Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu

Jako globální správce v Azure Active Directory (Azure AD) nemusíte mít přístup ke všem předplatným a skupinám pro správu ve vašem adresáři. Tento článek popisuje způsoby, jak zvýšit úroveň přístupu ke všem předplatným a skupinám pro správu.

Poznámka

Informace o zobrazení nebo odstranění osobních údajů najdete v tématu věnovaném žádostem subjektů údajů Azure podle GDPR. Další informace o GDPR najdete v části GDPR na webu Microsoft Trust Center a v části GDPR na portálu Service Trust Portal.

Proč byste měli potřebovat zvýšit úroveň svého přístupu?

Pokud jste globální správce, může se stát, že budete chtít provést následující akce:

  • Opětovné získání přístupu k předplatnému Azure nebo skupině pro správu, když uživatel ztratí přístup
  • udělit sobě nebo jinému uživateli přístup k předplatnému Azure nebo skupině pro správu,
  • Zobrazení všech předplatných Azure nebo skupin pro správu v organizaci
  • Povolit aplikaci automatizace (například aplikaci pro fakturaci nebo auditování) přístup ke všem předplatným Azure nebo skupinám pro správu

Jak funguje přístup se zvýšenými oprávněními?

Prostředky Azure AD a Azure jsou zabezpečené nezávisle na sobě. To znamená, že přiřazené role Azure AD ještě neudělují přístup k prostředkům Azure a přiřazené role Azure neudělují přístup k Azure AD. Pokud jste ale globální správce v Azure AD, můžete si přiřadit přístup ke všem předplatným Azure a skupinám pro správu ve vašem adresáři. Tuto možnost použijte, pokud nemáte přístup k prostředkům předplatného Azure, jako jsou virtuální počítače nebo účty úložiště a chcete k získání přístupu k těmto prostředkům použít oprávnění globálního správce.

Když zvýšíte úroveň přístupu, přiřadí se vám role Správce uživatelských přístupů v Azure v oboru kořenového adresáře (/). Tato role vám umožní zobrazovat všechny prostředky a přiřazovat přístup v libovolném předplatném nebo skupině pro správu v adresáři. K odebrání přiřazené role správce uživatelských přístupů můžete použít Azure PowerShell, Azure CLI nebo REST API.

Jakmile provedete potřebné změny na úrovni kořenového adresáře, měli byste zvýšená přístupová oprávnění odebrat.

Zvýšení úrovně přístupu

portál Azure

Zvýšení úrovně přístupu pro globálního správce

Pokud chcete zvýšit úroveň přístupu pro globálního správce pomocí Azure Portal, postupujte podle těchto kroků.

  1. Přihlaste se k webu Azure Portal nebo k centru pro správu Azure Active Directory jako globální správce.

    Pokud používáte Azure AD Privileged Identity Management, aktivujte přiřazení role Globální správce.

  2. Otevřete Azure Active Directory.

  3. V části Spravovat vyberte Vlastnosti.

    Vyberte Vlastnosti pro vlastnosti Azure Active Directory – snímek obrazovky

  4. V části Správa přístupu pro prostředky Azure nastavte přepínač na Ano.

    Správa přístupu k prostředkům Azure – snímek obrazovky

    Když nastavíte přepínač na Ano, přiřadí se vám role Správce uživatelských přístupů v Azure RBAC v kořenovém oboru (/). Tím získáte oprávnění k přiřazení rolí ve všech předplatných Azure a skupinách pro správu přidružených k tomuto Azure AD adresáři. Tento přepínač je dostupný jenom uživatelům, kteří mají v Azure AD přiřazenou roli globálního správce.

    Když přepínač nastavíte na Ne, odebere se z vašeho uživatelského účtu role Správce uživatelských přístupů v Azure RBAC. Už nemůžete přiřazovat role ve všech předplatných Azure a skupinách pro správu přidružených k tomuto adresáři Azure AD. Můžete zobrazit a spravovat pouze předplatná Azure a skupiny pro správu, ke kterým máte udělený přístup.

