuário que não tem permissão de gravação para o recurso no escopo selecionado.

Solução 1

Verifique se você está conectado com um usuário ao qual foi atribuída uma função que tenha permissão de gravação para o recurso no escopo selecionado. Por exemplo, para gerir máquinas virtuais num grupo de recursos, deve ter a função Contribuidor de Máquina Virtual no grupo de recursos (ou no âmbito principal). Para obter uma lista das permissões de cada função incorporada, veja Funções incorporadas do Azure.

Causa 2

O usuário conectado no momento tem uma atribuição de função com os seguintes critérios:

  • A função inclui uma ação de dados Microsoft.Storage
  • A atribuição de função inclui uma condição ABAC que usa operadores de comparação GUID

Solução 2

No momento, você não pode ter uma atribuição de função com uma ação de dados Microsoft.Storage e uma condição ABAC que usa um operador de comparação GUID. Aqui estão algumas opções para resolver esse erro:

  • Se a função for uma função personalizada, remova todas as ações de dados Microsoft.Storage
  • Modificar a condição de atribuição de função para que ela não use operadores de comparação GUID

Sintoma - O usuário convidado obtém falha na autorização

Quando um usuário convidado tenta acessar um recurso, ele recebe uma mensagem de erro semelhante à seguinte:

The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.

Motivo

O usuário convidado não tem permissões para o recurso no escopo selecionado.

Solução

Verifique se o usuário convidado recebeu uma função com permissões menos privilegiadas para o recurso no escopo selecionado. Para obter mais informações, Atribua funções do Azure a usuários externos usando o portal do Azure.

Sintoma - Não é possível criar uma solicitação de suporte

Quando você tenta criar ou atualizar um tíquete de suporte, você recebe a seguinte mensagem de erro:

You don't have permission to create a support request

Motivo

No momento, você está conectado com um usuário que não tem permissão para criar solicitações de suporte.

Solução

Verifique se você está atualmente conectado com um usuário ao qual foi atribuída uma função que tenha a Microsoft.Support/supportTickets/write permissão, como Colaborador de Solicitação de Suporte.

Os recursos do Azure estão desabilitados

Sintoma - Alguns recursos do aplicativo Web estão desativados

Um usuário tem acesso de leitura a um aplicativo Web e alguns recursos estão desativados.

Motivo

Se você conceder a um usuário acesso de leitura a um aplicativo Web, alguns recursos serão desativados que você pode não esperar. Os recursos de gerenciamento a seguir exigem acesso de gravação a um aplicativo Web e não estão disponíveis em nenhum cenário somente leitura.

  • Comandos (como iniciar, parar, etc.)
  • Alterar definições como configuração geral, definições de dimensionamento, definições de cópia de segurança e definições de monitorização
  • Aceder a credenciais de publicação e outros segredos, como definições de aplicações e cadeias de ligação
  • Registos de transmissão em fluxo
  • Configuração de registos de recursos
  • Consola (linha de comandos)
  • Implementações ativas e recentes (para implementação contínua do git local)
  • Gastos estimados
  • Testes Web
  • Rede virtual (apenas visível para um leitor se uma rede virtual tiver sido anteriormente configurada por um utilizador com acesso de escrita).

Solução

Atribua o Colaborador ou outra função interna do Azure com permissões de gravação para o aplicativo Web.

Sintoma - Alguns recursos do aplicativo Web estão desativados

Um usuário tem acesso de gravação a um aplicativo Web e alguns recursos estão desativados.

Motivo

As aplicações Web são complicadas devido à presença de alguns recursos diferentes que se interligam. Aqui está um grupo de recursos típico com alguns sites:

Web app resource group

Como resultado, se conceder a alguém acesso apenas à aplicação Web, a maioria das funcionalidades no painel do site no portal do Azure estará desativada.

