Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O RBAC (controle de acesso baseado em função) do Azure permite um melhor gerenciamento de segurança para grandes organizações e para pequenas e médias empresas que trabalham com colaboradores externos, fornecedores ou freelancers que precisam de acesso a recursos específicos em seu ambiente, mas não necessariamente para toda a infraestrutura ou quaisquer escopos relacionados à cobrança. Você pode usar os recursos no Microsoft Entra B2B para colaborar com usuários externos e usar o RBAC do Azure para conceder apenas as permissões necessárias aos usuários externos em seu ambiente.
Pré-requisitos
Para atribuir funções do Azure ou remover atribuições de função, você deve ter:
-
Microsoft.Authorization/roleAssignments/writeeMicrosoft.Authorization/roleAssignments/deletepermissões, como Administrador de Acesso do Usuário ou Proprietário
Quando você convidaria usuários externos?
Aqui estão alguns cenários de exemplo quando você pode convidar usuários para sua organização e conceder permissões:
- Permitir que um fornecedor autônomo externo que tenha apenas uma conta de email acesse seus recursos do Azure para um projeto.
- Permitir que um parceiro externo gerencie determinados recursos ou uma assinatura inteira.
- Permitir que os engenheiros de suporte que não estão em sua organização (como o suporte da Microsoft) acessem temporariamente o recurso do Azure para solucionar problemas.
Diferenças de permissão entre usuários membros e usuários convidados
Os usuários de um diretório com tipo de membro (usuários membros) têm permissões diferentes por padrão do que os usuários convidados de outro diretório como convidado de colaboração B2B (usuários convidados). Por exemplo, os usuários membros podem ler quase todas as informações de diretório enquanto os usuários convidados têm permissões de diretório restritas. Para obter mais informações sobre usuários membros e usuários convidados, consulte Quais são as permissões de usuário padrão na ID do Microsoft Entra?.
Convidar um usuário externo para o diretório
Siga estas etapas para convidar um usuário externo para seu diretório na ID do Microsoft Entra.
Entre no portal do Azure.
Verifique se as configurações de colaboração externa da sua organização estão configuradas de modo que você tenha permissão para convidar usuários externos. Para obter mais informações, confira Definir configurações de colaboração externa.
Selecione Microsoft Entra ID>Usuários.
Selecione Novo usuário>Convidar usuário externo.
Siga as etapas para convidar um usuário externo. Para obter mais informações, consulte Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.
Depois de convidar um usuário externo para o diretório, você pode enviar ao usuário externo um link direto para um aplicativo compartilhado ou o usuário externo pode selecionar o link aceitar convite no email de convite.
Para que o usuário externo possa acessar seu diretório, ele deve concluir o processo de convite.
Para obter mais informações sobre o processo de convite, consulte o resgate de convite de colaboração do Microsoft Entra B2B.
Atribuir uma função a um usuário externo
No RBAC do Azure, para conceder acesso, você atribui uma função. Para atribuir uma função a um usuário externo, siga as mesmas etapas que faria para um usuário membro, grupo, entidade de serviço ou identidade gerenciada. Siga estas etapas para atribuir uma função a um usuário externo em escopos diferentes.
Entre no portal do Azure.
Pesquise pelo escopo ao qual você deseja conceder acesso na caixa de pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.
Selecione o recurso específico desse escopo.
Selecione Controle de acesso (IAM) .
O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.
Selecione a guia Atribuições de função para exibir as atribuições de função neste escopo.
Selecione Adicionar>Adicionar atribuição de função.
Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desabilitada.
A página Adicionar atribuição de função será aberta.
Na guia Função , selecione uma função como Colaborador de Máquina Virtual.
Na guia Membros , selecione Usuário, grupo ou entidade de serviço.
Selecione Selecionar membros.
Localize e selecione o usuário externo. Se você não vir o usuário na lista, poderá digitar na caixa Selecionar para pesquisar no diretório pelo nome de exibição ou endereço de email.
Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.
Selecione Selecionar para adicionar o usuário externo à lista Membros.
Na guia Revisão + atribuição , selecione Examinar + atribuir.
Após alguns instantes, o usuário externo recebe a função no escopo selecionado.
Atribuir uma função a um usuário externo ainda não em seu diretório
Para atribuir uma função a um usuário externo, siga as mesmas etapas que faria para um usuário membro, grupo, entidade de serviço ou identidade gerenciada.
Se o usuário externo ainda não estiver em seu diretório, você poderá convidar o usuário diretamente do painel Selecionar membros.
Entre no portal do Azure.
Pesquise pelo escopo ao qual você deseja conceder acesso na caixa de pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.
