Administradores da assinatura clássica do Azure

A Microsoft recomenda gerenciar o acesso aos recursos do Azure usando o RBAC do Azure (controle de acesso baseado em função do Azure). No entanto, se você ainda estiver usando o modelo de implantação clássico, será necessário usar uma função de administrador da assinatura clássica: Administrador de serviços e Coadministrador. Para obter mais informações, consulte Azure Resource Manager versus implantação clássica.

Este artigo descreve como adicionar ou alterar as funções Administrador de Serviços e Coadministrador e como exibir o Administrador da Conta.

Adicionar um Coadministrador

Dica

É necessário adicionar um Coadministrador somente se o usuário precisar gerenciar implantações clássicas do Azure usando o Módulo do PowerShell para Gerenciamento de Serviços do Azure. Se o usuário usa apenas o portal do Azure para gerenciar os recursos clássicos, não é preciso adicionar o administrador clássico para ele.

  1. Entre no portal do Azure como um Administrador de Serviços ou Coadministrador.

  2. Abra Assinaturas e selecione a assinatura.

    Coadministradores somente podem ser atribuídos no escopo da assinatura.

  3. Clique em IAM (Controle de Acesso).

  4. Clique na guia Administradores clássicos.

    Captura de tela que abre Administradores clássicos

  5. Clique em Adicionar > Adicionar coadministrador para abrir o painel Adicionar coadministradores.

    Se a opção Adicionar coadministrador estiver desabilitada, você não terá permissões.

  6. Selecione o usuário que você quer adicionar e clique em Adicionar.

    Captura de tela que adiciona o coadministrador

Adicionar um usuário convidado como um Coadministrador

Para adicionar um usuário convidado como um Coadministrador, siga as mesmas etapas da seção anterior Adicionar um Coadministrador. O usuário convidado deve atender aos seguintes critérios:

  • O usuário convidado deve ter uma presença no diretório. Isso significa que o usuário foi convidado para seu diretório e aceitou o convite.

Para obter informações sobre como adicionar um usuário convidado para seu diretório, veja Adicionar usuários de colaboração do Azure Active Directory B2B no portal do Azure.

Diferenças para usuários convidados

Usuários convidados aos quais foram atribuídas a função Coadministrador poderão ver algumas diferenças em comparação com os usuários membros com a função Coadministrador. Considere o cenário a seguir.

  • O usuário A com uma conta do AAD (conta corporativa ou de estudante) é um Administrador de Serviços de uma assinatura do Azure.
  • O usuário B tem uma conta da Microsoft.
  • O usuário A atribui a função Coadministrador ao usuário B.
  • O usuário B pode fazer quase tudo, mas não pode registrar aplicativos ou pesquisar usuários no diretório do Azure AD.

Você esperava que o usuário B pudesse gerenciar tudo. O motivo para essa diferença é que a conta da Microsoft é adicionada à assinatura como um usuário convidado, em vez de um usuário membro. Os usuários convidados têm permissões padrão diferentes no Azure AD em comparação com os usuários membros. Por exemplo, usuários membros podem ler outros usuários no Azure AD, e os usuários convidados não podem. Os usuários membros podem registrar novas entidades de serviço no Azure AD, e os usuários convidados não podem.

Se houver a necessidade de um usuário convidado executar essas tarefas, uma solução possível é atribuir as funções específicas do AAD que o usuário convidado precisa. Por exemplo, no cenário anterior, você pode atribuir a função Leitores de Diretório para ler outros usuários e atribuir a função Desenvolvedor de Aplicativos para criar entidades de serviço. Para saber mais sobre os usuários membros e convidados e suas permissões, consulte Quais são as permissões de usuário padrão no Azure Active Directory?. Para obter mais informações sobre como conceder acesso para usuários convidados, veja Atribuir funções do Azure a usuários convidados externos usando o portal do Azure.

