Administradores de subscrição clássica do Azure

Important

A partir de 31 de agosto de 2024, as funções de administrador clássicas do Azure (juntamente com os recursos clássicos do Azure e o Azure Service Manager) serão desativadas e deixarão de ter suporte. Se ainda tiver atribuições ativas de funções de Co-Administrador ou Administrador de Serviços, converta imediatamente estas atribuições de função para o RBAC do Azure. A partir de dezembro de 2025, o Azure começará a atribuir automaticamente o papel de Proprietário no âmbito da subscrição aos utilizadores na cloud pública que ainda recebam o papel de Co-Administrator ou Administrador de Serviços.

A Microsoft recomenda que faça a gestão do acesso aos recursos do Azure utilizando o controlo de acesso baseado em funções do Azure (RBAC do Azure). Se ainda estiver a utilizar o modelo de implementação clássico, terá de migrar os seus recursos da implementação clássica para a implementação do Gestor de Recursos. Para mais informações, consulte zure Resource Manager vs. implantação clássica.

Este artigo descreve a desativação das funções de Co-Administrator e Administrador de Serviços e como converter essas atribuições de função.

Perguntas frequentes

O que acontece às atribuições de funções de administrador clássico após 31 de agosto de 2024?

As funções de Co-Administrador e Administrador de Serviços foram retiradas e já não são suportadas. Deve converter imediatamente estas atribuições de funções para o RBAC do Azure.

O que acontece às atribuições clássicas de funções de administrador após dezembro de 2025?

O Azure começará a atribuir automaticamente o papel de Proprietário no âmbito da subscrição aos utilizadores na nuvem pública que ainda têm o papel de Co-Administrator ou Administrador de Serviços. Para mais informações, consulte Atribuição automática à função de Proprietário.

Como é que sei que subscrições têm administradores clássicos?

Pode utilizar uma consulta do Azure Resource Graph para listar subscrições com atribuições de funções de Administrador de Serviços ou Co-Administrador. Para ver as etapas, consulte Listar administradores clássicos.

Qual é a função Azure equivalente que devo atribuir aos Co-Administradores?

A função de proprietário no âmbito da subscrição tem o acesso equivalente. No entanto, o Proprietário é uma função de administrador privilegiada e concede acesso total para gerir os recursos do Azure. Deverá considerar uma função de função com menos permissões, reduzir o âmbito ou adicionar uma condição.

Qual é a função Azure equivalente que devo atribuir ao Administrador de Serviços?

A função de proprietário no âmbito da subscrição tem o acesso equivalente.

Porque é que preciso de migrar para o RBAC do Azure?

O RBAC do Azure oferece controlo de acesso refinado, compatibilidade com o Microsoft Entra Privileged Identity Management (PIM) e suporte completo de registos de auditoria. Todos os investimentos futuros serão efetuados no Azure RBAC.

E quanto à função de Administrador de Conta?

O Administrador de Conta é o utilizador principal da sua conta de faturação. O Administrador de conta não está a ser descontinuado e não é necessário converter esta atribuição de função. O Administrador de conta e o Administrador de serviço podem ser o mesmo utilizador. No entanto, só é necessário converter a atribuição da função Administrador de serviços.

O que devo fazer se perder o acesso a uma subscrição?

Se remover os seus administradores clássicos sem ter pelo menos uma atribuição de função de Proprietário para uma subscrição, perderá o acesso à subscrição e esta ficará órfã. Para recuperar o acesso a uma subscrição, pode fazer o seguinte:
- Siga os passos para elevar o acesso para gerir todas as subscrições num tenant.
- Atribuir a função Proprietário no âmbito da subscrição a um utilizador.
- Remover o acesso elevado.

