رفع مستوى الوصول لإدارة جميع اشتراكات Azure ومجموعات الإدارة

بصفتك مسؤول istrator عموميا في معرف Microsoft Entra، قد لا يكون لديك حق الوصول إلى جميع الاشتراكات ومجموعات الإدارة في دليلك. توضح هذه المقالة الطرق التي يمكنك من خلالها رفع مستوى وصولك إلى جميع الاشتراكات ومجموعات الإدارة.

إشعار

للحصول على معلومات حول عرض البيانات الشخصية أو حذفها، راجع طلبات موضوع بيانات Azure للقانون العام لحماية البيانات (GDPR). لمزيد من المعلومات حول القانون العام لحماية البيانات (GDPR)، راجع قسم القانون العام لحماية البيانات (GDPR) في مركز توثيق Microsoft وقسم القانون العام لحماية البيانات (GDPR) لمدخل Service Trust.

لماذا تحتاج إلى رفع مستوى وصولك؟

إذا كنت مسؤول istrator عموميا، فقد ترغب في بعض الأحيان في تنفيذ الإجراءات التالية:

• استعادة الوصول إلى اشتراك Azure أو مجموعة إدارة عندما يفقد المستخدم الوصول
• منح مستخدم آخر أو نفسك حق الوصول إلى اشتراك Azure أو مجموعة إدارة
• راجع جميع اشتراكات Azure أو مجموعات الإدارة في مؤسسة
• السماح لتطبيق التنفيذ التلقائي (مثل تطبيق الفوترة أو التدقيق) بالوصول إلى جميع اشتراكات Azure أو مجموعات الإدارة

كيف يعمل الوصول المرتفع؟

يتم تأمين معرف Microsoft Entra وموارد Azure بشكل مستقل عن بعضها البعض. أي أن تعيينات دور Microsoft Entra لا تمنح حق الوصول إلى موارد Azure، ولا تمنح تعيينات أدوار Azure حق الوصول إلى معرف Microsoft Entra. ومع ذلك، إذا كنت مسؤول istrator عموميا في معرف Microsoft Entra، يمكنك تعيين حق الوصول إلى جميع اشتراكات Azure ومجموعات الإدارة في دليلك. استخدم هذه الإمكانية إذا لم يكن لديك حق الوصول إلى موارد اشتراك Azure، مثل الأجهزة الظاهرية أو حسابات التخزين، وتريد استخدام امتياز مسؤول istrator العمومي للوصول إلى هذه الموارد.

عند رفع مستوى وصولك، سيتم تعيين دور المستخدم Access مسؤول istrator في Azure في نطاق الجذر (/). يتيح لك ذلك عرض جميع الموارد وتعيين الوصول في أي اشتراك أو مجموعة إدارة في الدليل. يمكن إزالة تعيينات دور مسؤول وصول المستخدم باستخدام Azure PowerShell أو Azure CLI أو REST API.

يجب عليك إلغاء هذا الوصول المرتفع بمجرد إجراء التغييرات التي تحتاج إلى إجرائها في نطاق الجذر.

تنفيذ الخطوات في نطاق الجذر

مدخل Microsoft Azure

الخطوة 1: رفع مستوى الوصول إلى مسؤول istrator العمومي

اتبع هذه الخطوات لرفع الوصول لمسؤول عام باستخدام مدخل Azure.

1. سجّل الدخول إلى مدخل Azure كمسؤول عام.

   إذا كنت تستخدم Microsoft Entra إدارة الهويات المتميزة، فنشط تعيين دور مسؤول istrator العمومي.

2. افتح معرف Microsoft Entra.

3. تحت إدارة، حدد الخصائص.

   

4. ضمن Access management for Azure resources، عين زر التبديل إلى Yes.

   

   عند تعيين التبديل إلى نعم، يتم تعيين دور المستخدم Access مسؤول istrator في Azure RBAC في نطاق الجذر (/). يمنحك هذا الإذن لتعيين الأدوار في جميع اشتراكات Azure ومجموعات الإدارة المقترنة بدليل Microsoft Entra هذا. يتوفر هذا التبديل فقط للمستخدمين الذين تم تعيين دور مسؤول istrator العمومي في Microsoft Entra ID.

