> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/pt/outros/faqs/migracao-de-rbac-do-key-vault.md).

# Migração de RBAC do Key Vault

A Microsoft está a mudar o Azure Key Vault para o Azure RBAC como modelo de controlo de acesso predefinido para todos os novos Key Vaults a partir da versão da API **2026‑02‑01**. Leia mais [aqui](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli). 

Embora o RBAC não seja estritamente obrigatório e **os Key Vaults existentes que utilizam políticas de acesso possam continuar a funcionar tal como estão,** os tenants que criarem um novo Key Vault após atualizarem para a nova API obterão RBAC por predefinição, a menos que as políticas de acesso sejam configuradas explicitamente.

Pode ser uma boa ideia migrar para RBAC de qualquer forma, uma vez que fornece um modelo de permissões mais unificado e escalável, alinhado com o Microsoft Entra ID, e prepara a sua configuração para o futuro caso a Microsoft descontinue as políticas de acesso do Key Vault.

## Guia de Migração

{% hint style="warning" %}
Considere o tempo de indisponibilidade antes de prosseguir. O SCEPman não conseguirá emitir nem verificar certificados até que as permissões tenham sido migradas com sucesso.
{% endhint %}

{% stepper %}
{% step %}

### Navegue até ao seu Key Vault do SCEPman

Navegue para Azure > Key Vaults > *O seu Key Vault do SCEPman* 

<figure><img src="/files/5ede4f33feed6b412b5ff6d89503793bead93ede" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Revise as suas Access Policies existentes

Navegue até **políticas de acesso** e documente as políticas de acesso do seu SCEPman em **Application***.* As políticas de acesso do SCEPman devem partilhar o mesmo nome que o seu App Service do SCEPman (e quaisquer App Services do SCEPman georredundantes).&#x20;

*Utilizador* as políticas de acesso não precisam de ser migradas, pois não afetarão a funcionalidade do SCEPman. Os utilizadores que necessitem de acesso contínuo devem ter as suas políticas de acesso revistas e migradas para funções do Azure com base na tabela seguinte: <https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mapping>

<figure><img src="/files/005d9f2a6d0771796a39ffec3dfcaca381370906" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Alterar o Modelo de Permissões

Alterar o Modelo de Permissões de **Vault access policy** para **Azure role-based access control**

<figure><img src="/files/01db572807861d1668c82f14ea30dd401d6edd28" alt=""><figcaption></figcaption></figure>

Premir **Apply** irá desligar a sua instância do SCEPman do Key Vault até que as Funções do Azure sejam atribuídas. As políticas de acesso anteriores também serão removidas.
{% endstep %}

{% step %}

### Atribuir Funções do Azure

Navegue até Controlo de acesso (IAM) e atribua as seguintes funções à **identidade gerida** do seu App Service do SCEPman (e de quaisquer App Services do SCEPman georredundantes):

* Key Vault Certificates Officer
* Key Vault Crypto Officer
* Key Vault Secrets User

<figure><img src="/files/9effb1126f7073307c23e312c8138bdadbe9b2cd" alt=""><figcaption></figcaption></figure>

As funções devem ser atribuídas uma de cada vez; no entanto, podem ser atribuídas várias identidades a uma função.

<figure><img src="/files/0aacc59286d516dae22b50f1c116ae0f274009ac" alt=""><figcaption></figcaption></figure>

A identidade gerida do Certificate Master (com -cm no nome) **não** requer acesso ao Key Vault.
{% endstep %}

{% step %}

### Verificar a Conectividade do Key Vault

Reinicie o seu App Service do SCEPman e, em seguida, navegue até à página inicial do SCEPman e certifique-se de que o seu Key Vault está ligado.

<figure><img src="/files/0c2efafd3997c88997d03fce1d7523eae59014be" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.scepman.com/pt/outros/faqs/migracao-de-rbac-do-key-vault.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.