Administradores da assinatura clássica do Azure

Artigo
09/25/2024

Importante

A partir de 31 de agosto de 2024, as funções de administrador clássico do Azure (juntamente com recursos clássicos do Azure e o Azure Service Manager) estão desativadas e não têm mais suporte. Se você ainda tiver atribuições de função ativas de Coadministrador ou Administrador de Serviço, converta essas atribuições de função para o RBAC do Azure imediatamente.

A Microsoft recomenda gerenciar o acesso aos recursos do Azure usando o RBAC do Azure (controle de acesso baseado em função do Azure). Se você ainda estiver usando o modelo de implantação clássico, precisará migrar seus recursos da implantação clássica para a implantação do Resource Manager. Para obter mais informações, consulte Azure Resource Manager versus implantação clássica.

Este artigo descreve a desativação das funções de Coadministrador e Administrador de Serviços e como converter essas atribuições de função.

Perguntas frequentes

O que acontece com as atribuições de função de administrador clássico após 31 de agosto de 2024?

As funções de Coadministrador e Administrador de Serviços são desativadas e não têm mais suporte. Você deve converter essas atribuições de função para o Azure RBAC imediatamente.

Como fazer para saber quais assinaturas têm administradores clássicos?

Você pode usar uma consulta do Azure Resource Graph para listar assinaturas com atribuições de função de Administrador de Serviço ou Coadministrador. Para ver as etapas, consulte Listar administradores clássicos.

Qual é a função equivalente do Azure que devo atribuir para coadministradores?

A função de proprietário no escopo da assinatura tem o acesso equivalente. No entanto, o Proprietário é uma função de administrador com privilégios e concede acesso total para gerenciar recursos do Azure. Você deve considerar uma função de trabalho com menos permissões, reduzir o escopo ou adicionar uma condição.

Qual é a função equivalente do Azure que devo atribuir para Administrador de serviços?

A função de proprietário no escopo da assinatura tem o acesso equivalente.

Por que preciso migrar para o Azure RBAC?

O Azure RBAC oferece controle de acesso refinado, compatibilidade com Microsoft Entra Privileged Identity Management (PIM) e suporte completo a logs de auditoria. Todos os investimentos futuros serão no Azure RBAC.

E quanto à função de administrador de conta?

O administrador da conta é o usuário principal da sua conta de faturamento. O Administrador da Conta não está sendo preterido e você não precisa converter essa atribuição de função. O Administrador da Conta e o Administrador do Serviço podem ser o mesmo usuário. No entanto, você só precisa converter a atribuição de função de Administrador de Serviço.

O que devo fazer se perder o acesso a uma assinatura?

Se você remover seus administradores clássicos sem ter pelo menos uma atribuição de função de proprietário para uma assinatura, você perderá o acesso à assinatura, que ficará órfã. Para recuperar o acesso a uma assinatura, você pode fazer o seguinte:
- Siga as etapas para elevar o acesso para gerenciar todas as assinaturas em um locatário.
- Atribua a função Proprietário no escopo da assinatura a um usuário.
- Remover acesso elevado.

O que deverei fazer se eu tiver uma grande dependência de Coadministradores ou Administrador de serviços?

Envie um email para ACARDeprecation@microsoft.com e descreva seu cenário.

Siga essas etapas para listar o Administrador de Serviço e os Coadministradores para uma assinatura usando o portal do Azure.

Entre no portal do Azure como Proprietário de uma assinatura.
Abra Assinaturas e selecione a assinatura.
Selecione IAM (Controle de acesso) .
Clique na guia Administradores clássicos para exibir uma lista dos Coadministradores.

Siga essas etapas para listar o número de Administradores de Serviço e Coadministradores nas suas subscrições utilizando o Azure Resource Graph.

Entre no portal do Azure como Proprietário de uma assinatura.
Abra o Explorador do Azure Resource Graph.
Selecione Escopo e defina o escopo da consulta.

Defina o escopo como Diretório para consultar todo o seu locatário, mas você pode restringir o escopo a assinaturas específicas.
Selecione Definir escopo de autorização e defina o escopo de autorização como At, acima e abaixo para consultar todos os recursos no escopo especificado.

Execute a consulta a seguir para listar o número de administradores e coadministradores de serviço com base no escopo.

authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)

O seguinte mostra um exemplo dos resultados. A coluna count_ é o número de administradores ou coadministradores de serviço para uma assinatura.

Desativação de coadministradores

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudar você a se preparar para a descontinuação da função de Coadministrador.

Etapa 1: examinar os Coadministradores atuais

Entre no portal do Azure como Proprietário de uma assinatura.
Use o portal do Azure ou o Azure Resource Graph para listar seus coadministradores.
Examine os logs de entrada dos Coadministradores para avaliar se eles são usuários ativos.

Etapa 2: remover Coadministradores que não precisam mais de acesso

Se o usuário não estiver mais em sua empresa, remova o Coadministrador.
Se o usuário foi excluído, mas a respectiva atribuição de Coadministrador não foi removida, remova o Coadministrador.

Os usuários que foram excluídos geralmente apresentam o texto (O usuário não foi encontrado neste diretório).
Depois de examinar a atividade do usuário, se ele não estiver mais ativo, remova o Coadministrador.

