Administradores da subscrição clássica do Azure

Importante

A partir de 31 de agosto de 2024, as funções de administrador clássico do Azure (juntamente com os recursos clássicos do Azure e o Azure Service Manager) serão desativadas e não terão mais suporte. Se ainda tiver atribuições ativas de funções de Co-Administrador ou Administrador de Serviços, converta imediatamente estas atribuições de função para o RBAC do Azure.

A Microsoft recomenda que faça a gestão do acesso aos recursos do Azure utilizando o controlo de acesso baseado em funções do Azure (RBAC do Azure). Se ainda estiver a utilizar o modelo de implementação clássico, terá de migrar os seus recursos da implementação clássica para a implementação do Gestor de Recursos. Para mais informações, consulte zure Resource Manager vs. implantação clássica.

Este artigo descreve a desativação das funções de Coadministrador e Administrador de Serviços e como converter essas atribuições de função.

Perguntas mais frequentes

O que acontece às atribuições de funções de administrador clássico após 31 de agosto de 2024?

• As funções de Co-Administrador e Administrador de Serviços foram retiradas e já não são suportadas. Você deve converter essas atribuições de função para o Azure RBAC imediatamente.

Como é que sei que subscrições têm administradores clássicos?

• Pode utilizar uma consulta do Azure Resource Graph para listar subscrições com atribuições de funções de Administrador de Serviços ou Co-Administrador. Para ver as etapas, consulte Listar administradores clássicos.

Qual é a função Azure equivalente que devo atribuir aos Co-Administradores?

• A função de proprietário no âmbito da subscrição tem o acesso equivalente. No entanto, o Proprietário é uma função de administrador privilegiada e concede acesso total para gerir os recursos do Azure. Deverá considerar uma função de função com menos permissões, reduzir o âmbito ou adicionar uma condição.

Qual é a função Azure equivalente que devo atribuir ao Administrador de Serviços?

• A função de proprietário no âmbito da subscrição tem o acesso equivalente.

Porque é que preciso de migrar para o RBAC do Azure?

• O RBAC do Azure oferece controlo de acesso refinado, compatibilidade com o Microsoft Entra Privileged Identity Management (PIM) e suporte completo de registos de auditoria. Todos os investimentos futuros serão efetuados no Azure RBAC.

E quanto à função de Administrador de Conta?

• O Administrador de Conta é o utilizador principal da sua conta de faturação. O Administrador de conta não está a ser descontinuado e não é necessário converter esta atribuição de função. O Administrador de conta e o Administrador de serviço podem ser o mesmo utilizador. No entanto, só é necessário converter a atribuição da função Administrador de serviços.

O que devo fazer se perder o acesso a uma subscrição?

• Se remover os seus administradores clássicos sem ter pelo menos uma atribuição de função de Proprietário para uma subscrição, perderá o acesso à subscrição e esta ficará órfã. Para recuperar o acesso a uma subscrição, pode fazer o seguinte:

  • Siga os passos para elevar o acesso para gerir todas as subscrições num tenant.
  • Atribuir a função Proprietário no âmbito da subscrição a um utilizador.
  • Remover o acesso elevado.

O que devo fazer se tiver uma forte dependência dos co-administradores ou do administrador de serviços?

• Envie um e-mail ACARDeprecation@microsoft.com e descreva o seu cenário.

Listar administradores clássicos

Portal do Azure

Siga estas etapas para listar o Administrador de Serviço e os Coadministradores de uma assinatura usando o portal do Azure.

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione a guia Administradores clássicos para exibir uma lista dos Co-Administradores.

   

Azure Resource Graph

Siga estas etapas para listar o número de Administradores de Serviço e Coadministradores em suas assinaturas usando o Azure Resource Graph.

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Abra o Azure Resource Graph Explorer.

3. Selecione Escopo e defina o escopo da consulta.

   Defina o escopo como Diretório para consultar todo o locatário, mas você pode restringir o escopo a assinaturas específicas.

   

4. Selecione Definir escopo de autorização e defina o escopo de autorização como At, acima e abaixo para consultar todos os recursos no escopo especificado.

   

5. Execute a consulta a seguir para listar o número de Administradores de Serviço e Coadministradores com base no escopo.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Segue-se um exemplo dos resultados. A coluna count_ é o número de Administradores de Serviço ou Coadministradores de uma assinatura.

   

Reforma dos co-administradores

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a converter atribuições de função de Coadministrador.

Passo 1: Reveja os seus atuais co-administradores

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Utilize o portal do Azure ou o Azure Resource Graph para listar os seus Co-Administradores.

3. Reveja os registos de início de sessão dos seus Co-Administradores para avaliar se são utilizadores ativos.

Passo 2: Remover os co-administradores que já não precisam de acesso

1. Se o utilizador já não estiver na sua empresa, remova o Co-Administrador.

2. Se o utilizador foi eliminado, mas a sua atribuição de Co-Administrador não foi removida, remova o Co-Administrador.

   Os usuários que foram excluídos normalmente incluem o texto (Usuário não foi encontrado neste diretório).

   

3. Depois de analisar a atividade do utilizador, se este já não estiver ativo, remova o Co-Administrador.

Passo 3: Converter os Co-Administradores em cargos de funções

A maioria dos utilizadores não necessita das mesmas permissões que um Co-Administrador. Em vez disso, considere uma função de trabalho.

