رفع مستوى الوصول لإدارة جميع اشتراكات Azure ومجموعات الإدارة

كمسؤول عام في معرف Microsoft Entra، قد لا يكون لديك حق الوصول إلى جميع الاشتراكات ومجموعات الإدارة في المستأجر الخاص بك. توضح هذه المقالة الطرق التي يمكنك من خلالها رفع مستوى وصولك إلى جميع الاشتراكات ومجموعات الإدارة.

إشعار

للحصول على معلومات حول عرض البيانات الشخصية أو حذفها، راجع طلبات موضوع البيانات العامة ل GDPR أو طلبات موضوع بيانات Azure ل GDPR أو طلبات موضوع بيانات Windows ل GDPR، اعتمادا على منطقتك واحتياجاتك المحددة. لمزيد من المعلومات حول القانون العام لحماية البيانات (GDPR)، راجع قسم القانون العام لحماية البيانات (GDPR) في مركز توثيق Microsoft وقسم القانون العام لحماية البيانات (GDPR) لمدخل Service Trust.

لماذا تحتاج إلى رفع مستوى وصولك؟

إذا كنت مسؤولا عاما، فقد ترغب في بعض الأحيان في تنفيذ الإجراءات التالية:

• استعادة الوصول إلى اشتراك Azure أو مجموعة إدارة عندما يفقد المستخدم الوصول
• منح مستخدم آخر أو نفسك حق الوصول إلى اشتراك Azure أو مجموعة إدارة
• راجع جميع اشتراكات Azure أو مجموعات الإدارة في مؤسسة
• السماح لتطبيق التنفيذ التلقائي (مثل تطبيق الفوترة أو التدقيق) بالوصول إلى جميع اشتراكات Azure أو مجموعات الإدارة

كيف يعمل الوصول المرتفع؟

يتم تأمين معرف Microsoft Entra وموارد Azure بشكل مستقل عن بعضها البعض. أي أن تعيينات دور Microsoft Entra لا تمنح حق الوصول إلى موارد Azure، ولا تمنح تعيينات أدوار Azure حق الوصول إلى معرف Microsoft Entra. ومع ذلك، إذا كنت مسؤولا عاما في Microsoft Entra ID، يمكنك تعيين حق الوصول إلى جميع اشتراكات Azure ومجموعات الإدارة في المستأجر الخاص بك. استخدم هذه الإمكانية إذا لم يكن لديك حق الوصول إلى موارد اشتراك Azure، مثل الأجهزة الظاهرية أو حسابات التخزين، وتريد استخدام امتياز المسؤول العام للوصول إلى هذه الموارد.

عند رفع مستوى وصولك، يتم تعيين دور مسؤول وصول المستخدم في Azure في نطاق الجذر (/). يسمح لك هذا بعرض جميع الموارد وتعيين الوصول في أي اشتراك أو مجموعة إدارة في المستأجر. يمكن إزالة تعيينات دور مسؤول وصول المستخدم باستخدام Azure PowerShell أو Azure CLI أو REST API.

يجب عليك إلغاء هذا الوصول المرتفع بمجرد إجراء التغييرات التي تحتاج إلى إجرائها في نطاق الجذر.

تنفيذ الخطوات في نطاق الجذر

مدخل Microsoft Azure

الخطوة 1: رفع مستوى الوصول لمسؤول عام

اتبع هذه الخطوات لرفع الوصول لمسؤول عام باستخدام مدخل Azure.

1. سجّل الدخول إلى مدخل Azure كمسؤول عام.

   إذا كنت تستخدم Microsoft Entra إدارة الهويات المتميزة، فنشط تعيين دور المسؤول العام.

2. استعرض للوصول إلى Microsoft Entra ID>>

   

3. ضمن Access management for Azure resources، عين زر التبديل إلى Yes.

   

   عند تعيين التبديل إلى نعم، يتم تعيين دور مسؤول وصول المستخدم في Azure RBAC في نطاق الجذر (/). يمنحك هذا الإذن لتعيين الأدوار في جميع اشتراكات Azure ومجموعات الإدارة المقترنة بمستأجر Microsoft Entra هذا. يتوفر هذا التبديل فقط للمستخدمين الذين تم تعيين دور المسؤول العام لهم في Microsoft Entra ID.