Etapa 3: Converter coadministradores em funções de trabalho

A maioria dos usuários não precisa das mesmas permissões que um Coadministrador. Considere uma função de trabalho em vez disso.

Se um usuário ainda precisar de algum acesso, determine a função de trabalho apropriada de que ele precisa.
Determine as necessidades do usuário de escopo.
Siga as etapas para atribuir uma função de trabalho ao usuário.
Remova o Coadministrador.

Etapa 4: Converter coadministradores em função de proprietário com condições

Alguns usuários podem precisar de mais acesso do que uma função de trabalho pode fornecer. Se você precisar atribuir a função Proprietário, considere adicionar uma condição ou usar o Microsoft Entra PIM (Privileged Identity Management) para restringir a atribuição de função.

Atribua a função Proprietário com condições.

Por exemplo, atribua a função Proprietário no escopo da assinatura com condições. Se você tiver PIM, torne o usuário qualificado para atribuição de função de Proprietário.
Remova o Coadministrador.

Etapa 5: Converter coadministradores em função de Proprietário

Se um usuário precisar ser um administrador para uma assinatura, atribua a função Proprietário no escopo da assinatura.

Siga as etapas em Como converter uma função de Coadministrador em Proprietário.

Como converter uma função de Coadministrador em Proprietário

A maneira mais fácil de converter uma atribuição de função de Coadministrador para a função Proprietário no escopo da assinatura é usar as etapas de Corrigir.

Entre no portal do Azure como Proprietário de uma assinatura.
Abra Assinaturas e selecione a assinatura.
Selecione IAM (Controle de acesso) .
Clique na guia Administradores clássicos para exibir uma lista dos Coadministradores.
Para o Coadministrador que você deseja converter para a função Proprietário, na coluna Corrigir, selecione o link Atribuir função RBAC.
No painel Adicionar atribuição de função, examine a atribuição de função.
Selecione Examinar + atribuir para atribuir a função Proprietário e remover a atribuição de função de Coadministrador.

Como remover um Coadministrador

Siga estas etapas para remover um Coadministrador.

Entre no portal do Azure como Proprietário de uma assinatura.
Abra Assinaturas e selecione a assinatura.
Selecione IAM (Controle de acesso) .
Clique na guia Administradores clássicos para exibir uma lista dos Coadministradores.
Adicione uma marca de seleção ao lado do coadministrador que deseja remover.
Selecione Excluir.
Na caixa de mensagem que aparece, selecione Sim.

Desativação do Administrador de Serviços

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a converter a atribuição de função de Administrador de Serviços. Antes de remover o Administrador de serviços, você precisará ter pelo menos um usuário que receba a função Proprietário no escopo da assinatura sem condições, a fim de evitar deixar a assinatura órfã. O proprietário de uma assinatura tem o mesmo acesso que o administrador de serviços.

Etapa 1: examinar o seu Administrador de serviços atual

Entre no portal do Azure como Proprietário de uma assinatura.
Utilize o portal do Azure ou o Azure Resource Graph para listar o seu Administrador de Serviço.
Examine os logs de entrada do Administrador de serviços para avaliar se ele é um usuário ativo.

Etapa 2: examinar as informações sobre os atuais proprietários da conta de cobrança

O usuário que recebe a função de Administrador de serviços também pode ser o mesmo usuário que é o administrador da sua conta de cobrança. Você deve examinar as informações sobre os atuais proprietários da conta de cobrança para garantir que elas ainda estejam corretas.

Use o portal do Azure para obter os proprietáriosde sua conta de cobrança.
Examine sua lista de proprietários de conta de cobrança. Se necessário, atualize ou adicione outro proprietário da conta de cobrança.

Etapa 3: Converter a função de Administrador de Serviços em Proprietário

O Administrador de serviços pode ser uma conta Microsoft ou uma conta do Microsoft Entra. Uma conta Microsoft é uma conta pessoal, como Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Uma conta do Microsoft Entra é uma identidade criada por meio do Microsoft Entra ID.

Se o usuário do Administrador de Serviços for uma conta da Microsoft e você quiser que esse usuário mantenha as mesmas permissões, converta a função de Administrador de Serviços em Proprietário.
Se o usuário do Administrador de Serviços for uma conta do Microsoft Entra e você quiser que esse usuário mantenha as mesmas permissões, converta a função de Administrador de Serviços em Proprietário.
Se você quiser alterar o usuário Administrador de serviços para um usuário diferente, atribua a função Proprietário a esse novo usuário no escopo da assinatura sem condições. Depois, remova o Administrador de Serviços.

Como converter a função de Administrador de Serviços em Proprietário

A maneira mais fácil de converter uma atribuição de função de Administrador de Serviços na função Proprietário no escopo da assinatura é usar as etapas de Corrigir.

Entre no portal do Azure como Proprietário de uma assinatura.
Abra Assinaturas e selecione a assinatura.
Selecione IAM (Controle de acesso) .
Selecione a guia Administradores clássicos para exibir o Administrador de Serviços.
Para o Administrador de Serviços, na coluna Corrigir, selecione o link Atribuir função RBAC.
No painel Adicionar atribuição de função, examine a atribuição de função.
Selecione Examinar + atribuir para atribuir a função Proprietário e remover a atribuição de função de Administrador de Serviços.

Como remover o Administrador de Serviços