Atribuição automática ao papel de Proprietário

A partir de dezembro de 2025, se não tomar qualquer ação e ainda tiver administradores clássicos na cloud pública, o Azure começará a atribuir automaticamente aos administradores clássicos o papel de Proprietário no âmbito da subscrição. Estas atribuições de funções terão as seguintes propriedades:

Descrição: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement
criado por: 0469d4cd-df37-4d93-8a61-f8c75b809164

Se o Azure atribuir automaticamente o papel de Proprietário, não remove automaticamente a atribuição clássica de função de administrador. Deves remover esta clássica atribuição de funções de administrador. Para os passos sobre como remover esta atribuição de funções, veja remover Co-Administrador. Se não quiser a atribuição da função de Proprietário, deve remover tanto a atribuição da função de Proprietário como a de Coadministrador para remover o acesso do utilizador.

Siga estes passos para listar o Administrador de Serviço e os Coadministradores de uma subscrição utilizando o portal do Azure.

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Abra Subscrições e selecione uma subscrição.
Selecione Controlo de acesso (IAM) .
Selecione a guia Administradores clássicos para exibir uma lista dos Co-Administradores.

Siga estas etapas para listar o número de Administradores de Serviço e Co-Administrators em suas assinaturas usando o Azure Resource Graph.

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Abra o Azure Resource Graph Explorer.
Selecione Escopo e defina o escopo da consulta.

Defina o escopo como Diretório para consultar todo o locatário, mas você pode restringir o escopo a assinaturas específicas.
Selecione Definir escopo de autorização e defina o escopo de autorização como At, acima e abaixo para consultar todos os recursos no escopo especificado.

Execute a consulta a seguir para listar o número de Administradores de Serviço e Co-Administrators com base no escopo.

authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)

Segue-se um exemplo dos resultados. A coluna count_ é o número de Administradores de Serviço ou Co-Administrators de uma assinatura.

Co-Administrators aposentadoria

Se você ainda tiver administradores clássicos, use as etapas a seguir para ajudá-lo a converter Co-Administrator atribuições de função.

Passo 1: Reveja o seu Co-Administrators atual

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Utilize o portal do Azure ou o Azure Resource Graph para listar os seus Co-Administradores.
Reveja os registos de início de sessão dos seus Co-Administradores para avaliar se são utilizadores ativos.

Etapa 2: remover Co-Administrators que não precisam mais de acesso

Se o utilizador já não estiver na sua empresa, remova o Co-Administrador.
Se o usuário foi excluído, mas sua atribuição de Co-Administrator não foi removida, remova o Coadministrador.

Os usuários que foram excluídos normalmente incluem o texto (Usuário não foi encontrado neste diretório).
Depois de analisar a atividade do utilizador, se este já não estiver ativo, remova o Co-Administrador.
Se o utilizador já tiver a atribuição do papel de Proprietário , remova o Co-Administrador.

Etapa 3: Converter Co-Administrators em funções de função de trabalho

A maioria dos utilizadores não necessita das mesmas permissões que um Co-Administrador. Em vez disso, considere uma função de trabalho.

Se um utilizador ainda precisar de algum acesso, determine a função de trabalho adequada de que necessita.
Determinar o âmbito das necessidades do utilizador.
Siga os passos para atribuir uma função de trabalho ao utilizador.
Remover um Co-Administrador.

Etapa 4: Converter Co-Administrators para a função de proprietário com condições

Alguns utilizadores podem necessitar de mais acesso do que aquele que uma função pode proporcionar. Se você precisar atribuir a função de proprietário , considere adicionar uma condição ou usar o Microsoft Entra Privileged Identity Management (PIM) para restringir a atribuição de função.

Atribua a função de Proprietário com condições.

Por exemplo, atribuir a função Proprietário no âmbito da subscrição com condições. Se tiver o PIM, torne o utilizador elegível para a atribuição da função Proprietário.
Remover um Co-Administrador.

Etapa 5: Converter Co-Administrators para a função de Proprietário

Se um usuário precisar ser administrador de uma assinatura, atribua a função Proprietário no escopo da assinatura.

Siga os passos em Como converter uma Coadministrador com função de Proprietário.