   عند تعيين التبديل إلى لا، تتم إزالة دور مسؤول وصول المستخدم في Azure RBAC من حساب المستخدم الخاص بك. لم يعد بإمكانك تعيين الأدوار في جميع اشتراكات Azure ومجموعات الإدارة المقترنة بمستأجر Microsoft Entra هذا. يمكنك عرض وإدارة اشتراكات Azure ومجموعات الإدارة فقط التي مُنِحت حق الوصول إليها.

   إشعار

   إذا كنت تستخدم إدارة الهويات المتميزة، فلن يؤدي إلغاء تنشيط تعيين الدور إلى تغيير تبديل إدارة الوصول لموارد Azure إلى لا. للحفاظ على الوصول الأقل امتيازا، نوصي بتعيين هذا التبديل إلى لا قبل إلغاء تنشيط تعيين الدور.

4. حدد حفظ لحفظ إعدادك.

   هذا الإعداد ليس خاصية عمومية ولا ينطبق إلا على المستخدم الذي سجل الدخول حالياً. لا يمكنك رفع مستوى الوصول لكافة أعضاء دور المسؤول العام.

5. تسجيل الخروج وإعادة تسجيل الدخول لتحديث وصولك.

   يجب أن يكون لديك الآن حق الوصول إلى جميع الاشتراكات ومجموعات الإدارة في المستأجر الخاص بك. عند عرض صفحة التحكم في الوصول (IAM)، ستلاحظ أنه تم تعيين دور مسؤول وصول المستخدم في نطاق الجذر.

   

6. باشر بإجراء التغييرات التي تريد إجراؤها عند الوصول المرتفع.

   للحصول على معلومات حول تعيين الأدوار، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure. إذا كنت تستخدم إدارة الهويات المتميزة، فشاهد اكتشاف موارد Azure لإدارة أدوار موارد Azure أو تعيينها.

7. نفذ الخطوات الواردة في القسم التالي لإزالة الوصول المرتفع.

الخطوة 2: إزالة الوصول المرتفع

لإزالة تعيين دور مسؤول وصول المستخدم في نطاق الجذر (/)، اتبع الخطوات التالية.

1. بادر بتسجيل الدخول باعتبارك نفس المستخدم الذي اُستخدِم لرفع مستوى الوصول.

2. استعرض للوصول إلى Microsoft Entra ID>>

3. عين زر تبديل Access management for Azure resources، مرةً أخرى إلى No. نظراً لأن هذا إعداد لكل مستخدم، يجب أن تسجل الدخول باعتبارك نفس المستخدم الذي اُستخدِم لرفع مستوى الوصول.

   إذا حاولت إزالة تعيين دور مسؤول وصول المستخدم في صفحة التحكم في الوصول (IAM)، فسترى الرسالة التالية. لإزالة تعيين الدور، يجب تعيين زر التبديل مرةً أخرى إلى No أو استخدم Azure PowerShell أو Azure CLI أو واجهة برمجة تطبيقات REST.

   

4. تسجيل الخروج بصفة مسؤول عام.

   إذا كنت تستخدم إدارة الهويات المتميزة، فإلغاء تنشيط تعيين دور المسؤول العام.

   إشعار

   إذا كنت تستخدم إدارة الهويات المتميزة، فلن يؤدي إلغاء تنشيط تعيين الدور إلى تغيير تبديل إدارة الوصول لموارد Azure إلى لا. للحفاظ على الوصول الأقل امتيازا، نوصي بتعيين هذا التبديل إلى لا قبل إلغاء تنشيط تعيين الدور.

بوويرشيل

الخطوة 1: رفع مستوى الوصول لمسؤول عام

استخدم مدخل Microsoft Azure أو واجهة برمجة تطبيقات REST لرفع مستوى الوصول لمسؤول عام.