1. Se um utilizador ainda precisar de algum acesso, determine a função de trabalho adequada de que necessita.

2. Determinar o âmbito das necessidades do utilizador.

3. Siga os passos para atribuir uma função de trabalho ao utilizador.

4. Remover um Co-Administrador.

Passo 4: Converter os Co-Administradores na função de Proprietário com condições

Alguns utilizadores podem necessitar de mais acesso do que aquele que uma função pode proporcionar. Se tiver de atribuir a função Proprietário, considere adicionar uma condição ou utilizar o Microsoft Entra Privileged Identity Management (PIM) para restringir a atribuição de funções.

1. Atribua a função de Proprietário com condições.

   Por exemplo, atribuir a função Proprietário no âmbito da subscrição com condições. Se tiver o PIM, torne o utilizador elegível para a atribuição da função Proprietário.

2. Remover um Co-Administrador.

Passo 5: Converter os Co-Administradores na função de Proprietário

Se um usuário precisar ser administrador de uma assinatura, atribua a função Proprietário no escopo da assinatura.

• Siga as etapas em Como converter um Coadministrador com a função de Proprietário.

Como converter uma função de Co-Administradorr em Proprietário

A maneira mais fácil de ocultar uma atribuição de função de Coadministrador para a função de Proprietário no escopo da assinatura é usar as etapas de Correção.

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione a guia Administradores clássicos para exibir uma lista dos Co-Administradores.

5. Para o Co-Administrador que pretende converter para a função Proprietário, na coluna Remediar, selecione a ligação Atribuir função RBAC.

6. No painel Adicionar atribuição de função, reveja a atribuição de função.

   

7. Selecione Rever + atribuir para atribuir a função de Proprietário e remover a atribuição da função de Co-Administrador.

Como remover um Co-Administrador

Siga estas etapas para remover um coadministrador.

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione a guia Administradores clássicos para exibir uma lista dos Co-Administradores.

5. Adicione uma marca de verificação ao lado do Coadministrador que quer remover.

6. Selecione Eliminar.

7. Na caixa de mensagens apresentada, selecione Sim.

   

Reforma do administrador de serviços

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a converter a atribuição de função de Administrador de Serviços. Antes de remover o Administrador de serviços, é necessário ter pelo menos um utilizador a quem seja atribuída a função Proprietário no âmbito da subscrição sem condições para evitar tornar a subscrição órfã. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

Passo 1: Rever o seu atual Administrador de Serviços

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Utilize o portal do Azure ou o Azure Resource Graph para listar o seu Administrador de Serviço.

3. Reveja os registos de início de sessão do seu Administrador de Serviços para avaliar se é um utilizador ativo.

Passo 2: Rever os proprietários atuais da sua conta de faturação

O utilizador a quem é atribuída a função de Administrador de serviços pode também ser o mesmo utilizador que é o administrador da sua conta de faturação. Deve rever os seus atuais proprietários de contas de faturação para garantir que ainda estão corretos.

1. Utilize o portal do Azure para obter os proprietários da sua conta de faturação.

2. Reveja a sua lista de proprietários de contas de faturação. Se necessário, atualize ou adicione outro proprietário de contas de faturação.

Passo 3: Converter a função de Administrador de Serviços em Proprietário

O seu Administrador de Serviços pode ser uma conta Microsoft ou uma conta Microsoft Entra. Uma conta Microsoft é uma conta pessoal, como Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Uma conta Microsoft Entra é uma identidade criada através do Microsoft Entra ID.

1. Se o utilizador Administrador de Serviços for uma conta Microsoft e pretender que este utilizador mantenha as mesmas permissões, converta a função Administrador de Serviços em Proprietário.

2. Se o utilizador Administrador de serviços for uma conta Microsoft Entra e pretender que este utilizador mantenha as mesmas permissões, converta a função Administrador de serviços em Proprietário.

3. Se você quiser alterar o usuário Administrador de Serviço para um usuário diferente, atribua a função Proprietário a esse novo usuário no escopo da assinatura sem condições. Em seguida, remova o Administrador de Serviços.

Como converter a função de Administrador de Serviços em Proprietário

A maneira mais fácil de converter a atribuição da função Administrador de Serviços para a função Proprietário no escopo da assinatura é usar as etapas de Correção .

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione a guia Administradores clássicos para exibir o Administrador de serviço.

5. Para o Administrador de Serviço, na coluna Corrigir, selecione o link Atribuir função RBAC.

6. No painel Adicionar atribuição de função, reveja a atribuição de função.

   

7. Selecione Rever + atribuir para atribuir a função de Proprietário e remover a atribuição da função de Administrador de Serviços.

Como remover o Administrador de Serviços

Importante

Para remover o Administrador de Serviço, você deve ter um usuário ao qual seja atribuída a função de Proprietário no escopo da assinatura sem condições para evitar a orfandade da assinatura. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

1. Inicie sessão no portal do Azure como Proprietário de uma subscrição.

2. Abra Subscrições e selecione uma subscrição.

3. Selecione Controlo de acesso (IAM) .

4. Selecione o separador Administradores clássicos.

5. Adicione uma marca de verificação ao lado do Administrador de Serviços.

6. Selecione Eliminar.

7. Na caixa de mensagens apresentada, selecione Sim.

   

Próximos passos

• Compreender as diferentes funções
• Atribuir funções do Azure com o portal do Azure
• Compreender as funções administrativas do Contrato de Cliente da Microsoft no Azure