Selecione o recurso específico desse escopo.
Selecione Controle de acesso (IAM) .
Selecione Adicionar>Adicionar atribuição de função.
Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desabilitada.
A página Adicionar atribuição de função será aberta.
Na guia Função , selecione uma função como Colaborador de Máquina Virtual.
Na guia Membros , selecione Usuário, grupo ou entidade de serviço.
Selecione Selecionar membros.
Na caixa Selecionar, digite o endereço de email da pessoa que você deseja convidar e selecione essa pessoa.
Selecione Selecionar para adicionar o usuário externo à lista Membros.
Na guia Examinar + atribuir , selecione Examinar + atribuir para adicionar o usuário externo ao diretório, atribuir a função e enviar um convite.
Após alguns instantes, você verá uma notificação da atribuição de função e informações sobre o convite.
Para convidar manualmente o usuário externo, clique com o botão direito do mouse e copie o link do convite na notificação. Não selecione o link do convite porque ele inicia o processo de convite.
O link do convite terá o seguinte formato:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...Envie o link de convite para o usuário externo para concluir o processo de convite.
Para obter mais informações sobre o processo de convite, consulte o resgate de convite de colaboração do Microsoft Entra B2B.
Remover um usuário externo do diretório
Antes de remover um usuário externo de um diretório, primeiro você deve remover as atribuições de função para esse usuário externo. Siga estas etapas para remover um usuário externo de um diretório.
Abra o IAM (controle de acesso) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, em que o usuário externo tem uma atribuição de função.
Selecione a guia Atribuições de função para exibir todas as atribuições de função.
Na lista de atribuições de função, adicione uma marca de seleção ao lado do usuário externo com a atribuição de função que você deseja remover.
Selecione e Remova.
Na mensagem remover atribuição de função exibida, selecione Sim.
Selecione a guia Administradores clássicos.
Se o usuário externo tiver uma atribuição de Co-Administrator, adicione uma marca de seleção ao lado do usuário externo e selecione Remover.
Na barra de navegação à esquerda, selecione Microsoft Entra ID>Usuários.
Selecione o usuário externo que você deseja remover.
Selecione Excluir.
Na mensagem de exclusão exibida, selecione Sim.
Troubleshoot
O usuário externo não pode procurar o diretório
Usuários externos têm permissões de diretório restritas. Por exemplo, usuários externos não podem procurar o diretório e não podem pesquisar grupos ou aplicativos. Para obter mais informações, consulte Quais são as permissões de usuário padrão na ID do Microsoft Entra?.
Se um usuário externo precisar de privilégios adicionais no diretório, você poderá atribuir uma função do Microsoft Entra ao usuário externo. Se você realmente quiser que um usuário externo tenha acesso de leitura completo ao seu diretório, poderá adicionar o usuário externo à função Leitores de Diretório na ID do Microsoft Entra. Para obter mais informações, consulte Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.
O usuário externo não pode navegar por usuários, grupos ou principais de serviço para atribuir funções
Usuários externos têm permissões de diretório restritas. Mesmo que um usuário externo seja um Proprietário em um escopo, se tentar atribuir um papel para conceder acesso a outra pessoa, ele não poderá navegar pela lista de usuários, grupos ou entidades de serviço.
Se o usuário externo souber o nome exato de entrada de alguém no diretório, ele poderá conceder acesso. Se você realmente quiser que um usuário externo tenha acesso de leitura completo ao seu diretório, poderá adicionar o usuário externo à função Leitores de Diretório na ID do Microsoft Entra. Para obter mais informações, consulte Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.
O usuário externo não pode registrar aplicativos ou criar entidades de serviço
Usuários externos têm permissões de diretório restritas. Se um usuário externo precisar ser capaz de registrar aplicativos ou criar entidades de serviço, você poderá adicionar o usuário externo à função Desenvolvedor de Aplicativos na ID do Microsoft Entra. Para obter mais informações, consulte Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.
O usuário externo não vê o novo diretório
Se um utilizador externo tiver acesso a um diretório, mas não vir o novo diretório listado no portal do Azure quando tentar mudar na sua página Diretórios, certifique-se de que o utilizador externo concluiu o processo de convite. Para obter mais informações sobre o processo de convite, consulte o resgate de convite de colaboração do Microsoft Entra B2B.
O usuário externo não vê recursos
Se um usuário externo tiver recebido acesso a um diretório, mas não vir os recursos aos quais recebeu acesso no portal do Azure, verifique se o usuário externo selecionou o diretório correto. Um usuário externo pode ter acesso a vários diretórios. Para alternar diretórios, no canto superior esquerdo, selecioneDiretórios de > e selecione o diretório apropriado.
