Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu

Jako globální správce v Microsoft Entra ID nemusíte mít přístup ke všem předplatným a skupinám pro správu ve vašem adresáři. Tento článek popisuje způsoby, jak zvýšit úroveň přístupu ke všem předplatným a skupinám pro správu.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v tématu Obecné žádosti subjektů údajů o GDPR, žádosti subjektů údajů Azure o GDPR nebo žádosti subjektů údajů o gdpr ve Windows v závislosti na vaší konkrétní oblasti a potřebách. Další informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.

Proč byste měli potřebovat zvýšit úroveň svého přístupu?

Pokud jste globální správce, může docházet k následujícím akcím:

• Opětovné získání přístupu k předplatnému Nebo skupině pro správu Azure, když uživatel ztratil přístup
• udělit sobě nebo jinému uživateli přístup k předplatnému Azure nebo skupině pro správu,
• Zobrazení všech předplatných Nebo skupin pro správu Azure v organizaci
• Povolení přístupu ke všem předplatným Nebo skupinám pro správu Azure (například aplikace pro fakturaci nebo auditování)

Jak funguje přístup se zvýšenými oprávněními?

Prostředky Microsoft Entra ID a Azure jsou zabezpečené nezávisle na sobě. To znamená, že přiřazené role Microsoft Entra ještě neudělují přístup k prostředkům Azure a přiřazené role Azure neudělují přístup k Microsoft Entra ID. Pokud ale jste globální správce v Microsoft Entra ID, můžete si sami přiřadit přístup ke všem předplatným a skupinám pro správu Azure v adresáři. Tuto možnost použijte, pokud nemáte přístup k prostředkům předplatného Azure, jako jsou virtuální počítače nebo účty úložiště a chcete k získání přístupu k těmto prostředkům použít oprávnění globálního správce.

Když zvýšíte úroveň přístupu, přiřadí se vám role Správce uživatelských přístupů v Azure v kořenovém oboru (/). Tato role vám umožní zobrazovat všechny prostředky a přiřazovat přístup v libovolném předplatném nebo skupině pro správu v adresáři. K odebrání přiřazené role správce uživatelských přístupů můžete použít Azure PowerShell, Azure CLI nebo REST API.

Jakmile provedete potřebné změny na úrovni kořenového adresáře, měli byste zvýšená přístupová oprávnění odebrat.

Provedení kroků v kořenovém oboru

Azure Portal

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pokud chcete zvýšit úroveň přístupu globálního správce pomocí webu Azure Portal, postupujte takto.

1. Přihlaste se k webu Azure Portal jako globální správce.

   Pokud používáte Microsoft Entra Privileged Identity Management, aktivujte přiřazení role globálního správce.

2. Otevřete Microsoft Entra ID.

3. V části Spravovat vyberte Vlastnosti.

   

4. V části Správa přístupu pro prostředky Azure nastavte přepínač na Ano.

   

   Když nastavíte přepínač na Ano, přiřadíte roli Správce uživatelských přístupů v Azure RBAC v kořenovém oboru (/). To vám udělí oprávnění přiřazovat role ve všech předplatných Azure a skupinách pro správu přidružených k tomuto adresáři Microsoft Entra. Tento přepínač je k dispozici pouze uživatelům, kteří mají přiřazenou roli globálního správce v MICROSOFT Entra ID.

   Když nastavíte přepínač na Ne, role Správce uživatelských přístupů v Azure RBAC se odebere z vašeho uživatelského účtu. Už nemůžete přiřazovat role ve všech předplatných Azure a skupinách pro správu přidružených k tomuto adresáři Microsoft Entra. Můžete zobrazit a spravovat jenom předplatná Azure a skupiny pro správu, ke kterým máte udělený přístup.

   Poznámka:

   Pokud používáte Privileged Identity Management, deaktivace přiřazení role nezmění přepnutí správy přístupu pro prostředky Azure na Ne. Pokud chcete zachovat nejméně privilegovaný přístup, doporučujeme, abyste tento přepínač před deaktivací přiřazení role nastavili na Ne .

5. Kliknutím na Uložit uložte nastavení.

   Toto nastavení není globální vlastností a vztahuje se pouze na aktuálně přihlášeného uživatele. Přístup nelze zvýšit pro všechny členy role globálního správce.

6. Odhlaste se a znovu se přihlaste, abyste aktualizovali přístup.

   Teď byste měli mít přístup ke všem předplatným a skupinám pro správu ve vašem adresáři. Když zobrazíte podokno Řízení přístupu (IAM), všimnete si, že máte přiřazenou roli Správce uživatelských přístupů v kořenovém oboru.

   

7. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

   Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal. Pokud používáte Privileged Identity Management, přečtěte si téma Zjišťování prostředků Azure pro správu nebo přiřazení rolí prostředků Azure.

