Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Privileged Identity Management (PIM) in Microsoft Entra ID können Sie Aktivitäten, Aktivierungen und den Überwachungsverlauf für Azure-Ressourcenrollen in Ihrer Organisation anzeigen. Dies schließt Abonnements, Ressourcengruppen und sogar virtuelle Computer ein. Jede Ressource im Microsoft Entra Admin Center, die die rollenbasierte Zugriffssteuerungsfunktionalität von Azure verwendet, kann die Sicherheits- und Lebenszyklusverwaltungsfunktionen in Privileged Identity Management nutzen. Wenn Sie Protokolldaten länger als den standardmäßigen Aufbewahrungszeitraum speichern möchten, können Sie Azure Monitor verwenden, um sie an ein Azure-Speicherkonto weiterzuleiten. Weitere Informationen finden Sie unter Archivieren von Microsoft Entra-Protokollen bei einem Azure-Speicherkonto.
Hinweis
Wenn Ihre Organisation Verwaltungsfunktionen an einen Dienstanbieter ausgelagert hat, der Azure Lighthouse verwendet, werden hier keine von diesem Dienstanbieter autorisierten Rollenzuweisungen angezeigt.
Anzeigen von Aktivitäten und Aktivierungen
Um die Aktionen anzuzeigen, die ein bestimmter Benutzer in verschiedenen Ressourcen ausgeführt hat, zeigen Sie die Azure-Ressourcenaktivität an, die ihrem Aktivierungszeitraum zugeordnet ist.
Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.
Wählen Sie die Ressource aus, für die Sie Aktivitäten und Aktivierungen anzeigen möchten.
Wählen Sie "Rollen " oder "Mitglieder" aus.
Wählen Sie einen Benutzer aus.
Daraufhin wird eine nach Datum aufgeschlüsselte Zusammenfassung mit den Aktionen des Benutzers in den Azure-Ressourcen angezeigt. Außerdem sind die letzten Rollenaktivierungen im selben Zeitraum zu sehen.
Wählen Sie eine bestimmte Rollenaktivierung aus, um Details und die entsprechende Azure-Ressourcenaktivität anzuzeigen, die aufgetreten ist, während dieser Benutzer aktiv war.
Exportieren von Rollenzuweisungen mit untergeordneten Elementen
Angenommen, Sie müssen Prüfern aus Konformitätsgründen eine vollständige Liste mit allen Rollenzuweisungen zur Verfügung stellen. Mit Privileged Identity Management können Sie Rollenzuweisungen für eine bestimmte Ressource einschließlich der Rollenzuweisungen für alle untergeordneten Ressourcen abfragen. In der Vergangenheit war es für Administratoren nicht ganz einfach, eine vollständige Liste mit den Rollenzuweisungen für ein Abonnement zu erhalten, und die Rollenzuweisungen mussten für jede spezifische Ressource exportiert werden. Mit Privileged Identity Management können Sie alle aktiven und geeigneten Rollenzuweisungen in einem Abonnement einschließlich der Rollenzuweisungen für alle Ressourcengruppen und Ressourcen abfragen.
Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.
Wählen Sie die Ressource aus, für die Sie Rollenzuweisungen exportieren möchten (beispielsweise ein Abonnement).
Wählen Sie "Aufgaben" aus.
Wählen Sie "Exportieren " aus, um den Bereich "Mitgliedschaft exportieren" zu öffnen.
Wählen Sie "Alle Mitglieder exportieren" aus, um alle Rollenzuweisungen in einer CSV-Datei zu exportieren.
Anzeigen des Ressourcenüberwachungsverlaufs
Die Ressourcenüberwachung bietet einen Überblick über alle Rollenaktivitäten für eine Ressource.
Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.
Wählen Sie die Ressource aus, für die Sie den Überwachungsverlauf anzeigen möchten.
Wählen Sie "Ressourcenüberwachung" aus.
Filtern Sie den Verlauf mithilfe eines vordefinierten Datums oder benutzerdefinierten Bereichs.
Wählen Sie für den Überwachungstyp"Aktivieren" (Zugewiesen + Aktiviert) aus.
Wählen Sie unter "Aktion" (Aktivität) für einen Benutzer aus, um die Aktivitätsdetails dieses Benutzers in Azure-Ressourcen anzuzeigen.
Anzeigen der eigenen Überwachung
In der eigenen Überwachung können Sie Ihre persönliche Rollenaktivität anzeigen.
Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.
Wählen Sie die Ressource aus, für die Sie den Überwachungsverlauf anzeigen möchten.
Wählen Sie "Meine Überwachung" aus.
Filtern Sie den Verlauf mithilfe eines vordefinierten Datums oder benutzerdefinierten Bereichs.
Hinweis
Für den Zugriff auf den Überwachungsverlauf ist mindestens die Rolle „Administrator für privilegierte Rollen“ erforderlich.
Abrufen von Grund, genehmigender Person und Ticketnummer für Genehmigungsereignisse
Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.
Navigieren Sie zu Entra ID>Monitoring & Health>Audit-Protokollen.
Verwenden Sie den Dienstfilter , um nur Überwachungsereignisse für den Privileged Identity Management-Dienst anzuzeigen. Auf der Seite "Überwachungsprotokolle " haben Sie folgende Möglichkeiten:
- Lesen Sie den Grund für ein Überwachungsereignis in der Spalte "Statusgrund ".
- Siehe den Genehmiger in der Spalte "Initiiert von (Akteur)" für das Ereignis "Anforderung zur Hinzufügung eines Mitglieds zur Rolle genehmigt".
Wählen Sie ein Überwachungsprotokollereignis aus, um die Ticketnummer auf der Registerkarte Aktivität des Detailbereichs anzuzeigen.
Sie können den Antragsteller (die Person, die die Rolle aktiviert) auf der Registerkarte Ziele im Detailbereich eines Überwachungsereignisses sehen. Es gibt drei Zieltypen für Azure-Ressourcenrollen:
- Die Rolle (Typ = Rolle)
- Der Anforderer (Typ = Sonstige)
- Der Genehmigende (Typ = Benutzer)
In der Regel ist das Protokollereignis unmittelbar oberhalb des Genehmigungsereignisses ein Ereignis, bei dem das Hinzufügen eines Mitglieds zur Rolle abgeschlossen ist, bei dem das vom (Actor) initiierte Ereignis der Anforderer ist. In den meisten Fällen ist es für die Überwachung nicht erforderlich, die anfordernde Person in der Genehmigungsanforderung zu ermitteln.