Funções de administrador da assinatura clássica, funções do Azure e funções do Azure ADClassic subscription administrator roles, Azure roles, and Azure AD roles

Se você for novo no Azure, poderá ter alguma dificuldade em entender todas as diferentes funções no Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Este artigo ajuda a explicar as funções e quando usar cada uma:This article helps explain the following roles and when you would use each:

  • Funções de administrador de assinatura ClássicoClassic subscription administrator roles
  • Funções do AzureAzure roles
  • Funções do Azure AD (Azure Active Directory)Azure Active Directory (Azure AD) roles

Para entender melhor as funções no Azure, é bom conhecer sua história.To better understand roles in Azure, it helps to know some of the history. Quando o Azure foi lançado inicialmente, o acesso aos recursos era gerenciado com apenas três funções de administrador: Administrador da conta, administrador de serviços e coadministrador.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Posteriormente, o RBAC do Azure (controle de acesso baseado em função do Azure) foi adicionado.Later, Azure role-based access control (Azure RBAC) was added. O Azure RBAC é um sistema de autorização mais recente que fornece gerenciamento de acesso refinado para recursos do Azure.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. O RBAC do Azure inclui muitas funções internas, pode ser atribuído em escopos diferentes e permite que você crie funções personalizadas próprias.Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Para gerenciar recursos no Azure AD, como usuários, grupos e domínios, há várias funções do Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

O diagrama a seguir é uma visão geral de como se relacionam as funções de administrador de assinatura clássico, as funções do Azure e as funções do Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

As diferentes funções no Azure

Funções de administrador de assinatura ClássicoClassic subscription administrator roles

Administrador da Conta, Administrador de Serviços e Coadministrador são as funções de administrador de assinatura clássicas no Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Os administradores de assinatura clássicos têm acesso total à assinatura do Azure.Classic subscription administrators have full access to the Azure subscription. Eles podem gerenciar recursos usando o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implantação clássico.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. A conta que é usada para se inscrever no Azure é definida automaticamente como o Administrador da Conta e o Administrador de Serviços.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Depois, outros Coadministradores podem ser adicionados.Then, additional Co-Administrators can be added. O administrador de serviços e os coadministradores têm o acesso equivalente ao de usuários que receberam a função de Proprietário (uma função do Azure) no escopo da assinatura.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. A tabela a seguir descreve as diferenças entre essas três funções administrativas de assinatura clássico.The following table describes the differences between these three classic subscription administrative roles.

Administrador de assinatura clássicoClassic subscription administrator LimiteLimit PermissõesPermissions ObservaçõesNotes
Administrador de contaAccount Administrator 1 por conta do Azure1 per Azure account
  • Gerenciar a cobrança no portal do AzureManage billing in the Azure portal
  • Gerenciar todas as assinaturas em uma contaManage all subscriptions in an account
  • Criar novas assinaturasCreate new subscriptions
  • Cancelar assinaturasCancel subscriptions
  • Alterar a cobrança de uma assinaturaChange the billing for a subscription
  • Alterar o administrador do serviçoChange the Service Administrator
Conceitualmente, o proprietário de cobrança da assinatura.Conceptually, the billing owner of the subscription.
O Administrador da Conta não tem acesso ao portal do Azure.The Account Administrator has no access to the Azure portal.
Administrador de serviçosService Administrator 1 por assinatura do Azure1 per Azure subscription
  • Gerenciar serviços no portal do AzureManage services in the Azure portal
  • Cancelar a assinaturaCancel the subscription
  • Atribuir usuários à função de coadministradorAssign users to the Co-Administrator role
Por padrão, para uma nova assinatura, o Administrador da Conta também é o Administrador de Serviços.By default, for a new subscription, the Account Administrator is also the Service Administrator.
O administrador de serviço tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
O Administrador de Serviços não tem acesso completo ao portal do Azure.The Service Administrator has full access to the Azure portal.
CoadministradorCo-Administrator 200 por assinatura200 per subscription
  • Mesmos privilégios de acesso que o Administrador de Serviços, mas não pode alterar a associação de assinaturas nos diretórios do AzureSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Atribui usuários à função de coadministrador, mas não pode alterar o administrador de serviçoAssign users to the Co-Administrator role, but cannot change the Service Administrator
O coadministrador tem o acesso equivalente ao de um usuário que é atribuído à função de Proprietário no escopo da assinatura.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

No portal do Azure, você pode gerenciar Coadministradores ou exibir o Administrador de Serviços usando a guia Administradores clássicos.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Os administradores de assinatura clássicos do Azure no portal do Azure

No portal do Azure, você pode exibir ou alterar o Administrador de Serviços ou exibir o Administrador da Conta na folha de propriedades de sua assinatura.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Administrador da conta e administrador de serviço no portal do Azure

Para obter mais informações, veja Administradores de assinatura clássicos do Azure.For more information, see Azure classic subscription administrators.