8. Provedením kroků v následující části odeberte přístup se zvýšenými oprávněními.

Krok 2: Odebrání zvýšeného přístupu

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů v kořenovém oboru (/), postupujte takto.

1. Přihlaste se jako stejný uživatel, který byl použit ke zvýšení úrovně přístupu.

2. V navigačním seznamu klepněte na tlačítko Microsoft Entra ID a potom klepněte na příkaz Vlastnosti.

3. Nastavte správu přístupu pro prostředky Azure zpět na Ne. Vzhledem k tomu, že se jedná o nastavení pro jednotlivé uživatele, musíte být přihlášeni jako stejný uživatel, jako byl použit ke zvýšení úrovně přístupu.

   Pokud se pokusíte odebrat přiřazení role Správce uživatelských přístupů v podokně Řízení přístupu (IAM), zobrazí se následující zpráva. Pokud chcete přiřazení role odebrat, musíte přepínač nastavit zpět na Ne nebo použít Azure PowerShell, Azure CLI nebo rozhraní REST API.

   

4. Odhlaste se jako globální správce.

   Pokud používáte Privileged Identity Management, deaktivujte přiřazení role globálního správce.

   Poznámka:

   Pokud používáte Privileged Identity Management, deaktivace přiřazení role nezmění přepnutí správy přístupu pro prostředky Azure na Ne. Pokud chcete zachovat nejméně privilegovaný přístup, doporučujeme, abyste tento přepínač před deaktivací přiřazení role nastavili na Ne .

PowerShell

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pomocí webu Azure Portal nebo rozhraní REST API můžete zvýšit úroveň přístupu pro globálního správce.

Krok 2: Výpis přiřazení role v kořenovém oboru (/)

Jakmile budete mít přístup se zvýšenými oprávněními, vypíšete přiřazení role Správce uživatelských přístupů pro uživatele v kořenovém oboru (/), použijte příkaz Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Krok 3: Odebrání zvýšeného přístupu

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů pro sebe nebo jiného uživatele v kořenovém oboru (/), postupujte takto.

1. Přihlaste se jako uživatel, který může odebrat přístup se zvýšenými oprávněními. Může to být stejný uživatel, který byl použit ke zvýšení úrovně přístupu nebo jinému globálnímu správci se zvýšeným přístupem v kořenovém oboru.

2. Pomocí příkazu Remove-AzRoleAssignment odeberte přiřazení role Správce uživatelských přístupů.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pomocí následujících základních kroků můžete zvýšit přístup globálního správce pomocí Azure CLI.

1. Pomocí příkazu az rest zavolejte elevateAccess koncový bod, který vám udělí roli Správce uživatelských přístupů v kořenovém oboru (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

   Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí Azure CLI.

3. Provedením kroků v další části odeberte přístup se zvýšenými oprávněními.

Krok 2: Výpis přiřazení role v kořenovém oboru (/)

Jakmile budete mít přístup se zvýšenými oprávněními, vypíšete přiřazení role Správce uživatelských přístupů pro uživatele v kořenovém oboru (/), použijte příkaz az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Krok 3: Odebrání zvýšeného přístupu

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů pro sebe nebo jiného uživatele v kořenovém oboru (/), postupujte takto.

1. Přihlaste se jako uživatel, který může odebrat přístup se zvýšenými oprávněními. Může to být stejný uživatel, který byl použit ke zvýšení úrovně přístupu nebo jinému globálnímu správci se zvýšeným přístupem v kořenovém oboru.

2. Pomocí příkazu az role assignment delete odeberte přiřazení role Správce uživatelských přístupů.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Požadavky

Musíte použít následující verze:

• 2015-07-01 nebo novější k výpisu a odebrání přiřazení rolí
• 2016-07-01 nebo novější pro zvýšení úrovně přístupu
• 2018-07-01-preview nebo novější, pokud chcete vypsat přiřazení zamítnutí

Další informace najdete v tématu Verze rozhraní API Azure RBAC REST API.

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pomocí následujících základních kroků můžete zvýšit přístup globálního správce pomocí rozhraní REST API.

1. Volání REST, elevateAccesskteré vám udělí roli Správce uživatelských přístupů v kořenovém oboru (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

   Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí rozhraní REST API.

3. Provedením kroků v další části odeberte přístup se zvýšenými oprávněními.

Krok 2: Výpis přiřazení rolí v kořenovém oboru (/)

Jakmile budete mít přístup se zvýšenými oprávněními, můžete zobrazit seznam všech přiřazení rolí pro uživatele v kořenovém oboru (/).

