Atribuir funções do Azure usando o portal do Azure

O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo. Este artigo descreve como atribuir funções usando o portal do Azure.

Se você precisar atribuir funções de administrador na ID do Microsoft Entra, consulte Atribuir funções do Microsoft Entra aos usuários.

Pré-requisitos

Para atribuir funções do Azure, é necessário ter:

• Microsoft.Authorization/roleAssignments/write permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso do Usuário

Etapa 1: Identifique o escopo necessário

Ao atribuir funções, é necessário especificar um escopo. Um Escopo é o conjunto de recursos ao qual o acesso se aplica. No Azure, você pode especificar um escopo em quatro níveis de amplo a estreito: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Para obter mais informações, veja Compreender o escopo.

1. Entre no portal do Azure.

2. Pesquise pelo escopo ao qual você deseja conceder acesso na caixa de pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.

3. Clique no recurso específico para esse escopo.

   O exemplo a seguir mostra um grupo de recursos de exemplo.

   

Etapa 2: Abrir a página Adicionar atribuição de função

O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Também é conhecido como IAM (gerenciamento de identidade e acesso) e aparece em vários locais no portal do Azure.

1. Clique em Controle de acesso (IAM).

   O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.

   

2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

3. Clique em Adicionar>Adicionar atribuição de função.

   Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

   

   A página Adicionar atribuição de função será aberta.

Etapa 3: Selecione a função apropriada

Para selecionar uma função, siga estas etapas:

1. Na guia Função, selecione uma função que você deseja usar.

   Você pode pesquisar uma função por nome ou por descrição. Você também pode filtrar funções por tipo e categoria.

   

   Observe que, se você não tiver certeza de qual função precisa atribuir, agora poderá usar o Copilot para ajudá-lo a selecionar a função apropriada. (Visualização limitada. Essa funcionalidade está sendo implantada em estágios, portanto, pode não estar disponível ainda em seu locatário ou sua interface pode parecer diferente.)

2. (Opcional) Na guia Função, clique no botão Copilot pode ajudar a escolher a função. A caixa de diálogo Copilot é aberta.

   

   Na caixa de diálogo, você pode adicionar prompts descritivos para informar ao Copilot seus requisitos para a função e o que você precisa que um usuário esteja autorizado a fazer, por exemplo, "Ajude-me a selecionar uma função para implantar e gerenciar funções do Azure". Ou "Qual função devo usar se quiser que um usuário gerencie e exiba um workspace?" Usar frases como 'Ajude-me a selecionar...' ou 'Qual função devo usar...' ajuda o Copilot a entender sua intenção com mais clareza para fornecer os melhores resultados.

   Com base na direção do prompt, o Copilot sugere uma função ou várias funções, com base nos requisitos fornecidos. Copilot pede que você confirme em Selecionar permissões. Em seguida, o Copilot recomenda uma função com base nos critérios fornecidos. Você pode selecionar a função ou solicitar ao Copilot que recomende outras funções. Se você selecionar Selecionar função, será levado de volta à página Adicionar atribuição de função , na qual poderá selecionar a função recomendada e exibir seus detalhes.

3. Se você quiser atribuir uma função de administrador com privilégios, selecione a guia Funções de administrador com privilégios para selecionar a função.

   Para as melhores práticas ao usar atribuições de função de administrador com privilégios, consulte Melhores práticas para o RBAC do Azure.

   

4. Na coluna Detalhes , clique em Exibir para obter mais detalhes sobre uma função.

   

5. Clique em Próximo.

Etapa 4: selecionar quem precisa de acesso

Para selecionar quem precisa de acesso, siga estas etapas:

1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço para atribuir a função selecionada a um ou mais usuários, grupos ou entidades de serviço (aplicativos) do Microsoft Entra.

   

2. Clique em Selecionar membros.

3. Localize e selecione os usuários, grupos ou entidades de serviço.

   Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

   

4. Clique em Selecionar para adicionar os usuários, grupos ou entidades de serviço à lista Membros.

5. Para atribuir a função selecionada a uma ou mais identidades gerenciadas, selecione Identidade gerenciada.

6. Clique em Selecionar membros.

7. No painel Selecionar identidades gerenciadas, selecione se o tipo é identidade gerenciada atribuída pelo usuário ou identidade gerenciada atribuída pelo sistema.

8. Encontre e selecione as identidades gerenciadas.

   Para identidades gerenciadas atribuídas pelo sistema, você pode selecionar identidades gerenciadas pela instância de serviço do Azure.

   

9. Clique em Selecionar para adicionar as identidades gerenciadas à lista Membros.

10. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

    Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

11. Clique em Próximo.

Etapa 5: (opcional) Adicionar condição

Se você selecionou uma função que dá suporte a condições, uma guia Condições será exibida e você terá a opção de adicionar uma condição à sua atribuição de função. Uma condição é uma verificação adicional que você pode adicionar opcionalmente à sua atribuição de função para fornecer um controle de acesso mais refinado.

A guia Condições terá uma aparência diferente, dependendo da função selecionada.