Esses itens exigem acesso de gravação ao plano do Serviço de Aplicativo que corresponde ao seu site:

  • Ver o escalão de preço da aplicação Web (Gratuito ou Standard)
  • Configuração do dimensionamento (número de instâncias, tamanho da máquina virtual, definições de dimensionamento automático)
  • Quotas (armazenamento, largura de banda, CPU)

Esses itens exigem acesso de gravação a todo o grupo de recursos que contém seu site:

  • Certificados e enlaces TLS/SSL (os certificados TLS/SSL podem ser partilhados entre sites no mesmo grupo de recursos e geolocalização)
  • Regras de alertas
  • Definições do dimensionamento automático
  • Componentes de informações de aplicação
  • Testes Web

Solução

Atribua uma função interna do Azure com permissões de gravação para o plano de serviço de aplicativo ou grupo de recursos.

Sintoma - Alguns recursos da máquina virtual estão desativados

Um usuário tem acesso a uma máquina virtual e alguns recursos estão desativados.

Motivo

Semelhantes às aplicações Web, algumas funcionalidades no painel da máquina virtual requerem o acesso de escrita à máquina virtual ou a outros recursos no grupo de recursos.

As máquinas virtuais estão relacionadas com Nomes de domínio, redes virtuais, contas de armazenamento e regras de alerta.

Estes itens requerem acesso de escrita à máquina virtual:

  • Pontos Finais
  • Endereços IP
  • Discos
  • Extensões

Eles exigem acesso de gravação à máquina virtual e ao grupo de recursos (junto com o nome de domínio) em que ela se encontra:

  • Conjunto de disponibilidade
  • Conjunto com balanceamento de carga
  • Regras de alertas

Se não conseguir aceder a nenhum destes mosaicos, peça ao administrador para lhe atribuir acesso de Contribuidor ao Grupo de recursos.

Solução

Atribua uma função interna do Azure com permissões de gravação para a máquina virtual ou grupo de recursos.

Sintoma - Alguns recursos do aplicativo de função estão desativados

Um usuário tem acesso a um aplicativo de função e alguns recursos são desativados. Por exemplo, eles podem clicar na guia Recursos da plataforma e, em seguida, clicar em Todas as configurações para exibir algumas configurações relacionadas a um aplicativo de função (semelhante a um aplicativo Web), mas não podem modificar nenhuma dessas configurações.

Motivo

Algumas funcionalidades das Funções do Azure requerem acesso de escrita. Por exemplo, se um usuário receber a função Leitor , ele não poderá exibir as funções em um aplicativo de função. O portal exibe (Sem acesso).

Function apps no access

Solução

Atribua uma função interna do Azure com permissões de gravação para o aplicativo de função ou grupo de recursos.

Transferir uma subscrição para um diretório diferente

Sintoma - Todas as atribuições de função são excluídas após a transferência de uma assinatura

Motivo

Quando você transfere uma assinatura do Azure para um diretório diferente do Microsoft Entra, todas as atribuições de função são excluídas permanentemente do diretório de origem do Microsoft Entra e não são migradas para o diretório de destino do Microsoft Entra.

Solução

Terá de recriar as atribuições de funções no diretório de destino. Também terá de recriar manualmente as identidades geridas dos recursos do Azure. Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do Microsoft Entra e Perguntas frequentes e Problemas conhecidos com identidades gerenciadas.

Sintoma - Não é possível aceder à subscrição depois de transferir uma subscrição

Solução

Se você for um Administrador Global do Microsoft Entra e não tiver acesso a uma assinatura depois que ela tiver sido transferida entre diretórios, use a alternância Gerenciamento de acesso para recursos do Azure para elevar temporariamente seu acesso para obter acesso à assinatura.

Administradores de subscrição clássica

Importante

Recursos clássicos e administradores clássicos serão aposentados em 31 de agosto de 2024. A partir de 3 de abril de 2024, você não poderá adicionar novos Coadministradores. Esta data foi recentemente prorrogada. Remova coadministradores desnecessários e use o RBAC do Azure para controle de acesso refinado.

Para obter mais informações, veja Administradores da subscrição clássica do Azure.

Próximos passos