Organizar assinaturas em grupos de gerenciamento e atribuir funções aos usuários

Gerencie a postura de segurança da sua organização em escala aplicando políticas de segurança a todas as assinaturas do Azure vinculadas ao seu locatário do Microsoft Entra.

Para ter visibilidade da postura de segurança de todas as assinaturas vinculadas a um locatário do Microsoft Entra, é necessário ter uma função do Azure com permissões de leitura suficientes atribuídas no grupo de gerenciamento raiz.

Organizar suas assinaturas em grupos de gerenciamento

Visão geral dos grupos de gerenciamento

Use os grupos de gerenciamento para gerenciar com eficiência o acesso, as políticas e os relatórios sobre os grupos de assinaturas, bem como gerenciar com eficácia todos os ativos do Azure executando ações no grupo de gerenciamento raiz. Você organiza assinaturas em grupos de gerenciamento e aplica as políticas de governança aos grupos de gerenciamento. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as políticas aplicadas ao grupo de gerenciamento.

Cada locatário do Microsoft Entra recebe um só grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz. Esse grupo de gerenciamento raiz é compilado na hierarquia para que todos os grupos de gerenciamento e assinaturas sejam dobrados nele. Esse grupo permite que políticas globais e atribuições de função do Azure sejam aplicadas no nível de diretório.

O grupo de gerenciamento raiz é criado automaticamente quando você faz qualquer uma das seguintes ações:

• No portal do Azure, selecione Grupos de Gerenciamento.
• Crie um grupo de gerenciamento por meio de uma chamada à API.
• Cria um grupo de gerenciamento com PowerShell. Para obter instruções sobre o PowerShell, confira Criar grupos de gerenciamento para o gerenciamento de recursos e da organização.

Os grupos de gerenciamento não são necessários para integrar Defender para Nuvem, mas recomendamos criar, pelo menos, um para que o grupo de gerenciamento raiz seja criado. Depois que o grupo for criado, todas as assinaturas do locatário do Microsoft Entra serão vinculadas a ele.

Para obter mais informações sobre grupos de gerenciamento, consulte Organizar seus recursos com grupos de gerenciamento do Azure.

Exibir e criar grupos de gerenciamento no portal do Azure

1. Entre no portal do Azure.

2. Pesquise e selecione Grupos de Gerenciamento.

3. Para criar um grupo de gerenciamento, selecione Criar, insira os detalhes relevantes e selecione Enviar.

   

   • ID do Grupo de Gerenciamento é o identificador exclusivo do diretório usado para enviar comandos nesse grupo de gerenciamento. Esse identificador não é editável após a criação, visto que é usado em todo o sistema do Azure para identificar esse grupo.

   • O campo de nome de exibição é o nome exibido no portal do Azure. Um nome de exibição separado é um campo opcional ao criar o gerenciamento de grupo e pode ser alterado a qualquer momento.

Adicionar assinaturas a um grupo de gerenciamento

Você consegue adicionar assinaturas a um grupo de gerenciamento que você criou.

1. Entre no portal do Azure.

2. Pesquise e selecione Grupos de Gerenciamento.

3. Selecione o grupo de gerenciamento para a assinatura.

4. Quando a página do grupo for aberta, selecione Assinaturas.

5. Na página Assinaturas, selecione Adicionar, escolha suas assinaturas e selecione Salvar. Repita o procedimento até adicionar todas as assinaturas no escopo.

   

   Importante

   Grupos de gerenciamento podem conter tanto assinaturas quanto grupos de gerenciamento filho. Quando você atribui uma função do Azure a um usuário no grupo de gerenciamento pai, o acesso é herdado pelas assinaturas do grupo de gerenciamento filho. Conjunto de políticas no grupo de gerenciamento pai são também herdadas pela criança.

Atribuir funções do Azure a outros usuários

Atribua as funções do Azure aos usuários por meio do portal do Azure

1. Entre no portal do Azure.

2. Pesquise e selecione Grupos de Gerenciamento.

3. Selecione o grupo de gerenciamento relevante.

4. Escolha Controle de Acesso (IAM) , abra a guia Atribuições de função e selecione Adicionar>Adicionar atribuição de função.

   

5. Na página Adicionar atribuição de função, escolha a função relevante.

   

6. Na guia Membros, escolha + Selecionar membros e atribua a função aos membros relevantes.

7. Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.

Atribua as funções do Azure aos usuários com o PowerShell

1. Instale o Azure PowerShell.

2. Execute os seguintes comandos:

   # Login to Azure as a Global Administrator user
   Connect-AzAccount
   

3. Quando solicitado, entre com suas credenciais.

   

4. Conceda permissões de função de leitor executando o seguinte comando:

   # Add Reader role to the required user on the Root Management Group
   # Replace "user@domian.com” with the user to grant access to
   New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
   

5. Para remover a função, use o seguinte comando:

   Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/" 
   

Remover acesso elevado

Depois que as funções do Azure forem atribuídas aos usuários, o administrador de locatários deverá se remover da função de administrador de acesso do usuário.

1. Entre no portal do Azure.

2. Na lista de navegação, selecione Microsoft Entra ID e escolha Propriedades.

3. Em Gerenciamento de acesso para recursos do Azure, defina a opção como Não.

4. Para salvar a configuração, selecione Salvar.

Próximas etapas

Nesta página, você aprendeu a organizar as assinaturas em grupos de gerenciamento e a atribuir funções aos usuários. Para obter informações relacionadas. consulte:

• Permissões no Microsoft Defender para Nuvem