   عند تعيين التبديل إلى لا، تتم إزالة دور المستخدم Access مسؤول istrator في Azure RBAC من حساب المستخدم الخاص بك. لم يعد بإمكانك تعيين أدوار في جميع اشتراكات Azure ومجموعات الإدارة المقترنة بدليل Microsoft Entra هذا. يمكنك عرض وإدارة اشتراكات Azure ومجموعات الإدارة فقط التي مُنِحت حق الوصول إليها.

   إشعار

   إذا كنت تستخدم إدارة الهويات المتميزة، فلن يؤدي إلغاء تنشيط تعيين الدور إلى تغيير تبديل إدارة الوصول لموارد Azure إلى لا. للحفاظ على الوصول الأقل امتيازا، نوصي بتعيين هذا التبديل إلى لا قبل إلغاء تنشيط تعيين الدور.

5. انقر على Save لحفظ إعداداتك.

   هذا الإعداد ليس خاصية عمومية ولا ينطبق إلا على المستخدم الذي سجل الدخول حالياً. لا يمكنك رفع مستوى الوصول لكافة أعضاء دور المسؤول العام.

6. تسجيل الخروج وإعادة تسجيل الدخول لتحديث وصولك.

   يجب أن يكون لديك الآن حق الوصول إلى جميع الاشتراكات ومجموعات الإدارة في دليلك. عند عرض جزء التحكم بالوصول (IAM)، ستلاحظ أنه قد عُين دور مسؤول وصول المستخدم في نطاق الجذر.

   

7. باشر بإجراء التغييرات التي تريد إجراؤها عند الوصول المرتفع.

   للحصول على معلومات حول تعيين الأدوار، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure. إذا كنت تستخدم إدارة الهويات المتميزة، فشاهد اكتشاف موارد Azure لإدارة أدوار موارد Azure أو تعيينها.

8. نفذ الخطوات الواردة في القسم التالي لإزالة الوصول المرتفع.

الخطوة 2: إزالة الوصول المرتفع

لإزالة تعيين دور المستخدم Access مسؤول istrator في النطاق الجذر (/)، اتبع الخطوات التالية.

1. بادر بتسجيل الدخول باعتبارك نفس المستخدم الذي اُستخدِم لرفع مستوى الوصول.

2. في قائمة التنقل، انقر فوق معرف Microsoft Entra ثم انقر فوق خصائص.

3. عين زر تبديل Access management for Azure resources، مرةً أخرى إلى No. نظراً لأن هذا إعداد لكل مستخدم، يجب أن تسجل الدخول باعتبارك نفس المستخدم الذي اُستخدِم لرفع مستوى الوصول.

   إذا حاولت إزالة تعيين دور مسؤول وصول المستخدم في جزء التحكم بالوصول (IAM)، فسترى الرسالة التالية. لإزالة تعيين الدور، يجب تعيين زر التبديل مرةً أخرى إلى No أو استخدم Azure PowerShell أو Azure CLI أو واجهة برمجة تطبيقات REST.

   

4. تسجيل الخروج بصفة مسؤول عام.

   إذا كنت تستخدم إدارة الهويات المتميزة، فإلغاء تنشيط تعيين دور مسؤول istrator العمومي.

   إشعار

   إذا كنت تستخدم إدارة الهويات المتميزة، فلن يؤدي إلغاء تنشيط تعيين الدور إلى تغيير تبديل إدارة الوصول لموارد Azure إلى لا. للحفاظ على الوصول الأقل امتيازا، نوصي بتعيين هذا التبديل إلى لا قبل إلغاء تنشيط تعيين الدور.

بوويرشيل

الخطوة 1: رفع مستوى الوصول إلى مسؤول istrator العمومي

استخدم مدخل Microsoft Azure أو واجهة برمجة تطبيقات REST لرفع مستوى الوصول إلى مسؤول istrator العمومي.

الخطوة 2: سرد تعيين الدور في نطاق الجذر (/)

بمجرد حصولك على وصول مرتفع، لسرد تعيين دور المستخدم مسؤول istrator لمستخدم في نطاق الجذر (/)، استخدم الأمر Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

الخطوة 3: إزالة الوصول المرتفع

لإزالة تعيين دور المستخدم Access مسؤول istrator لنفسك أو لمستخدم آخر في نطاق الجذر (/)، اتبع هذه الخطوات.

1. سجل الدخول كمستخدم يمكنه إزالة الوصول المرتفع. يمكن أن يكون هذا هو نفس المستخدم الذي تم استخدامه لرفع مستوى الوصول أو مسؤول istrator عمومي آخر مع وصول مرتفع في نطاق الجذر.