الخطوة 2: سرد تعيين الدور في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، لسرد تعيين دور مسؤول وصول المستخدم لمستخدم في نطاق الجذر (/)، استخدم الأمر Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

الخطوة 3: إزالة الوصول المرتفع

لإزالة تعيين دور مسؤول وصول المستخدم لنفسك أو لمستخدم آخر في نطاق الجذر (/)، اتبع الخطوات التالية.

1. سجل الدخول كمستخدم يمكنه إزالة الوصول المرتفع. يمكن أن يكون هذا هو نفس المستخدم الذي تم استخدامه لرفع مستوى الوصول أو مسؤول عمومي آخر مع وصول مرتفع في نطاق الجذر.

2. استخدم الأمر Remove-AzRoleAssignment لإزالة تعيين دور مسؤول وصول المستخدم.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

الخطوة 1: رفع مستوى الوصول لمسؤول عام

استخدم الخطوات الأساسية التالية لرفع مستوى الوصول لمسؤول عمومي باستخدام Azure CLI.

1. استخدم الأمر az rest لاستدعاء elevateAccess نقطة النهاية، والتي تمنحك دور مسؤول وصول المستخدم في نطاق الجذر (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. باشر بإجراء التغييرات التي تريد إجراؤها عند الوصول المرتفع.

   للحصول على معلومات حول تعيين الأدوار، راجع تعيين أدوار Azure باستخدام Azure CLI.

3. قم بتنفيذ الخطوات في قسم لاحق لإزالة الوصول المرتفع.

الخطوة 2: سرد تعيين الدور في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، لسرد تعيين دور مسؤول وصول المستخدم لمستخدم في نطاق الجذر (/)، استخدم الأمر az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

الخطوة 3: إزالة الوصول المرتفع

لإزالة تعيين دور مسؤول وصول المستخدم لنفسك أو لمستخدم آخر في نطاق الجذر (/)، اتبع الخطوات التالية.

1. سجل الدخول كمستخدم يمكنه إزالة الوصول المرتفع. يمكن أن يكون هذا هو نفس المستخدم الذي تم استخدامه لرفع مستوى الوصول أو مسؤول عمومي آخر مع وصول مرتفع في نطاق الجذر.

2. استخدم الأمر az role assignment delete لإزالة تعيين دور مسؤول وصول المستخدم.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

واجهة برمجة التطبيقات REST

المتطلبات الأساسية

يجب استخدام الإصدارات التالية:

• 2015-07-01 أو لاحقا لسرد تعيينات الأدوار وإزالتها
• 2016-07-01 أو لاحقا لرفع مستوى الوصول
• 2018-07-01-preview أو في وقت لاحق لسرد رفض التعيينات

لمزيد من المعلومات، راجع إصدارات واجهة برمجة التطبيقات من واجهات برمجة تطبيقات AZURE RBAC REST.

الخطوة 1: رفع مستوى الوصول لمسؤول عام

استخدم الخطوات الأساسية التالية لرفع مستوى الوصول لمسؤول عام باستخدام واجهة برمجة تطبيقات REST.

1. باستخدام REST، استدع elevateAccess، الذي يمنحك دور مسؤول وصول المستخدم في نطاق الجذر (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. باشر بإجراء التغييرات التي تريد إجراؤها عند الوصول المرتفع.

   للحصول على معلومات حول تعيين الأدوار، راجع تعيين أدوار Azure باستخدام واجهة برمجة تطبيقات REST.

3. قم بتنفيذ الخطوات في قسم لاحق لإزالة الوصول المرتفع.

الخطوة 2: سرد تعيينات الأدوار في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، يمكنك سرد جميع تعيينات الأدوار لمستخدم في نطاق الجذر (/).

• استدعاء تعيينات الدور - قائمة للنطاق حيث {objectIdOfUser} هو معرف الكائن للمستخدم الذي تريد استرداد تعيينات الأدوار الخاصة به.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

الخطوة 3: سرد تعيينات الرفض في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، يمكنك سرد جميع تعيينات الرفض لمستخدم في نطاق الجذر (/).

