Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure

En tant qu’administrateur général dans Microsoft Entra ID, il est possible que vous n’ayez pas accès à tous les abonnements et groupes d’administration de votre locataire. Cet article décrit les méthodes pour élever votre accès à tous les abonnements et groupes d’administration.

Notes

Pour plus d’informations sur la visualisation ou la suppression de données personnelles, consultez Demandes générales de la personne concernée pour le RGPD, Demandes de la personne concernée pour le RGPD sur Azure ou Demandes de la personne concernée pour le RGPD sur Windows, en fonction de votre domaine et de vos besoins spécifiques. Pour plus d’informations sur le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

Pourquoi devez-vous élever votre accès ?

Si vous êtes administrateur général, il peut vous arriver de vouloir effectuer les actions suivantes :

• Récupérer l’accès à un abonnement ou groupe d’administration Azure quand un utilisateur a perdu cet accès
• Accorder à un autre utilisateur ou à vous-même un accès à un abonnement ou à un groupe d’administration Azure
• Voir tous les abonnements ou groupes d’administration Azure au sein d’une organisation
• Autoriser une application d’automation (telle qu’une application de facturation ou d’audit) à accéder à tous les abonnements ou groupes d’administration Azure

Comment fonctionne l’accès avec élévation de privilèges ?

Les ressources Microsoft Entra ID et Azure sont sécurisées de façon indépendante les unes des autres. Ainsi, les attributions de rôles Microsoft Entra n’accordent pas d’accès aux ressources Azure et inversement, les attributions de rôles Azure n’accordent pas d’accès à Microsoft Entra ID. Cependant, si vous êtes Administrateur général dans Microsoft Entra ID, vous pouvez vous attribuer à vous-même un accès à tous les abonnements et groupes d’administration Azure de votre locataire. Utilisez cette fonctionnalité si vous n’avez pas accès aux ressources de l’abonnement Azure, comme les machines virtuelles ou les comptes de stockage, et que vous voulez utiliser vos privilèges d’administrateur général pour accéder à ces ressources.

Quand vous élevez votre accès, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure au niveau de l’étendue racine (/). Ceci vous permet de voir toutes les ressources et d’attribuer des accès dans n’importe quel abonnement ou groupe d’administration du locataire. Les attributions de rôles Administrateur de l’accès utilisateur peuvent être supprimées à l’aide d’Azure PowerShell, d’Azure CLI ou de l’API REST.

Vous devez supprimer cet accès avec élévation de privilèges après avoir effectué les modifications nécessaires au niveau de l’étendue racine.

Effectuer des étapes dans l’étendue racine

Azure portal

Étape 1 : élever l’accès d’un administrateur général

Effectuez les étapes suivantes pour élever l’accès d’un administrateur général à l’aide du portail Azure.

1. Connectez-vous au portail Azure en tant qu’administrateur général.

   Si vous utilisez Microsoft Entra Privileged Identity Management, activez votre attribution de rôle Administrateur général.

2. Accédez à Microsoft Entra ID>Gérer>Propriétés.

   

3. Sous Gestion de l’accès pour les ressources Azure, définissez la bascule sur Oui.

   

   Quand vous définissez la bascule sur Oui, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure RBAC au niveau de l’étendue racine (/). Ceci vous accorde l’autorisation d’attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à ce locataire Microsoft Entra. Cette bascule est disponible seulement pour les utilisateurs auxquels le rôle Administrateur général a été attribué dans Microsoft Entra ID.

   Quand vous définissez la bascule sur Non, le rôle Administrateur de l’accès utilisateur dans Azure RBAC est supprimé de votre compte d’utilisateur. Vous ne pouvez plus attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à ce locataire Microsoft Entra. Vous pouvez voir et gérer seulement les abonnements et groupes d’administration Azure auxquels l’accès vous a été accordé.

   Notes

   Si vous utilisez Privileged Identity Management, la désactivation de l’attribution de rôle n’a pas pour effet de définir l’option Gestion de l’accès pour les ressources Azure sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

4. Sélectionnez Enregistrer pour enregistrer vos paramètres.

   Ce paramètre n’est pas une propriété globale et s’applique uniquement à l’utilisateur connecté. Vous ne pouvez pas élever l’accès pour tous les membres du rôle Administrateur général.

5. Déconnectez-vous et reconnectez-vous pour actualiser votre accès.

   Vous devez maintenant avoir accès à tous les abonnements et groupes d’administration de votre locataire. Quand vous affichez la page Contrôle d’accès (IAM), vous pouvez remarquer que le rôle Administrateur de l’accès utilisateur vous a été attribué au niveau de l’étendue racine.

