Funções de administrador da assinatura clássica, funções do Azure RBAC e funções de administrador do Azure ADClassic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles

Se você for novo no Azure, poderá ter alguma dificuldade em entender todas as diferentes funções no Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Este artigo ajuda a explicar as funções e quando usar cada uma:This article helps explain the following roles and when you would use each:

  • Funções de administrador de assinatura ClássicoClassic subscription administrator roles
  • Funções do Azure RBAC (Controle de Acesso Baseado em Função)Azure role-based access control (RBAC) roles
  • Funções de administrador do Azure AD (Azure Active Directory)Azure Active Directory (Azure AD) administrator roles

Para entender melhor as funções no Azure, é bom conhecer sua história.To better understand roles in Azure, it helps to know some of the history. Quando o Azure foi lançado inicialmente, o acesso aos recursos era gerenciado com apenas três funções de administrador: Administrador da conta, administrador de serviços e coadministrador.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Posteriormente, o RBAC (controle de acesso baseado em função) foi adicionado para recursos do Azure.Later, role-based access control (RBAC) for Azure resources was added. O Azure RBAC é um sistema de autorização mais recente que fornece gerenciamento de acesso refinado para recursos do Azure.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. O RBAC inclui muitas funções internas, pode ser atribuído em escopos diferentes e permite que você crie suas próprias funções personalizadas.RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Para gerenciar recursos no Azure AD, como usuários, grupos e domínios, há várias funções de administrador do Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD administrator roles.

O diagrama a seguir é uma visão geral de como se relacionam as funções de administrador de assinatura clássico, as funções do Azure RBAC e as funções de administrador do Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles are related.

As diferentes funções no Azure

Funções de administrador de assinatura ClássicoClassic subscription administrator roles

Administrador da Conta, Administrador de Serviços e Coadministrador são as funções de administrador de assinatura clássicas no Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Os administradores de assinatura clássicos têm acesso total à assinatura do Azure.Classic subscription administrators have full access to the Azure subscription. Eles podem gerenciar recursos usando o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implantação clássico.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. A conta que é usada para se inscrever no Azure é definida automaticamente como o Administrador da Conta e o Administrador de Serviços.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Depois, outros Coadministradores podem ser adicionados.Then, additional Co-Administrators can be added. O administrador de serviços e os coadministradores têm o acesso equivalente ao de usuários que receberam a função de Proprietário (uma função do Azure RBAC) no escopo da assinatura.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure RBAC role) at the subscription scope. A tabela a seguir descreve as diferenças entre essas três funções administrativas de assinatura clássico.The following table describes the differences between these three classic subscription administrative roles.

Administrador de assinatura clássicoClassic subscription administrator LimiteLimit PermissõesPermissions ObservaçõesNotes
Administrador de contaAccount Administrator 1 por conta do Azure1 per Azure account
  • Acessar o Centro de Contas do AzureAccess the Azure Account Center
  • Gerenciar todas as assinaturas em uma contaManage all subscriptions in an account
  • Criar novas assinaturasCreate new subscriptions
  • Cancelar assinaturasCancel subscriptions
  • Alterar a cobrança de uma assinaturaChange the billing for a subscription
  • Alterar o administrador do serviçoChange the Service Administrator
Conceitualmente, o proprietário de cobrança da assinatura.Conceptually, the billing owner of the subscription.
O Administrador da Conta não tem acesso ao portal do Azure.The Account Administrator has no access to the Azure portal.
Administrador de serviçosService Administrator 1 por assinatura do Azure1 per Azure subscription
  • Gerenciar serviços no portal do AzureManage services in the Azure portal
  • Atribuir usuários à função de coadministradorAssign users to the Co-Administrator role
Por padrão, para uma nova assinatura, o Administrador da Conta também é o Administrador de Serviços.By default, for a new subscription, the Account Administrator is also the Service Administrator.
O administrador de serviço tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
O Administrador de Serviços não tem acesso completo ao portal do Azure.The Service Administrator has full access to the Azure portal.
CoadministradorCo-Administrator 200 por assinatura200 per subscription
  • Mesmos privilégios de acesso que o Administrador de Serviços, mas não pode alterar a associação de assinaturas nos diretórios do AzureSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Atribui usuários à função de coadministrador, mas não pode alterar o administrador de serviçoAssign users to the Co-Administrator role, but cannot change the Service Administrator
O coadministrador tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

No portal do Azure, você pode gerenciar Coadministradores ou exibir o Administrador de Serviços usando a guia Administradores clássicos.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Os administradores de assinatura clássicos do Azure no portal do Azure

No portal do Azure, você pode exibir ou alterar o Administrador de Serviços ou exibir o Administrador da Conta na folha de propriedades de sua assinatura.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Administrador da conta e administrador de serviço no portal do Azure

Para obter mais informações, veja Administradores de assinatura clássicos do Azure.For more information, see Azure classic subscription administrators.