Conta do Azure e assinaturas do AzureAzure account and Azure subscriptions

Uma conta do Azure representa uma relação de cobrança.An Azure account represents a billing relationship. Uma conta do Azure é uma identidade de usuário, uma ou mais assinaturas do Azure e um conjunto de recursos do Azure associado.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. A pessoa que cria a conta é o administrador da conta para todas as assinaturas criadas nessa conta.The person who creates the account is the Account Administrator for all subscriptions created in that account. Essa pessoa também é o administrador de serviço padrão da assinatura.That person is also the default Service Administrator for the subscription.

As assinaturas do Azure o ajudam a organizar o acesso aos recursos do Azure.Azure subscriptions help you organize access to Azure resources. Eles também ajudam a controlar como o uso de recursos é reportado, cobrado e pago.They also help you control how resource usage is reported, billed, and paid for. Cada assinatura pode ter uma configuração diferente de cobrança e pagamento, assim você pode ter diferentes assinaturas e planos diferentes por escritório, departamento, projeto e afins.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Cada serviço pertence a uma assinatura e a ID da assinatura pode ser exigida para operações programáticas.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Cada assinatura está associada a um diretório do Azure AD.Each subscription is associated with an Azure AD directory. Para localizar o diretório ao qual a assinatura está associada, abra Assinaturas no portal do Azure e selecione uma assinatura para visualizar o diretório.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Contas e assinaturas são gerenciadas no portal do Azure.Accounts and subscriptions are managed in the Azure portal.

Funções do AzureAzure roles

O Azure RBAC é um sistema de autorização baseado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos do Azure, como computação e armazenamento.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. O Azure RBAC inclui mais de 70 funções internas.Azure RBAC includes over 70 built-in roles. Há quatro funções fundamentais do Azure.There are four fundamental Azure roles. As três primeiras se aplicam a todos os tipos de recursos:The first three apply to all resource types:

Função do AzureAzure role PermissõesPermissions ObservaçõesNotes
ProprietárioOwner
  • Acesso completo a todos os recursosFull access to all resources
  • Delegar acesso a outras pessoasDelegate access to others
O administrador de serviços e os coadministradores recebem a função de Proprietário no escopo da assinaturaThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Aplica-se a todos os tipos de recurso.Applies to all resource types.
ColaboradorContributor
  • Criar e gerenciar todos os tipos de recursos do AzureCreate and manage all of types of Azure resources
  • Crie um novo locatário no Azure Active DirectoryCreate a new tenant in Azure Active Directory
  • Não é possível conceder acesso a outras pessoasCannot grant access to others
Aplica-se a todos os tipos de recurso.Applies to all resource types.
LeitorReader
  • Exibir recursos do AzureView Azure resources
Aplica-se a todos os tipos de recurso.Applies to all resource types.
Administrador de Acesso do UsuárioUser Access Administrator
  • Gerenciar o acesso do usuário aos recursos do AzureManage user access to Azure resources

As demais funções internas permitem o gerenciamento de recursos específicos do Azure.The rest of the built-in roles allow management of specific Azure resources. Por exemplo, a função Colaborador de Máquina Virtual permite que o usuário crie e gerencie máquinas virtuais.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Para obter uma lista de todas as funções internas, confira Funções internas do Azure.For a list of all the built-in roles, see Azure built-in roles.

Somente o Portal do Azure e as APIs do Azure Resource Manager dão suporte ao RBAC do Azure.Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Os usuários, grupos e aplicativos aos quais são atribuídas funções do Azure não podem usar as APIs do modelo de implantação clássico do Azure.Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

No portal do Azure, as atribuições de função usando o RBAC do Azure aparecem na folha Controle de acesso (IAM) .In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. Essa folha pode ser encontrada em todo o portal, por exemplo, em grupos de gerenciamento, assinaturas, grupos de recursos e vários recursos.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Folha Controle de acesso (IAM) no portal do Azure

Quando você clicar na guia Funções, verá a lista de funções internas e personalizadas.When you click the Roles tab, you will see the list of built-in and custom roles.

Funções internas no portal do Azure

Para obter mais informações, confira Adicionar ou remover atribuições de função do Azure usando o portal do Azure.For more information, see Add or remove Azure role assignments using the Azure portal.

