Administradores da assinatura clássica do Azure

Importante

Os recursos clássicos e os administradores clássicos serão desativados em 31 de agosto de 2024. A partir de 3 de abril de 2024, você não conseguirá adicionar novos coadministradores. Essa data foi prorrogada recentemente. Remova os Coadministradores desnecessários e use o Azure RBAC para um controle de acesso refinado.

A Microsoft recomenda gerenciar o acesso aos recursos do Azure usando o RBAC do Azure (controle de acesso baseado em função do Azure). No entanto, se você ainda estiver usando o modelo de implantação clássico, será necessário usar uma função de administrador da assinatura clássica: Administrador de serviços e Coadministrador. Para obter informações sobre como migrar seus recursos da implantação clássica para a implantação do Resource Manager, consulte Azure Resource Manager versus implantação clássica.

Se ainda tiver administradores clássicos, deverá remover essas atribuições de funções antes da data de reforma. Este artigo descreve como se preparar para a desativação das funções de Coadministrador e Administrador de serviços e como remover ou alterar essas atribuições de função.

Perguntas frequentes

Os coadministradores e administradores de serviços perderão o acesso após 31 de agosto de 2024?

• A partir de 31 de agosto de 2024, a Microsoft iniciará o processo para remover o acesso de Coadministradores e Administrador de serviços.

Como fazer para saber quais assinaturas têm administradores clássicos?

• Você pode usar uma consulta do Azure Resource Graph para listar assinaturas com atribuições de função de Administrador de Serviço ou Coadministrador. Para ver as etapas, consulte Listar administradores clássicos.

Qual é a função equivalente do Azure que devo atribuir para coadministradores?

• A função de proprietário no escopo da assinatura tem o acesso equivalente. No entanto, o Proprietário é uma função de administrador com privilégios e concede acesso total para gerenciar recursos do Azure. Você deve considerar uma função de trabalho com menos permissões, reduzir o escopo ou adicionar uma condição.

Qual é a função equivalente do Azure que devo atribuir para Administrador de serviços?

• A função de proprietário no escopo da assinatura tem o acesso equivalente.

Por que preciso migrar para o Azure RBAC?

• Os administradores clássicos serão aposentados. O Azure RBAC oferece controle de acesso refinado, compatibilidade com Microsoft Entra Privileged Identity Management (PIM) e suporte completo a logs de auditoria. Todos os investimentos futuros serão no Azure RBAC.

E quanto à função de administrador de conta?

• O administrador da conta é o usuário principal da sua conta de faturamento. O Administrador da Conta não está sendo preterido e você não precisa substituir essa atribuição de função. O Administrador da Conta e o Administrador do Serviço podem ser o mesmo usuário. No entanto, você só precisa remover a atribuição de função de Administrador de Serviço.

O que deverei fazer se eu tiver uma grande dependência de Coadministradores ou Administrador de serviços?

• Envie um email para ACARDeprecation@microsoft.com e descreva seu cenário.

Preparar-se para a desativação de coadministradores

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a se preparar para a descontinuação da função de Coadministrador.

Etapa 1: examinar os Coadministradores atuais

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Use o portal do Azure ou o Azure Resource Graph para listar seus coadministradores.

3. Examine os logs de entrada dos Coadministradores para avaliar se eles são usuários ativos.

Etapa 2: remover Coadministradores que não precisam mais de acesso

1. Se o usuário não estiver mais em sua empresa, remova o Coadministrador.

2. Se o usuário foi excluído, mas a respectiva atribuição de Coadministrador não foi removida, remova o Coadministrador.

   Os usuários que foram excluídos geralmente apresentam o texto (O usuário não foi encontrado neste diretório).

   

3. Depois de examinar a atividade do usuário, se ele não estiver mais ativo, remova o Coadministrador.

Etapa 3: substituir Coadministradores existentes por funções de trabalho

A maioria dos usuários não precisa das mesmas permissões que um Coadministrador. Considere uma função de trabalho em vez disso.

1. Se um usuário ainda precisar de algum acesso, determine a função de trabalho apropriada de que ele precisa.

2. Determine as necessidades do usuário de escopo.

3. Siga as etapas para atribuir uma função de trabalho ao usuário.

4. Remova o Coadministrador.

Etapa 4: substituir coadministradores existentes por condições e função de Proprietário

Alguns usuários podem precisar de mais acesso do que uma função de trabalho pode fornecer. Se você precisar atribuir a função Proprietário, considere adicionar uma condição para restringir a atribuição de função.

1. Atribua a função Proprietário no escopo da assinatura com condições ao usuário.

2. Remova o Coadministrador.

Preparar-se para a desativação do Administrador de serviços

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a se preparar para a descontinuação da função de Administrador de Serviço. Para remover o Administrador de serviços, você precisará ter pelo menos um usuário que receba a função Proprietário no escopo da assinatura sem condições, a fim de evitar deixar a assinatura órfã. O proprietário de uma assinatura tem o mesmo acesso que o administrador de serviços.