2. استخدم الأمر Remove-AzRoleAssignment لإزالة تعيين دور المستخدم Access مسؤول istrator.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

الخطوة 1: رفع مستوى الوصول إلى مسؤول istrator العمومي

استخدم الخطوات الأساسية التالية لرفع مستوى الوصول إلى مسؤول istrator عمومي باستخدام Azure CLI.

1. استخدم الأمر az rest لاستدعاء elevateAccess نقطة النهاية، والتي تمنحك دور المستخدم Access مسؤول istrator في نطاق الجذر (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. باشر بإجراء التغييرات التي تريد إجراؤها عند الوصول المرتفع.

   للحصول على معلومات حول تعيين الأدوار، راجع تعيين أدوار Azure باستخدام Azure CLI.

3. قم بتنفيذ الخطوات في قسم لاحق لإزالة الوصول المرتفع.

الخطوة 2: سرد تعيين الدور في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، لسرد تعيين دور المستخدم مسؤول istrator لمستخدم في نطاق الجذر (/)، استخدم الأمر az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

الخطوة 3: إزالة الوصول المرتفع

لإزالة تعيين دور المستخدم Access مسؤول istrator لنفسك أو لمستخدم آخر في نطاق الجذر (/)، اتبع هذه الخطوات.

1. سجل الدخول كمستخدم يمكنه إزالة الوصول المرتفع. يمكن أن يكون هذا هو نفس المستخدم الذي تم استخدامه لرفع مستوى الوصول أو مسؤول istrator عمومي آخر مع وصول مرتفع في نطاق الجذر.

2. استخدم الأمر az role assignment delete لإزالة تعيين دور المستخدم Access مسؤول istrator.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

واجهة برمجة التطبيقات REST

المتطلبات الأساسية

يجب استخدام الإصدارات التالية:

• 2015-07-01 أو لاحقا لسرد تعيينات الأدوار وإزالتها
• 2016-07-01 أو لاحقا لرفع مستوى الوصول
• 2018-07-01-preview أو في وقت لاحق لسرد رفض التعيينات

لمزيد من المعلومات، راجع إصدارات واجهة برمجة التطبيقات من واجهات برمجة تطبيقات AZURE RBAC REST.

الخطوة 1: رفع مستوى الوصول إلى مسؤول istrator العمومي

استخدم الخطوات الأساسية التالية لرفع مستوى الوصول إلى مسؤول istrator عمومي باستخدام واجهة برمجة تطبيقات REST.

1. باستخدام REST، استدع elevateAccess، الذي يمنحك دور المستخدم Access مسؤول istrator في نطاق الجذر (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. باشر بإجراء التغييرات التي تريد إجراؤها عند الوصول المرتفع.

   للحصول على معلومات حول تعيين الأدوار، راجع تعيين أدوار Azure باستخدام واجهة برمجة تطبيقات REST.

3. قم بتنفيذ الخطوات في قسم لاحق لإزالة الوصول المرتفع.

الخطوة 2: سرد تعيينات الأدوار في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، يمكنك سرد جميع تعيينات الأدوار لمستخدم في نطاق الجذر (/).

• استدعاء تعيينات الدور - قائمة للنطاق حيث {objectIdOfUser} هو معرف الكائن للمستخدم الذي تريد استرداد تعيينات الأدوار الخاصة به.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

الخطوة 3: سرد تعيينات الرفض في نطاق الجذر (/)

بمجرد أن يكون لديك وصول مرتفع، يمكنك سرد جميع تعيينات الرفض لمستخدم في نطاق الجذر (/).

• استدعاء رفض التعيينات - قائمة للنطاق حيث {objectIdOfUser} هو معرف الكائن للمستخدم الذي تريد استرداد تعيينات الرفض الخاصة به.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

الخطوة 4: إزالة الوصول المرتفع

عند استدعاء elevateAccess، يمكنك إنشاء تعيين دور لنفسك، لذلك لإبطال هذه الامتيازات تحتاج إلى إزالة تعيين دور المستخدم Access مسؤول istrator لنفسك في نطاق الجذر (/).