Funções do Azure ADAzure AD roles

As funções do Azure AD são usadas para gerenciar recursos do Azure AD em um diretório, como criar ou editar usuários, atribuir funções administrativas a outros usuários, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios.Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. A tabela a seguir descreve algumas das funções do Azure AD mais importantes.The following table describes a few of the more important Azure AD roles.

Função do Azure ADAzure AD role PermissõesPermissions ObservaçõesNotes
Administrador globalGlobal Administrator
  • Gerenciar o acesso a todos os recursos administrativos do Azure Active Directory, bem como serviços federados ao Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Atribuir funções de administrador a outras pessoasAssign administrator roles to others
  • Redefinir a senha para qualquer usuário e todos os outros administradoresReset the password for any user and all other administrators
A pessoa que se inscreve no locatário do Azure Active Directory torna-se um administrador global.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Administrador de usuáriosUser Administrator
  • Criar e gerenciar todos os aspectos de usuários e gruposCreate and manage all aspects of users and groups
  • Gerenciar tíquetes de suporteManage support tickets
  • Monitorar a integridade do serviçoMonitor service health
  • Alterar senhas de usuários, Administradores de Assistência Técnica e outros Administradores de UsuárioChange passwords for users, Helpdesk administrators, and other User Administrators
Administrador de cobrançaBilling Administrator
  • Fazer comprasMake purchases
  • Gerenciar AssinaturasManage subscriptions
  • Gerenciar tíquetes de suporteManage support tickets
  • Monitorar a integridade do serviçoMonitors service health

No portal do Azure, você pode ver a lista de funções do Azure AD na folha Funções e administradores.In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. Para obter uma lista de todas as funções do Azure AD, confira Permissões da função de administrador no Azure Active Directory.For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Funções do Azure AD no portal do Azure

Diferenças entre funções do Azure e funções do Azure ADDifferences between Azure roles and Azure AD roles

De maneira geral, as funções do Azure controlam permissões para gerenciar recursos do Azure e as funções do Azure AD controlam as permissões para gerenciar recursos do Azure Active Directory.At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. A tabela a seguir compara algumas das diferenças.The following table compares some of the differences.

Funções do AzureAzure roles Funções do Azure ADAzure AD roles
Gerenciar o acesso com recursos do AzureManage access to Azure resources Gerenciar o acesso a recursos do Azure Active DirectoryManage access to Azure Active Directory resources
Dá suporte a funções personalizadasSupports custom roles Dá suporte a funções personalizadasSupports custom roles
O escopo pode ser especificado em vários níveis (grupo de gerenciamento, assinatura, grupo de recursos e recursos)Scope can be specified at multiple levels (management group, subscription, resource group, resource) O escopo está no nível do locatárioScope is at the tenant level
As informações de função podem ser acessadas no portal do Azure, na CLI do Azure, no Azure PowerShell, nos modelos do Azure Resource Manager, na API RESTRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API As informações de função podem ser acessadas no portal de administração do Azure, no portal do administrador do Microsoft 365, no Microsoft Graph, no AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

As funções do Azure e as funções do Azure AD se sobrepõem?Do Azure roles and Azure AD roles overlap?

Por padrão, as funções do Azure e do Azure AD não abrangem o Azure e o Azure AD.By default, Azure roles and Azure AD roles do not span Azure and Azure AD. No entanto, se um Administrador global elevar o acesso escolhendo a opção Gerenciamento de acesso para os recursos do Azure no portal do Azure, ele receberá a função Administrador de Acesso do Usuário (uma função do Azure) em todas as assinaturas de um locatário específico.However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. A função de Administrador de Acesso do Usuário permite que o usuário conceda a outros usuários o acesso aos recursos do Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Essa opção pode ser útil para recuperar o acesso a uma assinatura.This switch can be helpful to regain access to a subscription. Para obter mais informações, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.For more information, see Elevate access to manage all Azure subscriptions and management groups.

Várias funções do Azure AD englobam o Azure AD e o Microsoft 365, como as funções de Administrador global e Administrador de usuários.Several Azure AD roles span Azure AD and Microsoft 365, such as the Global Administrator and User Administrator roles. Por exemplo, se você for um membro da função de Administrador global, terá recursos de Administrador global no Azure AD e no Microsoft 365, por exemplo, poderá fazer alterações no Microsoft Exchange e no Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Microsoft 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. No entanto, por padrão, o Administrador Global não tem acesso aos recursos do Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Funções do RBAC do Azure funções do Azure AD

Próximas etapasNext steps