Etapa 1: examinar o seu Administrador de serviços atual

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Utilize o portal do Azure ou o Azure Resource Graph para listar o seu Administrador de Serviço.

3. Examine os logs de entrada do Administrador de serviços para avaliar se ele é um usuário ativo.

Etapa 2: examinar as informações sobre os atuais proprietários da conta de cobrança

O usuário que recebe a função de Administrador de serviços também pode ser o mesmo usuário que é o administrador da sua conta de cobrança. Você deve examinar as informações sobre os atuais proprietários da conta de cobrança para garantir que elas ainda estejam corretas.

1. Use o portal do Azure para obter os proprietáriosde sua conta de cobrança.

2. Examine sua lista de proprietários de conta de cobrança. Se necessário, atualize ou adicione outro proprietário da conta de cobrança.

Etapa 3: substituir o Administrador de serviços existente pela função Proprietário

O Administrador de serviços pode ser uma conta Microsoft ou uma conta do Microsoft Entra. Uma conta Microsoft é uma conta pessoal, como Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Uma conta do Microsoft Entra é uma identidade criada por meio do Microsoft Entra ID.

1. Se o usuário Administrador de serviços for uma conta Microsoft e você quiser que esse usuário mantenha as mesmas permissões, atribua a função Proprietário a esse usuário no escopo da assinatura sem condições.

2. Se o usuário Administrador de serviços for uma conta do Microsoft Entra e você quiser que esse usuário mantenha as mesmas permissões, atribua a função Proprietário a esse usuário no escopo da assinatura sem condições.

3. Se você quiser alterar o usuário Administrador de serviços para um usuário diferente, atribua a função Proprietário a esse novo usuário no escopo da assinatura sem condições.

4. Remova o Administrador de serviços.

Listar administradores clássicos

Portal do Azure

Siga essas etapas para listar o Administrador de Serviço e os Coadministradores para uma assinatura usando o portal do Azure.

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Abra Assinaturas e selecione a assinatura.

3. Selecione IAM (Controle de acesso) .

4. Clique na guia Administradores clássicos para exibir uma lista dos Coadministradores.

   

Gráfico de Recursos do Azure

Siga essas etapas para listar o número de Administradores de Serviço e Coadministradores nas suas subscrições utilizando o Azure Resource Graph.

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Abra o Explorador do Azure Resource Graph.

3. Selecione Escopo e defina o escopo da consulta.

   Defina o escopo como Diretório para consultar todo o seu locatário, mas você pode restringir o escopo a assinaturas específicas.

   

4. Selecione Definir escopo de autorização e defina o escopo de autorização como At, acima e abaixo para consultar todos os recursos no escopo especificado.

   

5. Execute a consulta a seguir para listar o número de administradores e coadministradores de serviço com base no escopo.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   O seguinte mostra um exemplo dos resultados. A coluna count_ é o número de administradores ou coadministradores de serviço para uma assinatura.

   

Remover um Coadministrador

Importante

Os recursos clássicos e os administradores clássicos serão desativados em 31 de agosto de 2024. A partir de 3 de abril de 2024, você não conseguirá adicionar novos coadministradores. Essa data foi prorrogada recentemente. Remova os Coadministradores desnecessários e use o Azure RBAC para um controle de acesso refinado.

Siga estas etapas para remover um Coadministrador.

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Abra Assinaturas e selecione a assinatura.

3. Selecione IAM (Controle de acesso) .

4. Clique na guia Administradores clássicos para exibir uma lista dos Coadministradores.

5. Adicione uma marca de seleção ao lado do coadministrador que deseja remover.

6. Selecione Remover.

7. Na caixa de mensagem que aparece, selecione Sim.

   

Adicionar um Coadministrador

Importante

Os recursos clássicos e os administradores clássicos serão desativados em 31 de agosto de 2024. A partir de 3 de abril de 2024, você não conseguirá adicionar novos coadministradores. Essa data foi prorrogada recentemente. Remova os Coadministradores desnecessários e use o Azure RBAC para um controle de acesso refinado.

É necessário adicionar um Coadministrador somente se o usuário precisar gerenciar implantações clássicas do Azure usando o Módulo do PowerShell para Gerenciamento de Serviços do Azure. Se o usuário usa apenas o portal do Azure para gerenciar os recursos clássicos, não é preciso adicionar o administrador clássico para ele.

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Abra Assinaturas e selecione a assinatura.

   Coadministradores somente podem ser atribuídos no escopo da assinatura.

3. Selecione IAM (Controle de acesso) .

4. Selecione a guia Administradores clássicos.

   

5. Selecione Adicionar>Adicionar coadministrador para abrir o painel Adicionar coadministradores.

   Se a opção Adicionar coadministrador estiver desabilitada, isso significará que você não tem permissões.