1. استدعاء تعريفات الدور - احصل على المكان الذي roleName يساوي وصول المستخدم مسؤول istrator لتحديد معرف اسم دور المستخدم Access مسؤول istrator.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   احفظ المعرف من المعلمة name ، في هذه الحالة 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. تحتاج أيضا إلى سرد تعيين الدور لمسؤول الدليل في نطاق الدليل. سرد كافة التعيينات في نطاق الدليل لمسؤول principalId الدليل الذي أجرى استدعاء الوصول إلى الارتفاع. سيؤدي ذلك إلى سرد كافة التعيينات في الدليل ل objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   إشعار

   يجب ألا يكون لدى مسؤول الدليل العديد من التعيينات، إذا كان الاستعلام السابق يرجع عددا كبيرا جدا من التعيينات، يمكنك أيضا الاستعلام عن جميع التعيينات فقط على مستوى نطاق الدليل، ثم تصفية النتائج: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. ترجع المكالمات السابقة قائمة بتعيينات الأدوار. ابحث عن تعيين الدور حيث يكون "/" النطاق وينتهي roleDefinitionId بمعرف اسم الدور الذي عثرت عليه في الخطوة 1 ويطابق principalId objectId لمسؤول الدليل.

   عينة تعيين الدور:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   مرة أخرى، احفظ المعرف من المعلمة name ، في هذه الحالة 11111111-1111-1111-1111-11111111111111.

4. وأخيرا، استخدم معرف تعيين الدور لإزالة التعيين الذي تمت إضافته بواسطة elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

عرض إدخالات سجل الوصول إلى الارتفاع في سجلات نشاط الدليل

عند رفع الوصول، تتم إضافة إدخال إلى السجلات. بصفتك مسؤول istrator عموميا في معرف Microsoft Entra، قد تحتاج إلى التحقق من وقت رفع مستوى الوصول ومن قام بذلك. لا تظهر إدخالات سجل الوصول إلى الارتفاع في سجلات النشاط القياسية، ولكنها تظهر بدلا من ذلك في سجلات نشاط الدليل. يصف هذا القسم الطرق المختلفة التي يمكنك من خلالها عرض إدخالات سجل الوصول إلى الارتفاع.

عرض إدخالات سجل الوصول إلى الارتفاع باستخدام مدخل Microsoft Azure

1. سجّل الدخول إلى مدخل Azure كمسؤول عام.

2. افتح سجل نشاط المراقبة>.

3. تغيير قائمة النشاط إلى نشاط الدليل.

4. ابحث عن العملية التالية، والتي تشير إلى إجراء الوصول إلى الارتفاع.

   Assigns the caller to User Access Administrator role

   

عرض إدخالات سجل الوصول إلى الارتفاع باستخدام Azure CLI

1. استخدم الأمر az login لتسجيل الدخول ك Global مسؤول istrator.

2. استخدم الأمر az rest لإجراء الاستدعاء التالي حيث سيتعين عليك التصفية حسب تاريخ كما هو موضح مع مثال الطابع الزمني وتحديد اسم ملف حيث تريد تخزين السجلات.

   يستدعي url API لاسترداد السجلات في Microsoft.Insights. سيتم حفظ الإخراج في الملف الخاص بك.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. في ملف الإخراج، ابحث elevateAccessعن .

   سيشبه السجل ما يلي حيث يمكنك رؤية الطابع الزمني لوقت حدوث الإجراء ومن قام باستدعائه.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

تفويض الوصول إلى مجموعة لعرض إدخالات سجل الوصول إلى الارتفاع باستخدام Azure CLI

إذا كنت تريد أن تكون قادرا على الحصول بشكل دوري على إدخالات سجل الوصول إلى الارتفاع، يمكنك تفويض الوصول إلى مجموعة ثم استخدام Azure CLI.

1. افتح Microsoft Entra ID>Groups.

2. أنشئ مجموعة أمان جديدة ولاحظ معرف كائن المجموعة.

3. استخدم الأمر az login لتسجيل الدخول ك Global مسؤول istrator.

4. استخدم الأمر az role assignment create لتعيين دور Reader للمجموعة التي يمكنها قراءة السجلات فقط على مستوى الدليل، والتي تم العثور عليها في Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. إضافة مستخدم سيقرأ السجلات إلى المجموعة التي تم إنشاؤها مسبقا.

يمكن للمستخدم في المجموعة الآن تشغيل الأمر az rest بشكل دوري لعرض إدخالات سجل الوصول إلى الارتفاع.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

الخطوات التالية

• فهم الأدوار المختلفة
• تعيين أدوار Azure باستخدام واجهة برمجة تطبيقات REST