• استدعاء رفض التعيينات - قائمة للنطاق حيث {objectIdOfUser} هو معرف الكائن للمستخدم الذي تريد استرداد تعيينات الرفض الخاصة به.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

الخطوة 4: إزالة الوصول المرتفع

عند استدعاء elevateAccess، يمكنك إنشاء تعيين دور لنفسك، لذلك لإلغاء هذه الامتيازات تحتاج إلى إزالة تعيين دور مسؤول وصول المستخدم لنفسك في نطاق الجذر (/).

1. استدعاء تعريفات الدور - احصل على المكان الذي roleName يساوي مسؤول وصول المستخدم لتحديد معرف اسم دور مسؤول وصول المستخدم.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   احفظ المعرف من المعلمة name ، في هذه الحالة 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. تحتاج أيضا إلى سرد تعيين الدور لمسؤول المستأجر في نطاق المستأجر. سرد كافة التعيينات في نطاق المستأجر لمسؤول principalId المستأجر الذي أجرى مكالمة الوصول إلى الارتفاع. سيؤدي ذلك إلى سرد كافة التعيينات في المستأجر ل objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   إشعار

   يجب ألا يكون لدى مسؤول المستأجر العديد من التعيينات. إذا كان الاستعلام السابق يرجع عددا كبيرا جدا من التعيينات، يمكنك أيضا الاستعلام عن جميع التعيينات فقط في نطاق المستأجر، ثم تصفية النتائج: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. ترجع المكالمات السابقة قائمة بتعيينات الأدوار. ابحث عن تعيين الدور حيث يكون "/" النطاق وينتهي roleDefinitionId بمعرف اسم الدور الذي عثرت عليه في الخطوة 1 ويطابق principalId objectId لمسؤول المستأجر.

   عينة تعيين الدور:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   مرة أخرى، احفظ المعرف من المعلمة name ، في هذه الحالة 11111111-1111-1111-1111-11111111111111.

4. وأخيرا، استخدم معرف تعيين الدور لإزالة التعيين الذي تمت إضافته بواسطة elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

عرض المستخدمين الذين لديهم وصول مرتفع

إذا كان لديك مستخدمون لديهم وصول مرتفع ولديك الأذونات المناسبة، يتم عرض الشعارات في موقعين من مدخل Microsoft Azure. لدى المسؤولين العموميين أذونات لقراءة تعيينات دور Azure من نطاق الجذر وما يلي لجميع مجموعات إدارة Azure والاشتراكات داخل المستأجر. يصف هذا القسم كيفية تحديد ما إذا كان لديك مستخدمون لديهم وصول مرتفع في المستأجر الخاص بك.

خيار 1

1. في مدخل Microsoft Azure، سجل الدخول كمسؤول عام.

2. استعرض للوصول إلى Microsoft Entra ID>>

3. ضمن إدارة الوصول لموارد Azure، ابحث عن الشعار التالي.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

4. حدد الارتباط Manage elevated access users لعرض قائمة بالمستخدمين الذين لديهم وصول مرتفع.

خيار 2

1. في مدخل Microsoft Azure، سجل الدخول كمسؤول عام مع وصول مرتفع.

2. استعرض للوصول إلى اشتراك.

3. حدد Access control (IAM).

4. في أعلى الصفحة، ابحث عن الشعار التالي.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

5. حدد الارتباط عرض تعيينات الأدوار لعرض قائمة بالمستخدمين الذين لديهم وصول مرتفع.

إزالة الوصول المرتفع للمستخدمين

إذا كان لديك مستخدمون لديهم وصول مرتفع، فيجب عليك اتخاذ إجراء فوري وإزالة هذا الوصول. لإزالة تعيينات الأدوار هذه، يجب أن يكون لديك أيضا وصول مرتفع. يصف هذا القسم كيفية إزالة الوصول المرتفع للمستخدمين في المستأجر باستخدام مدخل Microsoft Azure. يتم نشر هذه الإمكانية على مراحل، لذلك قد لا تكون متوفرة بعد في المستأجر الخاص بك.

1. سجّل الدخول إلى مدخل Azure كمسؤول عام.

2. استعرض للوصول إلى Microsoft Entra ID>>

3. ضمن إدارة الوصول لموارد Azure، قم بتعيين التبديل إلى نعم كما هو موضح سابقا في الخطوة 1: رفع مستوى الوصول لمسؤول عام.