Observe que as Funções internas do Azure são diferentes das Funções do AAD. As funções internas não concedem acesso ao Azure AD. Para saber mais, consulte Compreender as diferentes funções.

Para saber mais sobre os usuários membros e convidados, veja Quais são as permissões de usuário padrão no Azure Active Directory?.

Remover um Coadministrador

  1. Entre no portal do Azure como um Administrador de Serviços ou Coadministrador.

  2. Abra Assinaturas e selecione a assinatura.

  3. Clique em IAM (Controle de Acesso).

  4. Clique na guia Administradores clássicos.

  5. Adicione uma marca de seleção ao lado do Coadministrador que você quer remover.

  6. Clique em Remover.

  7. Na caixa de mensagem que é exibida, clique em Sim.

    Captura de tela que remove o coadministrador

Alterar o administrador do serviço

Somente o Administrador da Conta pode alterar o Administrador de Serviços de uma assinatura. Por padrão, ao inscrever-se em uma assinatura do Azure, o Administrador de Serviços é o mesmo que o Administrador da Conta.

O usuário com a função de administrador da conta pode acessar o portal do Azure e gerenciar a cobrança, mas não pode cancelar assinaturas. O usuário com a função de administrador de serviços tem acesso total ao portal do Azure e pode cancelar assinaturas. O administrador da conta pode atribuir a si mesmo como administrador de serviços.

Siga estas etapas para alterar o Administrador de Serviços no portal do Azure.

  1. Para ver se há suporte para o cenário, verifique as limitações para alterar os Administradores de Serviços.

  2. Entre no Portal do Azure como Administrador da Conta.

  3. Abra Gerenciamento de Custos e Cobrança e selecione uma assinatura.

  4. No painel de navegação à esquerda, clique em Propriedades.

  5. Clique em Alterar administrador de serviços.

    Captura de tela mostrando as propriedades de assinatura no portal do Azure

  6. Na página Editar administrador de serviços, insira o endereço de email para o novo Administrador de Serviços.

    Captura de tela mostrando a página Editar administrador de serviços

  7. Clique em OK para salvar a alteração.

Limitações para alterar o Administrador de Serviços

Só pode haver um Administrador de Serviços por assinatura do Azure. A alteração do Administrador de Serviços se comportará de maneira diferente, dependendo se o Administrador da Conta for um conta da Microsoft ou se for uma conta do AAD (conta corporativa ou de estudante).

Conta do Administrador de Conta É possível alterar o Administrador de Serviços para um conta da Microsoft diferente? É possível alterar o Administrador de Serviços para uma conta do AAD no mesmo diretório? É possível alterar o Administrador de Serviços para uma conta do AAD em um diretório diferente?
Conta da Microsoft Sim Não Não
Conta do AD do Azure Sim Sim Não

Se o Administrador da Conta for uma conta do AAD, você poderá alterar o Administrador de Serviços para uma conta do AAD no mesmo diretório, mas não em um diretório diferente. Por exemplo, o abby@contoso.com pode alterar o Administrador de Serviços para o bob@contoso.com, mas não pode alterá-lo para john@notcontoso.com a menos que john@notcontoso.com tenha um presença no diretório contoso.com.

Para obter mais informações sobre as contas da Microsoft e contas do AAD, veja O que é o Azure Active Directory?.

Exibir o Administrador da Conta

O Administrador da Conta é o usuário que inscreveu-se inicialmente para a assinatura do Azure e é responsável como o proprietário de cobrança da assinatura. Para alterar o Administrador de Conta de uma assinatura, consulte Transferir a propriedade de uma assinatura do Azure para outra conta.

Siga estas etapas para exibir o Administrador da Conta.

  1. Entre no portal do Azure.

  2. Abra Gerenciamento de Custos e Cobrança e selecione uma assinatura.

  3. No painel de navegação à esquerda, clique em Propriedades.

    O Administrador da Conta da assinatura é exibido na caixa Administrador da Conta.

    Captura de tela mostrando o Administrador da Conta

Próximas etapas