Condição de Delegação

Se você selecionou uma das seguintes funções com privilégios, siga as etapas nesta seção.

• Owner
• Administrador de controle de acesso baseado em função
• Administrador de Acesso do Usuário

1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua funções selecionadas apenas a entidades de segurança selecionadas (menos privilégios).

   

2. Clique em Selecionar funções e entidades para adicionar uma condição que restrinja as funções e entidades que este usuário pode atribuir.

3. Siga as etapas em Delegar o gerenciamento de atribuição de função do Azure para outras pessoas com condições.

Condição de armazenamento

Se você selecionou uma das seguintes funções de armazenamento, siga as etapas nesta seção.

• Colaborador de Dados de Armazenamento de Blobs
• Proprietário de Dados do Blob de Armazenamento
• Leitor de Dados do Blob de Armazenamento
• Colaborador de dados da fila de armazenamento
• Processador de Mensagens de Dados em Fila de Armazenamento
• Remetente da mensagem de dados da fila de armazenamento
• Leitor de Dados da Fila de Armazenamento

1. Clique em Adicionar condição se você quiser refinar ainda mais as atribuições de função com base em atributos de armazenamento.

   

2. Siga as etapas em Adicionar ou editar condições de atribuição de função do Azure.

Etapa 6: Selecione o tipo de atribuição

Se você tiver uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, será exibida uma guia Tipo de atribuição para escopos de grupo de gerenciamento, assinatura e grupo de recursos. Use atribuições qualificadas para fornecer acesso just-in-time a uma função. Os usuários com atribuições qualificadas e/ou por tempo limitado precisam ter uma licença válida.

Se você não quiser usar a funcionalidade PIM, selecione as opções Ativo para tipo de atribuição e Permanente para duração da atribuição. Essas configurações criam uma atribuição de função em que a entidade de segurança sempre tem permissões na função.

Essa capacidade está a ser implementada em fases, pelo que poderá ainda não estar disponível no seu inquilino ou a sua interface poderá parecer diferente. Para obter mais informações, consulte atribuições de função elegíveis e temporárias no RBAC do Azure.

1. Na guia Tipo de atribuição, selecione Tipo de atribuição.

   • Qualificado - O usuário deve executar uma ou mais ações para usar a função, como executar uma verificação de autenticação multifator, fornecer uma justificativa comercial ou solicitar aprovação de aprovadores designados. Você não pode criar atribuições de funções qualificadas para aplicativos, entidades de serviço ou identidades gerenciadas porque elas não podem executar as etapas de ativação.
   • Ativo – o usuário não precisa executar nenhuma ação para usar a função.

   

2. Dependendo das configurações, para a duração da Atribuição, selecione Permanente ou Limite de Tempo.

   Selecione permanente se você quiser que o membro sempre tenha permissão para ativar ou usar a função. Selecione tempo limite para especificar as datas de início e término. Essa opção pode ser desabilitada se a criação de atribuições permanentes não for permitida pela política do PIM.

3. Se Tempo limite for selecionado, defina Data e hora de início e Data e hora de início para especificar quando o usuário tem permissão para ativar ou usar a função.

   É possível definir a data de início no futuro. A duração máxima permitida de qualificação depende de sua política de Privileged Identity Management (PIM).

4. (Opcional) Use Configurar Política do PIM para configurar opções de expiração, requisitos de ativação de função (aprovação, autenticação multifator ou contexto de autenticação de Acesso Condicional) e outras configurações.

   Quando você seleciona o link Atualizar Política do PIM, é exibida uma página do PIM. Selecione Configurações para configurar a política do PIM para funções. Para obter mais informações, consulte Configurar as definições de função de recurso do Azure no Privileged Identity Management.

5. Clique em Próximo.

Etapa 7: Atribuir função

1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

   

2. Clique em Examinar + atribuir para atribuir a função.

   Após alguns instantes, a entidade de segurança será atribuída a função no escopo selecionado.

   

3. Se você não vir a descrição da atribuição de função, clique em Editar colunas para adicionar a coluna Descrição .

Editar atribuição

Se você tiver uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, você poderá editar suas configurações de tipo de atribuição de função. Para obter mais informações, consulte atribuições de função elegíveis e temporárias no RBAC do Azure.

1. Na página Controle de acesso (IAM), clique na guia Atribuições de função para ver as atribuições de função nesse escopo.

2. Localize a atribuição de função que você deseja editar.

3. Na coluna Estado, clique no link, como Elegível por tempo limitado ou Ativo permanente.

   É exibido o painel Editar atribuição, no qual você pode atualizar as configurações do tipo de atribuição de função. O painel pode demorar um pouco para abrir.

   

4. Ao terminar, clique em Salvar.

   Suas atualizações podem demorar um pouco para serem processadas e refletidas no portal.

Conteúdo relacionado

• Atribuir a um usuário a função de administrador de uma assinatura do Azure
• Remover atribuições de função do Azure
• Solucionar problemas do RBAC do Azure