Conta do Azure e assinaturas do AzureAzure account and Azure subscriptions

Uma conta do Azure representa uma relação de cobrança.An Azure account represents a billing relationship. Uma conta do Azure é uma identidade de usuário, uma ou mais assinaturas do Azure e um conjunto de recursos do Azure associado.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. A pessoa que cria a conta é o administrador da conta para todas as assinaturas criadas nessa conta.The person who creates the account is the Account Administrator for all subscriptions created in that account. Essa pessoa também é o administrador de serviço padrão da assinatura.That person is also the default Service Administrator for the subscription.

As assinaturas do Azure o ajudam a organizar o acesso aos recursos do Azure.Azure subscriptions help you organize access to Azure resources. Eles também ajudam a controlar como o uso de recursos é reportado, cobrado e pago.They also help you control how resource usage is reported, billed, and paid for. Cada assinatura pode ter uma configuração diferente de cobrança e pagamento, assim você pode ter diferentes assinaturas e planos diferentes por escritório, departamento, projeto e afins.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Cada serviço pertence a uma assinatura e a ID da assinatura pode ser exigida para operações programáticas.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Contas e assinaturas são gerenciadas no Centro de Contas do Azure.Accounts and subscriptions are managed in the Azure Account Center.

Funções do Azure RBACAzure RBAC roles

O Azure RBAC é um sistema de autorização baseado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos do Azure, como computação e armazenamento.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. O Azure RBAC inclui mais de 70 funções internas.Azure RBAC includes over 70 built-in roles. Há quatro funções RBAC fundamentais.There are four fundamental RBAC roles. As três primeiras se aplicam a todos os tipos de recursos:The first three apply to all resource types:

Função do Azure RBACAzure RBAC role PermissõesPermissions ObservaçõesNotes
ProprietárioOwner
  • Acesso completo a todos os recursosFull access to all resources
  • Delegar acesso a outras pessoasDelegate access to others
O administrador de serviços e os coadministradores recebem a função de Proprietário no escopo da assinaturaThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Aplica-se a todos os tipos de recurso.Applies to all resource types.
ColaboradorContributor
  • Criar e gerenciar todos os tipos de recursos do AzureCreate and manage all of types of Azure resources
  • Não é possível conceder acesso a outras pessoasCannot grant access to others
Aplica-se a todos os tipos de recurso.Applies to all resource types.
LeitorReader
  • Exibir recursos do AzureView Azure resources
Aplica-se a todos os tipos de recurso.Applies to all resource types.
Administrador de Acesso do UsuárioUser Access Administrator
  • Gerenciar o acesso do usuário aos recursos do AzureManage user access to Azure resources

As demais funções internas permitem o gerenciamento de recursos específicos do Azure.The rest of the built-in roles allow management of specific Azure resources. Por exemplo, a função Colaborador de Máquina Virtual permite que o usuário crie e gerencie máquinas virtuais.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Para obter uma lista de todas as funções internas, confira Funções internas para recursos do Azure.For a list of all the built-in roles, see Built-in roles for Azure resources.

Somente o portal do Azure e as APIs do Azure Resource Manager dão suporte ao RBAC.Only the Azure portal and the Azure Resource Manager APIs support RBAC. Os usuários, grupos e aplicativos aos quais são atribuídas funções RBAC não podem usar as APIs do modelo de implantação clássico do Azure.Users, groups, and applications that are assigned RBAC roles cannot use the Azure classic deployment model APIs.

No portal do Azure, as atribuições de função usando o RBAC aparecem na folha Controle de acesso (IAM) .In the Azure portal, role assignments using RBAC appear on the Access control (IAM) blade. Essa folha pode ser encontrada em todo o portal, por exemplo, em grupos de gerenciamento, assinaturas, grupos de recursos e vários recursos.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Folha Controle de acesso (IAM) no portal do Azure

Quando você clicar na guia Funções, verá a lista de funções internas e personalizadas.When you click the Roles tab, you will see the list of built-in and custom roles.

Funções internas no portal do Azure

Para obter mais informações, confira Gerenciar o acesso aos recursos do Azure usando RBAC e o portal do Azure.For more information, see Manage access to Azure resources using RBAC and the Azure portal.

Funções de administrador do Azure ADAzure AD administrator roles

As funções de administrador do Azure AD são usadas para gerenciar recursos do Azure AD em um diretório, como criar ou editar usuários, atribuir funções administrativas a outros usuários, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios.Azure AD administrator roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. A tabela a seguir descreve algumas das funções de administrador do Azure AD mais importantes.The following table describes a few of the more important Azure AD administrator roles.