4. حدد الارتباط Manage elevated access users.

   يظهر جزء Users with elevated access with a list of users with elevated access in your tenant.

   

5. لإزالة وصول مرتفع للمستخدمين، أضف علامة اختيار إلى جانب المستخدم وحدد إزالة.

عرض إدخالات سجل الوصول إلى الارتفاع

عند رفع الوصول أو إزالته، تتم إضافة إدخال إلى السجلات. كمسؤول في معرف Microsoft Entra، قد تحتاج إلى التحقق من وقت رفع مستوى الوصول ومن قام بذلك.

تظهر إدخالات سجل الوصول إلى الارتفاع في كل من سجلات تدقيق دليل Microsoft Entra وسجلات نشاط Azure. تتضمن إدخالات سجل الوصول المرتفعة لسجلات تدقيق الدليل وسجلات النشاط معلومات مماثلة. ومع ذلك، فإن سجلات تدقيق الدليل أسهل في التصفية والتصدير. أيضا، تمكنك إمكانية التصدير من دفق أحداث الوصول، والتي يمكن استخدامها لحلول التنبيه والكشف، مثل Microsoft Sentinel أو أنظمة أخرى. للحصول على معلومات حول كيفية إرسال السجلات إلى وجهات مختلفة، راجع تكوين إعدادات تشخيص Microsoft Entra لسجلات النشاط.

يصف هذا القسم الطرق المختلفة التي يمكنك من خلالها عرض إدخالات سجل الوصول إلى الارتفاع.

سجلات تدقيق Microsoft Entra

هام

رفع إدخالات سجل الوصول في سجلات تدقيق دليل Microsoft Entra قيد المعاينة حاليا. يتم توفير إصدار المعاينة هذا دون اتفاقية مستوى الخدمة، ولا يوصى به لأحمال العمل الخاصة بالإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

1. سجّل الدخول إلى مدخل Azure كمسؤول عام.

2. استعرض للوصول إلى Microsoft Entra.

3. في عامل تصفية الخدمة ، حدد Azure RBAC (الوصول المرتفع) ثم حدد تطبيق.

   يتم عرض سجلات الوصول المرتفعة.

   

4. لعرض التفاصيل عند رفع الوصول أو إزالته، حدد إدخالات سجل التدقيق هذه.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. لتنزيل وعرض حمولة إدخالات السجل بتنسيق JSON، حدد تنزيل وJSON.

   

سجلات نشاط Azure

عرض إدخالات سجل الوصول إلى الارتفاع باستخدام مدخل Microsoft Azure

1. سجّل الدخول إلى مدخل Azure كمسؤول عام.

2. استعرض للوصول إلى مراقبة>سجل النشاط.

3. تغيير قائمة النشاط إلى نشاط الدليل.

4. ابحث عن العملية التالية، والتي تشير إلى إجراء الوصول إلى الارتفاع.

   Assigns the caller to User Access Administrator role

   

عرض إدخالات سجل الوصول إلى الارتفاع باستخدام Azure CLI

1. استخدم الأمر az login لتسجيل الدخول كمسؤول عام.

2. استخدم الأمر az rest لإجراء الاستدعاء التالي حيث سيتعين عليك التصفية حسب تاريخ كما هو موضح مع مثال الطابع الزمني وتحديد اسم ملف حيث تريد تخزين السجلات.

   يستدعي url API لاسترداد السجلات في Microsoft.Insights. سيتم حفظ الإخراج في الملف الخاص بك.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. في ملف الإخراج، ابحث elevateAccessعن .

   سيشبه السجل ما يلي حيث يمكنك رؤية الطابع الزمني لوقت حدوث الإجراء ومن قام باستدعائه.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

تفويض الوصول إلى مجموعة لعرض إدخالات سجل الوصول إلى الارتفاع باستخدام Azure CLI

إذا كنت تريد أن تكون قادرا على الحصول بشكل دوري على إدخالات سجل الوصول إلى الارتفاع، يمكنك تفويض الوصول إلى مجموعة ثم استخدام Azure CLI.