Como converter um Co-Administrator para a função de Proprietário

A maneira mais fácil de ocultar uma atribuição de função Co-Administrator para a função Proprietário no escopo da assinatura é usar as etapas Corrigir .

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Abra Subscrições e selecione uma subscrição.
Selecione Controlo de acesso (IAM) .
Selecione a guia Administradores clássicos para exibir uma lista dos Co-Administradores.
Para a Co-Administrator que você deseja converter para a função Proprietário, na coluna Corrigir , selecione o link Atribuir função RBAC .
No painel Adicionar atribuição de função, reveja a atribuição de função.
Selecione Rever + atribuir para atribuir a função de Proprietário e remover a Co-Administrator atribuição de função.

Como remover um Co-Administrator

Siga estas etapas para remover um coadministrador.

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Abra Subscrições e selecione uma subscrição.
Selecione Controlo de acesso (IAM) .
Selecione a guia Administradores clássicos para exibir uma lista dos Co-Administradores.
Adicione uma marca de seleção ao lado da Co-Administrator que você deseja remover.
Selecione Eliminar.
Na caixa de mensagens apresentada, selecione Sim.

Reforma do administrador de serviços

Se ainda tiver administradores clássicos, utilize os passos seguintes para o ajudar a converter a atribuição de função de Administrador de Serviço. Antes de remover o Administrador de Serviço, você deve ter pelo menos um usuário ao qual seja atribuída a função de Proprietário no escopo da assinatura sem condições para evitar a órfã da assinatura. Um Proprietário da subscrição tem o mesmo acesso que o Administrador de Serviços.

Etapa 1: revise seu administrador de serviço atual

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Utilize o portal do Azure ou o Azure Resource Graph para listar o seu Administrador de Serviço.
Reveja os registos de início de sessão do seu Administrador de Serviços para avaliar se é um utilizador ativo.

Passo 2: Rever os proprietários atuais da sua conta de faturação

O utilizador a quem é atribuída a função de Administrador de serviços pode também ser o mesmo utilizador que é o administrador da sua conta de faturação. Deve rever os seus atuais proprietários de contas de faturação para garantir que ainda estão corretos.

Utilize o portal do Azure para obter os proprietários da sua conta de faturação.
Reveja a sua lista de proprietários de contas de faturação. Se necessário, atualize ou adicione outro proprietário de contas de faturação.

Etapa 3: Converter a função de administrador de serviço em proprietário

O seu Administrador de Serviços pode ser uma conta Microsoft ou uma conta Microsoft Entra. Uma conta Microsoft é uma conta pessoal, como Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Uma conta Microsoft Entra é uma identidade criada através do Microsoft Entra ID.

Se o utilizador Administrador de Serviços for uma conta Microsoft e pretender que este utilizador mantenha as mesmas permissões, converta a função Administrador de Serviços em Proprietário.
Se o utilizador Administrador de serviços for uma conta Microsoft Entra e pretender que este utilizador mantenha as mesmas permissões, converta a função Administrador de serviços em Proprietário.
Se você quiser alterar o usuário Administrador de Serviço para um usuário diferente, atribua a função Proprietário a esse novo usuário no escopo da assinatura sem condições. Em seguida, remova o Administrador de Serviços.

Como converter a função de Administrador de Serviço em Proprietário

A maneira mais fácil de converter a atribuição da função Administrador de Serviços para a função Proprietário no escopo da assinatura é usar as etapas de Correção .

Inicie sessão no portal do Azure como Proprietário de uma subscrição.
Abra Subscrições e selecione uma subscrição.
Selecione Controlo de acesso (IAM) .
Selecione a guia Administradores clássicos para exibir o Administrador de serviço.
Para o Administrador de Serviço, na coluna Corrigir , selecione o link Atribuir função RBAC .
No painel Adicionar atribuição de função, reveja a atribuição de função.
Selecione Rever + atribuir para atribuir a função de Proprietário e remover a atribuição da função de Administrador de Serviços.

Como remover o administrador de serviço