Função de administrador do Azure ADAzure AD administrator role PermissõesPermissions ObservaçõesNotes
Administrador globalGlobal Administrator
  • Gerenciar o acesso a todos os recursos administrativos do Azure Active Directory, bem como serviços federados ao Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Atribuir funções de administrador a outras pessoasAssign administrator roles to others
  • Redefinir a senha para qualquer usuário e todos os outros administradoresReset the password for any user and all other administrators
A pessoa que se inscreve no locatário do Azure Active Directory torna-se um administrador global.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Administrador de usuáriosUser Administrator
  • Criar e gerenciar todos os aspectos de usuários e gruposCreate and manage all aspects of users and groups
  • Gerenciar tíquetes de suporteManage support tickets
  • Monitorar a integridade do serviçoMonitor service health
  • Alterar senhas de usuários, Administradores de Assistência Técnica e outros Administradores de UsuárioChange passwords for users, Helpdesk administrators, and other User Administrators
Administrador de cobrançaBilling Administrator
  • Fazer comprasMake purchases
  • Gerenciar AssinaturasManage subscriptions
  • Gerenciar tíquetes de suporteManage support tickets
  • Monitorar a integridade do serviçoMonitors service health

No portal do Azure, você pode ver a lista de funções de administrador do Azure AD na folha Funções e administradores.In the Azure portal, you can see the list of Azure AD administrator roles on the Roles and administrators blade. Para obter uma lista de todas as funções de administrador do Azure AD, confira Permissões da função de administrador no Azure Active Directory.For a list of all the Azure AD administrator roles, see Administrator role permissions in Azure Active Directory.

Funções de administrador do Azure AD no portal do Azure

Diferenças entre funções do Azure RBAC e funções de administrador do Azure ADDifferences between Azure RBAC roles and Azure AD administrator roles

De maneira geral, as funções do Azure RBAC controlam permissões para gerenciar recursos do Azure e as funções de administrador do Azure AD controlam as permissões para gerenciar recursos do Azure Active Directory.At a high level, Azure RBAC roles control permissions to manage Azure resources, while Azure AD administrator roles control permissions to manage Azure Active Directory resources. A tabela a seguir compara algumas das diferenças.The following table compares some of the differences.

Funções do Azure RBACAzure RBAC roles Funções de administrador do Azure ADAzure AD administrator roles
Gerenciar o acesso com recursos do AzureManage access to Azure resources Gerenciar o acesso a recursos do Azure Active DirectoryManage access to Azure Active Directory resources
Dá suporte a funções personalizadasSupports custom roles Dá suporte a funções personalizadasSupports custom roles
O escopo pode ser especificado em vários níveis (grupo de gerenciamento, assinatura, grupo de recursos e recursos)Scope can be specified at multiple levels (management group, subscription, resource group, resource) O escopo está no nível do locatárioScope is at the tenant level
As informações de função podem ser acessadas no portal do Azure, na CLI do Azure, no Azure PowerShell, nos modelos do Azure Resource Manager, na API RESTRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API As informações de função podem ser acessadas no portal de administração do Azure, no portal do administrador do Microsoft 365, no Microsoft Graph, no AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

As funções de Azure RBAC e de administrador do Azure AD se sobrepõem?Do Azure RBAC roles and Azure AD administrator roles overlap?

Por padrão, as funções de administrador do Azure AD e as funções do Azure RBAC (controle de acesso baseado em função) não se estendem ao Azure e ao Azure AD.By default, Azure RBAC roles and Azure AD administrator roles do not span Azure and Azure AD. No entanto, se um Administrador Global elevar o acesso ao escolher a opção Administrador Global Pode Gerenciar Assinaturas do Azure e Grupos de Gerenciamento no portal do Azure, ele receberá a função Administrador de acesso do usuário (uma função RBAC) em todas as assinaturas de um locatário específico.However, if a Global Administrator elevates their access by choosing the Global admin can manage Azure Subscriptions and Management Groups switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an RBAC role) on all subscriptions for a particular tenant. A função de Administrador de Acesso do Usuário permite que o usuário conceda a outros usuários o acesso aos recursos do Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Essa opção pode ser útil para recuperar o acesso a uma assinatura.This switch can be helpful to regain access to a subscription. Para obter mais informações, consulte Elevar acesso como administrador do Azure AD.For more information, see Elevate access as an Azure AD administrator.

Várias funções de administrador do Azure AD englobam o Azure AD e o Microsoft Office 365, como as funções de Administrador Global e Administrador de Usuários.Several Azure AD administrator roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. Por exemplo, se você for um membro da função de Administrador Global, terá recursos de administrador global no Azure AD e no Office 365, por exemplo, poderá fazer alterações no Microsoft Exchange e no Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. No entanto, por padrão, o Administrador Global não tem acesso aos recursos do Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Azure RBAC X funções de administrador do Azure AD

Próximas etapasNext steps