Compreender quando terá de elevar o seu acesso

  • 7 minutos

O administrador de subscrição do Azure do departamento de marketing deixou recentemente a organização. Como Administrador Global, não tem acesso a esta subscrição. Precisa agora de conceder acesso de administrador para a subscrição a outra pessoa no departamento de marketing.

Nesta unidade, vai explorar quando poderá ter de elevar o seu próprio acesso.

Quando elevar o acesso

Por predefinição, um Administrador Global não tem acesso aos recursos do Azure. O Administrador Global do Microsoft Entra ID pode elevar temporariamente suas permissões para a função do Azure de Administrador de Acesso do Usuário. Esta ação concede as permissões de controle de acesso baseado em função do Azure (Azure RBAC) necessárias para gerenciar recursos do Azure. A função Administrador de Acesso dos Utilizadores é atribuída no âmbito de raiz. A função pode exibir todos os recursos e atribuir acesso a qualquer assinatura ou grupo de gerenciamento nessa organização do Microsoft Entra.

O diagrama seguinte mostra os recursos que o Administrador Global pode ver quando as suas permissões são elevadas para Administrador de Acesso dos Utilizadores.

Diagram of User Access Administrator elevated permissions.

Como Administrador Global, poderá ter de elevar as suas permissões para:

  • Recuperar o acesso perdido a uma subscrição ou grupo de gestão do Azure.
  • Conceder a outro utilizador ou a si próprio acesso a uma subscrição ou grupo de gestão do Azure.
  • Ver todas as subscrições ou grupos de gestão do Azure numa organização.
  • Conceder um acesso de aplicação de automatização a todas as subscrições ou grupos de gestão do Azure.

Depois de o Administrador Global elevar as permissões para Administrador de Acesso dos Utilizadores, pode conceder a outros utilizadores as permissões de RBAC do Azure necessárias para controlar e gerir os recursos do Azure. Quando a tarefa estiver concluída, o Administrador Global deve revogar as suas próprias permissões elevadas.

Atribuir a um utilizador acesso administrativo a uma subscrição do Azure

Para atribuir a um utilizador acesso administrativo a uma subscrição, tem de ter as permissões Microsoft.Authorization/roleAssignments/write e Microsoft.Authorization/roleAssignments/delete no âmbito da subscrição. Os utilizadores com a função de Proprietário ou Administrador de Acesso dos Utilizadores da subscrição têm estas permissões.

Na próxima unidade, você aprenderá como atribuir uma função usando o portal do Azure depois de elevar suas permissões para Administrador de Acesso de Usuário. No entanto, você também pode atribuir funções usando o Azure PowerShell, a CLI do Azure ou a API REST.

Nas seguintes secções, vamos analisar resumidamente os comandos que pode utilizar para atribuir a função de Proprietário no Azure PowerShell ou na CLI do Azure.

Atribuir a função com o Azure PowerShell

O comando seguinte mostra como atribuir a função de Proprietário a um utilizador no âmbito da subscrição com o Azure PowerShell:

  New-AzRoleAssignment `
    -SignInName rbacuser@example.com `
    -RoleDefinitionName "Owner" `
    -Scope "/subscriptions/<subscriptionID>"

Atribuir a função com a CLI do Azure

O comando seguinte mostra como atribuir a função de Proprietário a um utilizador no âmbito da subscrição com a CLI do Azure:

  az role assignment create \
    --assignee rbacuser@example.com \
    --role "Owner" \
    --scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
    --subscription <subscription_name_or_id>

Verifique o seu conhecimento

1.

Um utilizador com acesso de Proprietário a uma subscrição saiu da sua empresa. Mais ninguém tem acesso a esta subscrição. Como pode conceder a outro colaborador acesso a esta subscrição?

2.

Atualmente, um gestor tem acesso à subscrição que é utilizada para o ambiente de produção da organização. Esse gerente também precisa de acesso de proprietário à assinatura usada para o ambiente de desenvolvimento da organização. Como pode este acesso ser concedido?