    Poznámka

    Pokud používáte Privileged Identity Management, deaktivace přiřazení role nezmění přepínač Správa přístupu k prostředkům Azure na Ne. Pokud chcete zachovat nejnižší privilegovaný přístup, doporučujeme, abyste tento přepínač před deaktivací přiřazení role nastavili na Ne .

  5. Kliknutím na Uložit uložte nastavení.

    Toto nastavení není globální vlastnost a vztahuje se pouze na aktuálně přihlášeného uživatele. Nemůžete zvýšit úroveň přístupu pro všechny členy role globálního správce.

  6. Odhlaste se a znovu se přihlaste, abyste obnovili přístup.

    Teď byste měli mít přístup ke všem předplatným a skupinám pro správu ve vašem adresáři. Při zobrazení podokna Řízení přístupu (IAM) si všimnete, že vám byla přiřazena role Správce uživatelských přístupů v kořenovém oboru.

    Přiřazení rolí předplatného s kořenovým oborem – snímek obrazovky

  7. Proveďte změny, které potřebujete provést při přístupu se zvýšenými oprávněními.

    Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí Azure Portal. Pokud používáte Privileged Identity Management, projděte si téma Zjišťování prostředků Azure pro správu nebo Přiřazení rolí prostředků Azure.

  8. Pomocí kroků v následující části odeberte přístup se zvýšenými oprávněními.

Odebrání přístupu se zvýšenými oprávněními

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů v kořenovém oboru (/), postupujte takto.

  1. Přihlaste se jako stejný uživatel, který byl použit ke zvýšení úrovně přístupu.

  2. V navigačním seznamu klikněte na Azure Active Directory a pak klikněte na Vlastnosti.

  3. Nastavte přepínač Správa přístupu pro prostředky Azure zpět na Ne. Vzhledem k tomu, že se jedná o nastavení pro jednotlivé uživatele, musíte být přihlášeni jako stejný uživatel, který byl použit ke zvýšení úrovně přístupu.

    Pokud se pokusíte odebrat přiřazení role Správce uživatelských přístupů v podokně Řízení přístupu (IAM), zobrazí se následující zpráva. Pokud chcete přiřazení role odebrat, musíte přepínač nastavit zpět na Ne nebo použít Azure PowerShell, Azure CLI nebo rozhraní REST API.

    Odebrání přiřazení rolí s kořenovým oborem

  4. Odhlaste se jako globální správce.

    Pokud používáte Privileged Identity Management, deaktivujte přiřazení role Globální správce.

    Poznámka

    Pokud používáte Privileged Identity Management, deaktivace přiřazení role nezmění přepínač Správa přístupu k prostředkům Azure na Ne. Pokud chcete zachovat nejnižší privilegovaný přístup, doporučujeme, abyste tento přepínač před deaktivací přiřazení role nastavili na Ne .

Azure PowerShell

Poznámka

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projděte téma Instalace Azure PowerShell. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Výpis přiřazení role v kořenovém oboru (/)

Pokud chcete zobrazit přiřazení role Správce uživatelských přístupů pro uživatele v kořenovém oboru (/), použijte příkaz Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Odebrání přístupu se zvýšenými oprávněními

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů pro sebe nebo jiného uživatele v kořenovém oboru (/), postupujte takto.

  1. Přihlaste se jako uživatel, který může odebrat přístup se zvýšenými oprávněními. Může to být stejný uživatel, který byl použit ke zvýšení úrovně přístupu, nebo jiný globální správce se zvýšeným přístupem v kořenovém oboru.

  2. Pomocí příkazu Remove-AzRoleAssignment odeberte přiřazení role Správce uživatelských přístupů.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Azure CLI

Zvýšení úrovně přístupu pro globálního správce

Pomocí následujících základních kroků můžete zvýšit úroveň přístupu pro globálního správce pomocí Azure CLI.

  1. Pomocí příkazu az rest zavolejte elevateAccess koncový bod, který vám udělí roli Správce uživatelských přístupů v oboru kořene (/).