1. استعرض للوصول إلى Microsoft Entra ID>Groups.

2. أنشئ مجموعة أمان جديدة ولاحظ معرف كائن المجموعة.

3. استخدم الأمر az login لتسجيل الدخول كمسؤول عام.

4. استخدم الأمر az role assignment create لتعيين دور Reader للمجموعة التي يمكنها فقط قراءة السجلات على مستوى المستأجر، والتي تم العثور عليها في Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. إضافة مستخدم سيقرأ السجلات إلى المجموعة التي تم إنشاؤها مسبقا.

يمكن للمستخدم في المجموعة الآن تشغيل الأمر az rest بشكل دوري لعرض إدخالات سجل الوصول إلى الارتفاع.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

الكشف عن أحداث الوصول إلى الارتفاع باستخدام Microsoft Sentinel

للكشف عن ارتفاع أحداث الوصول والحصول على رؤية للأنشطة التي يحتمل أن تكون احتيالية، يمكنك استخدام Microsoft Sentinel. Microsoft Sentinel هو نظام أساسي لإدارة معلومات الأمان والأحداث (SIEM) يوفر تحليلات الأمان وقدرات الاستجابة للتهديدات. يصف هذا القسم كيفية توصيل سجلات تدقيق Microsoft Entra ب Microsoft Sentinel بحيث يمكنك اكتشاف الوصول إلى مستوى عال في مؤسستك.

الخطوة 1: إلحاق Microsoft Sentinel

اتبع هذه الخطوات لإلحاق Microsoft Sentinel:

1. ابحث عن مساحة عمل Log Analytics موجودة أو أنشئ مساحة عمل جديدة.

   

2. أضف Microsoft Sentinel إلى مساحة العمل الخاصة بك.

الخطوة 2: توصيل بيانات Microsoft Entra ب Microsoft Sentinel

في هذه الخطوة، يمكنك تثبيت حل معرف Microsoft Entra واستخدام موصل معرف Microsoft Entra لجمع البيانات من معرف Microsoft Entra.

ربما تكون مؤسستك قد قامت بالفعل بتكوين إعداد تشخيص لدمج سجلات تدقيق Microsoft Entra. للتحقق، اعرض إعدادات التشخيص كما هو موضح في كيفية الوصول إلى إعدادات التشخيص.

1. قم بتثبيت حل معرف Microsoft Entra باتباع الخطوات الواردة في اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

   

2. استخدم موصل معرف Microsoft Entra لجمع البيانات من معرف Microsoft Entra باتباع الخطوات الواردة في توصيل بيانات Microsoft Entra ب Microsoft Sentinel.

3. في صفحة موصلات البيانات، أضف علامة اختيار لسجلات التدقيق.

   

الخطوة 3: إنشاء قاعدة وصول رفع

في هذه الخطوة، يمكنك إنشاء قاعدة تحليلات مجدولة استنادا إلى قالب لفحص سجلات تدقيق Microsoft Entra لرفع أحداث الوصول.

1. إنشاء قاعدة تحليلات الوصول إلى الارتفاع باتباع الخطوات الواردة في إنشاء قاعدة من قالب.

2. حدد قالب Azure RBAC (Elevate Access) ثم حدد الزر Create rule في جزء التفاصيل.

   إذا لم تشاهد جزء التفاصيل، فحدد أيقونة التوسيع على الحافة اليمنى.

   

3. في معالج قاعدة التحليلات، استخدم الإعدادات الافتراضية لإنشاء قاعدة مجدولة جديدة.

   

الخطوة 4: عرض حوادث رفع مستوى الوصول

في هذه الخطوة، يمكنك عرض أحداث الوصول إلى الارتفاع والتحقيق فيها.

• استخدم صفحة الحوادث لعرض حوادث رفع مستوى الوصول باتباع الخطوات الواردة في التنقل والتحقيق في الحوادث في Microsoft Sentinel.

  

الخطوات التالية

• فهم الأدوار المختلفة
• تعيين أدوار Azure باستخدام واجهة برمجة تطبيقات REST