• Přiřazení rolí volání – seznam pro obor , kde {objectIdOfUser} je ID objektu uživatele, jehož přiřazení rolí chcete načíst.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Krok 3: Výpis přiřazení zamítnutí v kořenovém oboru (/)

Jakmile budete mít zvýšený přístup, můžete zobrazit seznam všech přiřazení zamítnutí pro uživatele v kořenovém oboru (/).

• Přiřazení zamítnutí volání – seznam pro obor , kde {objectIdOfUser} je ID objektu uživatele, jehož přiřazení zamítnutí chcete načíst.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Krok 4: Odebrání zvýšeného přístupu

Při volání elevateAccessvytvoříte přiřazení role pro sebe, takže pokud chcete tato oprávnění odvolat, musíte odebrat přiřazení role Správce uživatelských přístupů pro sebe v kořenovém oboru (/).

1. Definice rolí volání – Získejte , kde roleName se rovná správci uživatelských přístupů k určení ID jména role Správce uživatelských přístupů.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Uložte ID z parametru name v tomto případě 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Musíte také uvést přiřazení role pro správce adresáře v oboru adresáře. Uveďte všechna přiřazení v oboru adresáře pro principalId správce adresáře, který provedl volání přístupu se zvýšeným oprávněním. Zobrazí se seznam všech přiřazení v adresáři pro id objektu.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Poznámka:

   Pokud předchozí dotaz vrátí příliš mnoho přiřazení, správce adresáře by neměl mít mnoho přiřazení, můžete také zadat dotaz na všechna přiřazení na úrovni oboru adresáře a pak filtrovat výsledky: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Předchozí volání vrátí seznam přiřazení rolí. Vyhledejte přiřazení role, ve kterém je "/" obor a roleDefinitionId končí ID názvu role, které jste našli v kroku 1, a principalId odpovídá ID objektu správce adresáře.

   Ukázkové přiřazení role:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Znovu uložte ID z parametru name , v tomto případě 111111111-1111-1111-1111-11111111111111111111.

4. Nakonec pomocí ID přiřazení role odeberte přiřazení přidané elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Zobrazení položek protokolu přístupu se zvýšenými oprávněními v protokolech aktivit adresáře

Při zvýšení úrovně přístupu se do protokolů přidá položka. Jako globální správce v Microsoft Entra ID můžete chtít zkontrolovat, kdy byl přístup zvýšen a kdo ho provedl. V protokolech standardních aktivit se nezobrazují položky protokolu přístupu se zvýšenými oprávněními, ale zobrazují se v protokolech aktivit adresáře. Tato část popisuje různé způsoby zobrazení položek protokolu přístupu se zvýšenými oprávněními.

Zobrazení položek protokolu přístupu se zvýšenými oprávněními pomocí webu Azure Portal

1. Přihlaste se k webu Azure Portal jako globální správce.

2. Otevřete protokol aktivit monitorování>.

3. Změňte seznam aktivit na aktivitu adresáře.

4. Vyhledejte následující operaci, která označuje akci přístupu se zvýšenými oprávněními.

   Assigns the caller to User Access Administrator role

   

Zobrazení položek protokolu přístupu se zvýšenými oprávněními pomocí Azure CLI

1. Pomocí příkazu az login se přihlaste jako globální správce.

2. Pomocí příkazu az rest proveďte následující volání, ve kterém budete muset filtrovat podle data, jak je znázorněno s ukázkovým časovým razítkem, a zadejte název souboru, do kterého chcete protokoly uložit.

   Volání url rozhraní API pro načtení protokolů v Microsoft.Insights. Výstup se uloží do souboru.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Ve výstupním souboru vyhledejte elevateAccess.

   Protokol bude vypadat podobně jako v následujícím příkladu, kde uvidíte časové razítko, kdy k akci došlo a kdo ji volal.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegování přístupu ke skupině za účelem zobrazení položek protokolu přístupu se zvýšenými oprávněními pomocí Azure CLI

Pokud chcete mít možnost pravidelně získávat položky protokolu přístupu se zvýšenými oprávněními, můžete delegovat přístup ke skupině a pak použít Azure CLI.

1. Otevřete skupiny Microsoft Entra ID>.

2. Vytvořte novou skupinu zabezpečení a poznamenejte si ID objektu skupiny.

3. Pomocí příkazu az login se přihlaste jako globální správce.

4. Pomocí příkazu az role assignment create přiřaďte roli Čtenář skupině, která může číst pouze protokoly na úrovni adresáře, které jsou nalezeny na Microsoft/Insightsadrese .

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Přidejte uživatele, který bude číst protokoly do dříve vytvořené skupiny.

Uživatel ve skupině teď může pravidelně spouštět příkaz az rest a zobrazit položky protokolu přístupu se zvýšenými oprávněními.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Další kroky

• Vysvětlení různých rolí
• Přiřazení rolí Azure pomocí rozhraní REST API