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Proveďte změny, které potřebujete provést při přístupu se zvýšenými oprávněními.

    Informace o přiřazování rolí najdete v tématu Přiřazování rolí Azure pomocí Azure CLI.

  3. Provedením kroků v pozdější části odeberte přístup se zvýšenými oprávněními.

Výpis přiřazení role v kořenovém oboru (/)

Pokud chcete vypsat přiřazení role Správce uživatelských přístupů pro uživatele v kořenovém oboru (/), použijte příkaz az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Odebrání přístupu se zvýšenými oprávněními

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů pro sebe nebo jiného uživatele v kořenovém oboru (/), postupujte takto.

  1. Přihlaste se jako uživatel, který může odebrat přístup se zvýšenými oprávněními. Může to být stejný uživatel, který byl použit ke zvýšení úrovně přístupu, nebo jiný globální správce se zvýšeným přístupem v kořenovém oboru.

  2. Pomocí příkazu az role assignment delete odeberte přiřazení role Správce uživatelských přístupů.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

REST API

Požadavky

Musíte použít následující verze:

  • 2015-07-01 nebo později, pokud chcete vypsat a odebrat přiřazení rolí
  • 2016-07-01 nebo novější, pokud chcete zvýšit úroveň přístupu
  • 2018-07-01-preview nebo později, pokud chcete zobrazit seznam přiřazení zamítnutí

Další informace najdete v tématu Verze rozhraní API azure RBAC REST API.

Zvýšení úrovně přístupu pro globálního správce

Pomocí následujících základních kroků můžete zvýšit úroveň přístupu pro globálního správce pomocí rozhraní REST API.

  1. Pomocí příkazu REST zavolejte elevateAccess, který vám udělí roli Správce uživatelských přístupů v kořenovém oboru (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Proveďte změny, které potřebujete provést při přístupu se zvýšenými oprávněními.

    Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí rozhraní REST API.

  3. Provedením kroků v pozdější části odeberte přístup se zvýšenými oprávněními.

Výpis přiřazení rolí v kořenovém oboru (/)

Můžete zobrazit seznam všech přiřazení rolí pro uživatele v kořenovém oboru (/).

  • Volání přiřazení rolí – seznam pro obor , kde {objectIdOfUser} je ID objektu uživatele, jehož přiřazení rolí chcete načíst.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Výpis přiřazení zamítnutí v kořenovém oboru (/)

Všechna přiřazení zamítnutí pro uživatele můžete zobrazit v kořenovém oboru (/).

  • Volání GET denyAssignments, kde {objectIdOfUser} je ID objektu uživatele, jehož přiřazení zamítnutí chcete načíst.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Odebrání přístupu se zvýšenými oprávněními

Když zavoláte elevateAccess, vytvoříte pro sebe přiřazení role, takže pokud chcete tato oprávnění odvolat, musíte odebrat přiřazení role Správce uživatelských přístupů pro sebe v kořenovém oboru (/).

  1. Volejte definice rolí – Získejte , kde roleName se rovná správci uživatelských přístupů, abyste zjistili ID jména role Správce uživatelských přístupů.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Uložte ID z parametru name , v tomto případě 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. Musíte také uvést přiřazení role pro správce adresáře v oboru adresáře. Vypište všechna přiřazení v oboru adresáře pro principalId správce adresáře, který provedl zvýšené volání přístupu. Zobrazí se seznam všech přiřazení v adresáři pro objectid.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
    

    Poznámka

    Správce adresáře by neměl mít mnoho přiřazení. Pokud předchozí dotaz vrátí příliš mnoho přiřazení, můžete se také dotazovat na všechna přiřazení jen na úrovni oboru adresáře a potom filtrovat výsledky: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

  3. Předchozí volání vrátí seznam přiřazení rolí. Vyhledejte přiřazení role, ve které je "/" obor, a roleDefinitionId končí ID názvu role, které jste našli v kroku 1, a principalId odpovídá id objektu správce adresáře.