6. Escolha o usuário que você quer adicionar e clique em Adicionar.

   

Adicionar um usuário convidado como um Coadministrador

Para adicionar um usuário convidado como um Coadministrador, siga as mesmas etapas da seção anterior Adicionar um Coadministrador. O usuário convidado deve atender aos seguintes critérios:

• O usuário convidado deve ter uma presença no diretório. Isso significa que o usuário foi convidado para seu diretório e aceitou o convite.

Para obter informações sobre como adicionar um usuário convidado em seu diretório, veja Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.

Antes de remover um usuário convidado de um diretório, você deve remover as atribuições de função desse usuário convidado. Para obter mais informações, consulte Remover um usuário convidado do seu diretório.

Diferenças para usuários convidados

Usuários convidados aos quais foram atribuídas a função Coadministrador poderão ver algumas diferenças em comparação com os usuários membros com a função Coadministrador. Considere este cenário:

• O usuário A com uma conta do Microsoft Entra (conta corporativa ou de estudante) é o Administrador de serviços de uma assinatura do Azure.
• O usuário B tem uma conta da Microsoft.
• O usuário A atribui a função Coadministrador ao usuário B.
• O usuário B pode fazer quase tudo, mas não pode registrar aplicativos nem pesquisar usuários no diretório do Microsoft Entra.

Você esperava que o usuário B pudesse gerenciar tudo. O motivo para essa diferença é que a conta da Microsoft é adicionada à assinatura como um usuário convidado, em vez de um usuário membro. Os usuários convidados têm permissões padrão diferentes no Microsoft Entra ID em comparação com os usuários membros. Por exemplo, usuários membros podem ler outros usuários no Microsoft Entra ID, e os usuários convidados não podem. Os usuários membros podem registrar novas entidades de serviço no Microsoft Entra ID, e os usuários convidados não podem.

Se houver a necessidade de um usuário convidado executar essas tarefas, uma solução possível é atribuir as funções específicas do Microsoft Entra que o usuário convidado precisa. Por exemplo, no cenário anterior, você pode atribuir a função Leitores de Diretório para ler outros usuários e atribuir a função Desenvolvedor de Aplicativos para criar entidades de serviço. Para saber mais sobre os usuários membros e convidados e suas permissões, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?. Para obter mais informações sobre como conceder acesso para usuários convidados, consulte Atribuir funções do Azure a usuários convidados externos usando o portal do Azure.

Observe que as funções internas do Azure são diferentes das funções do Microsoft Entra. As funções internas não concedem acesso ao Microsoft Entra ID. Para saber mais, consulte Compreender as diferentes funções.

Para saber mais sobre os usuários membros e convidados, veja Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Alterar o administrador do serviço

Somente o Administrador da Conta pode alterar o Administrador de Serviços de uma assinatura. Por padrão, ao inscrever-se em uma assinatura do Azure, o Administrador de Serviços é o mesmo que o Administrador da Conta.

O usuário com a função de administrador da conta pode acessar o portal do Azure e gerenciar a cobrança, mas não pode cancelar assinaturas. O usuário com a função de administrador de serviços tem acesso total ao portal do Azure e pode cancelar assinaturas. O administrador da conta pode atribuir a si mesmo como administrador de serviços.

Siga estas etapas para alterar o Administrador de Serviços no portal do Azure.

1. Entre no Portal do Azure como Administrador da Conta.

2. Abra Gerenciamento de Custos e Cobrança e selecione uma assinatura.

3. No menu de navegação esquerdo, selecione Propriedades.

4. Selecione Alterar administrador de serviços.

   

5. Na página Editar administrador de serviços, insira o endereço de email para o novo Administrador de Serviços.

   

6. Selecione OK para salvar a alteração.

Remover o administrador de serviços

Para remover o Administrador de serviços, você precisará ter um usuário que receba a função Proprietário no escopo da assinatura sem condições, a fim de evitar deixar a assinatura órfã. O proprietário de uma assinatura tem o mesmo acesso que o administrador de serviços.

1. Entre no portal do Azure como Proprietário de uma assinatura.

2. Abra Assinaturas e selecione a assinatura.

3. Selecione IAM (Controle de acesso) .

4. Selecione a guia Administradores clássicos.

5. Adicione uma marca de seleção ao lado do administrador de serviços.

6. Selecione Remover.

7. Na caixa de mensagem que aparece, selecione Sim.

   

Se o usuário Administrador de Serviço não estiver no diretório, você poderá receber o seguinte erro ao tentar remover o Administrador de Serviço:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Se o usuário Administrador de Serviço não estiver no diretório, tente alterar o Administrador de Serviço para um usuário existente e tente remover o Administrador de Serviço.

Próximas etapas

• Entender as diferentes funções
• Atribuir funções do Azure usando o portal do Azure
• Entender as funções administrativas do Contrato de Cliente da Microsoft no Azure