Freigeben über

Anzeigen von Aktivitäten und des Überwachungsverlaufs für Azure-Ressourcenrollen in Privileged Identity Management

Mit Privileged Identity Management (PIM) in Microsoft Entra ID können Sie Aktivitäten, Aktivierungen und den Überwachungsverlauf für Azure-Ressourcenrollen in Ihrer Organisation anzeigen. Dies schließt Abonnements, Ressourcengruppen und sogar virtuelle Computer ein. Jede Ressource im Microsoft Entra Admin Center, die die rollenbasierte Zugriffssteuerungsfunktionalität von Azure verwendet, kann die Sicherheits- und Lebenszyklusverwaltungsfunktionen in Privileged Identity Management nutzen. Wenn Sie Protokolldaten länger als den standardmäßigen Aufbewahrungszeitraum speichern möchten, können Sie Azure Monitor verwenden, um sie an ein Azure-Speicherkonto weiterzuleiten. Weitere Informationen finden Sie unter Archivieren von Microsoft Entra-Protokollen bei einem Azure-Speicherkonto.

Hinweis

Wenn Ihre Organisation Verwaltungsfunktionen an einen Dienstanbieter ausgelagert hat, der Azure Lighthouse verwendet, werden hier keine von diesem Dienstanbieter autorisierten Rollenzuweisungen angezeigt.

Anzeigen von Aktivitäten und Aktivierungen

Um die Aktionen anzuzeigen, die ein bestimmter Benutzer in verschiedenen Ressourcen ausgeführt hat, zeigen Sie die Azure-Ressourcenaktivität an, die ihrem Aktivierungszeitraum zugeordnet ist.

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie Aktivitäten und Aktivierungen anzeigen möchten.

  4. Wählen Sie "Rollen " oder "Mitglieder" aus.

  5. Wählen Sie einen Benutzer aus.

    Daraufhin wird eine nach Datum aufgeschlüsselte Zusammenfassung mit den Aktionen des Benutzers in den Azure-Ressourcen angezeigt. Außerdem sind die letzten Rollenaktivierungen im selben Zeitraum zu sehen.

    Screenshot der Benutzerdetails mit Ressourcenaktivitätszusammenfassung und Rollenaktivierungen.

  6. Wählen Sie eine bestimmte Rollenaktivierung aus, um Details und die entsprechende Azure-Ressourcenaktivität anzuzeigen, die aufgetreten ist, während dieser Benutzer aktiv war.

    Screenshot der ausgewählten Rollenaktivierung und Aktivitätsdetails.

Exportieren von Rollenzuweisungen mit untergeordneten Elementen

Angenommen, Sie müssen Prüfern aus Konformitätsgründen eine vollständige Liste mit allen Rollenzuweisungen zur Verfügung stellen. Mit Privileged Identity Management können Sie Rollenzuweisungen für eine bestimmte Ressource einschließlich der Rollenzuweisungen für alle untergeordneten Ressourcen abfragen. In der Vergangenheit war es für Administratoren nicht ganz einfach, eine vollständige Liste mit den Rollenzuweisungen für ein Abonnement zu erhalten, und die Rollenzuweisungen mussten für jede spezifische Ressource exportiert werden. Mit Privileged Identity Management können Sie alle aktiven und geeigneten Rollenzuweisungen in einem Abonnement einschließlich der Rollenzuweisungen für alle Ressourcengruppen und Ressourcen abfragen.

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie Rollenzuweisungen exportieren möchten (beispielsweise ein Abonnement).

  4. Wählen Sie "Aufgaben" aus.

  5. Wählen Sie "Exportieren " aus, um den Bereich "Mitgliedschaft exportieren" zu öffnen.

    Screenshot des Bereichs

  6. Wählen Sie "Alle Mitglieder exportieren" aus, um alle Rollenzuweisungen in einer CSV-Datei zu exportieren.

    Screenshot mit exportierten Rollenzuweisungen in der CSV-Datei wie in Excel angezeigt.

Anzeigen des Ressourcenüberwachungsverlaufs

Die Ressourcenüberwachung bietet einen Überblick über alle Rollenaktivitäten für eine Ressource.

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie den Überwachungsverlauf anzeigen möchten.

  4. Wählen Sie "Ressourcenüberwachung" aus.

  5. Filtern Sie den Verlauf mithilfe eines vordefinierten Datums oder benutzerdefinierten Bereichs.

    Screenshot der Ressourcenüberwachungsliste mit Filtern.

  6. Wählen Sie für den Überwachungstyp"Aktivieren" (Zugewiesen + Aktiviert) aus.

    Screenshot der Ressourcenauditliste, gefiltert nach Audittyp 'Aktivieren'.

  7. Wählen Sie unter "Aktion" (Aktivität) für einen Benutzer aus, um die Aktivitätsdetails dieses Benutzers in Azure-Ressourcen anzuzeigen.

    Screenshot mit Benutzeraktivitätsdetails für eine bestimmte Aktion.

Anzeigen der eigenen Überwachung

In der eigenen Überwachung können Sie Ihre persönliche Rollenaktivität anzeigen.

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie den Überwachungsverlauf anzeigen möchten.

  4. Wählen Sie "Meine Überwachung" aus.

  5. Filtern Sie den Verlauf mithilfe eines vordefinierten Datums oder benutzerdefinierten Bereichs.

    Screenshot einer Überwachungsliste für den aktuellen Benutzer.

Hinweis

Für den Zugriff auf den Überwachungsverlauf ist mindestens die Rolle „Administrator für privilegierte Rollen“ erforderlich.

Abrufen von Grund, genehmigender Person und Ticketnummer für Genehmigungsereignisse

  1. Melden Sie sich im Microsoft Entra Admin-Center als mindestens Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu Entra ID>Monitoring & Health>Audit-Protokollen.

  3. Verwenden Sie den Dienstfilter , um nur Überwachungsereignisse für den Privileged Identity Management-Dienst anzuzeigen. Auf der Seite "Überwachungsprotokolle " haben Sie folgende Möglichkeiten:

    • Lesen Sie den Grund für ein Überwachungsereignis in der Spalte "Statusgrund ".
    • Siehe den Genehmiger in der Spalte "Initiiert von (Akteur)" für das Ereignis "Anforderung zur Hinzufügung eines Mitglieds zur Rolle genehmigt".

    Screenshot des Filterns des Überwachungsprotokolls für den PIM-Dienst.

  4. Wählen Sie ein Überwachungsprotokollereignis aus, um die Ticketnummer auf der Registerkarte Aktivität des Detailbereichs anzuzeigen.

    Screenshot mit der Ticketnummer für das Audit-Ereignis.

  5. Sie können den Antragsteller (die Person, die die Rolle aktiviert) auf der Registerkarte Ziele im Detailbereich eines Überwachungsereignisses sehen. Es gibt drei Zieltypen für Azure-Ressourcenrollen:

    • Die Rolle (Typ = Rolle)
    • Der Anforderer (Typ = Sonstige)
    • Der Genehmigende (Typ = Benutzer)

    Screenshot, der zeigt, wie der Zieltyp überprüft wird.

In der Regel ist das Protokollereignis unmittelbar oberhalb des Genehmigungsereignisses ein Ereignis, bei dem das Hinzufügen eines Mitglieds zur Rolle abgeschlossen ist, bei dem das vom (Actor) initiierte Ereignis der Anforderer ist. In den meisten Fällen ist es für die Überwachung nicht erforderlich, die anfordernde Person in der Genehmigungsanforderung zu ermitteln.

Nächste Schritte