    Ukázkové přiřazení role:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Znovu uložte ID z parametru name , v tomto případě 11111111-1111-1111-1111-11111-1111111111.

  4. Nakonec pomocí ID přiřazení role odeberte přiřazení přidané uživatelem elevateAccess:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
    

Zobrazení protokolů přístupu se zvýšenými oprávněními

Když je přístup zvýšený, přidá se do protokolů položka. Jako globální správce v Azure AD můžete chtít zkontrolovat, kdy byl přístup zvýšen a kdo ho provedl. Položky protokolu zvýšení oprávnění přístupu se nezobrazují ve standardních protokolech aktivit, ale místo toho se zobrazují v protokolech aktivit adresáře. Tato část popisuje různé způsoby zobrazení protokolů zvýšení úrovně přístupu.

Zobrazení protokolů zvýšení úrovně přístupu pomocí Azure Portal

  1. Pokud chcete zvýšit úroveň přístupu, postupujte podle kroků uvedených výše v tomto článku.

  2. Přihlaste se k Azure Portal jako globální správce.

  3. Otevřeteprotokol aktivitmonitorování>.

  4. Změňte seznam Aktivita na Aktivita adresáře.

  5. Vyhledejte následující operaci, která označuje akci zvýšení úrovně přístupu.

    Assigns the caller to User Access Administrator role

    Snímek obrazovky zobrazující protokoly aktivit adresáře ve službě Monitor

  6. Pokud chcete odebrat přístup se zvýšenými oprávněními, postupujte podle kroků uvedených výše v tomto článku.

Zobrazení protokolů zvýšené úrovně přístupu pomocí Azure CLI

  1. Pokud chcete zvýšit úroveň přístupu, postupujte podle kroků uvedených výše v tomto článku.

  2. Pomocí příkazu az login se přihlaste jako globální správce.

  3. Pomocí příkazu az rest proveďte následující volání, ve kterém budete muset filtrovat podle data, jak je znázorněno s ukázkovým časovým razítkem, a zadat název souboru, do kterého chcete protokoly uložit.

    Volání url rozhraní API pro načtení protokolů v Microsoft.Insights Výstup se uloží do souboru.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
    
  4. Ve výstupním souboru vyhledejte elevateAccess.

    Protokol se bude podobat následujícímu, kde uvidíte časové razítko, kdy k akci došlo a kdo ji volal.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
      "subscriptionId": "",
      "tenantId": "33333333-3333-3333-3333-333333333333"
    },
    {
      "authorization": {
        "action": "Microsoft.Authorization/elevateAccess/action",
        "scope": "/providers/Microsoft.Authorization"
      },
      "caller": "user@example.com",
      "category": {
        "localizedValue": "Administrative",
        "value": "Administrative"
      },
    
  5. Pokud chcete odebrat přístup se zvýšenými oprávněními, postupujte podle kroků uvedených výše v tomto článku.

Delegování přístupu ke skupině za účelem zobrazení protokolů zvýšení úrovně přístupu pomocí Azure CLI

Pokud chcete mít možnost pravidelně získávat protokoly zvýšeného přístupu, můžete delegovat přístup ke skupině a pak použít Azure CLI.

  1. OtevřeteskupinyAzure Active Directory>.

  2. Vytvořte novou skupinu zabezpečení a poznamenejte si ID objektu skupiny.

  3. Pokud chcete zvýšit úroveň přístupu, postupujte podle kroků uvedených výše v tomto článku.

  4. Pomocí příkazu az login se přihlaste jako globální správce.

  5. Pomocí příkazu az role assignment create přiřaďte roli Čtenář skupině, která může číst jenom protokoly na úrovni adresáře, které se nacházejí na adrese Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
    
  6. Přidejte uživatele, který bude číst protokoly do dříve vytvořené skupiny.

  7. Pokud chcete odebrat přístup se zvýšenými oprávněními, postupujte podle kroků uvedených výše v tomto článku.

Uživatel ve skupině teď může pravidelně spouštět příkaz az rest a zobrazovat protokoly přístupu se zvýšenými oprávněními.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Další kroky