   

6. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

   Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide du portail Azure. Si vous utilisez Privileged Identity Management, consultez Découvrir les ressources Azure à gérer ou Attribuer des rôles de ressources Azure.

7. Procédez de la manière décrite dans la section suivante pour supprimer votre accès avec élévation de privilèges.

Étape 2 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

1. Connectez-vous en tant qu’utilisateur avec celui utilisé pour élever l’accès.

2. Accédez à Microsoft Entra ID>Gérer>Propriétés.

3. Définissez la bascule Gestion de l’accès pour les ressources Azure sur Non. Comme il s’agit d’un paramètre par utilisateur, vous devez être connecté sous le même utilisateur que celui utilisé pour élever l’accès.

   Si vous tentez de supprimer l’attribution de rôle Administrateur de l’accès utilisateur dans la page Contrôle d’accès (IAM), le message suivant s’affiche. Pour supprimer l’attribution de rôle, vous devez rétablir la bascule sur Non ou utiliser Azure PowerShell, Azure CLI ou l’API REST.

   

4. Déconnectez-vous en tant qu’administrateur général.

   Si vous utilisez Privileged Identity Management, désactivez votre attribution de rôle Administrateur général.

   Notes

   Si vous utilisez Privileged Identity Management, la désactivation de l’attribution de rôle n’a pas pour effet de définir l’option Gestion de l’accès pour les ressources Azure sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

PowerShell

Étape 1 : élever l’accès d’un administrateur général

Utilisez le Portail Azure ou l’API REST pour élever l’accès à un administrateur général.

Étape 2 : répertorier une attribution de rôle au niveau de l’étendue racine (/)

Après avoir élevé l’accès, pour répertorier l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur dans l’étendue racine (/), utilisez la commande Get-AzRoleAssignment.

Azure PowerShell

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

Example

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Étape 3 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même ou un autre utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé. Il peut s’agir du même utilisateur que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au niveau de l’étendue racine.

2. Utilisez la commande Remove-AzRoleAssignment pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur.

   Azure PowerShell

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Étape 1 : élever l’accès d’un administrateur général

Pour élever l’accès d’un administrateur général à l’aide de l’Azure CLI, effectuez les étapes de base suivantes.

1. Utilisez la commande az rest pour appeler le point de terminaison elevateAccess, qui vous accorde le rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/).

   Azure CLI

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

   Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide d’Azure CLI.

3. Procédez de la manière décrite dans une section ultérieure pour supprimer votre accès avec élévation de privilèges.

Étape 2 : répertorier une attribution de rôle au niveau de l’étendue racine (/)

Après avoir élevé l’accès, pour répertorier l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur dans l’étendue racine (/), utilisez la commande az role assignment list.

Azure CLI

az role assignment list --role "User Access Administrator" --scope "/"

Example

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Étape 3 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même ou un autre utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé. Il peut s’agir du même utilisateur que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au niveau de l’étendue racine.

2. Utilisez la commande az role assignment delete pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur.

   Azure CLI

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Prérequis

Vous devez utiliser les versions suivantes :

• 2015-07-01 ou une version ultérieure pour lister et supprimer des attributions de rôles
• 2016-07-01 ou version ultérieure pour élever l’accès
• 2018-07-01-preview ou une version ultérieure pour lister les affectations de refus

Pour plus d’informations, consultez Versions des API REST Azure RBAC.

Étape 1 : élever l’accès d’un administrateur général

Pour élever l’accès d’un administrateur général à l’aide de l’API REST, suivez les étapes de base suivantes.

1. Avec REST, appelez elevateAccess, qui vous accorde le rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/).

   HTTP

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

   Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide de l’API REST.

3. Procédez de la manière décrite dans une section ultérieure pour supprimer votre accès avec élévation de privilèges.

Étape 2 : répertorier des attributions de rôle au niveau de l’étendue racine (/)

Après avoir élevé l’accès, vous pouvez répertorier toutes les attributions de rôles pour un utilisateur dans l’étendue racine (/).

• Appelez Attributions de rôle - Lister pour une étendue, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez récupérer les attributions de rôles.

  HTTP

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Étape 3 : répertorier les affectations de refus dans l’étendue racine (/)

Après avoir élevé l’accès, vous pouvez répertorier toutes les attributions de refus pour un utilisateur dans l’étendue racine (/).

• Appelez Attributions de refus – Répertorier pour une étendue, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez récupérer les attributions de refus.

  HTTP

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Étape 4 : supprimez l’accès élevé

Lorsque vous appelez elevateAccess, vous créez une attribution de rôle pour vous-même. Donc, pour révoquer ces privilèges, vous devez supprimer l’attribution du rôle Administrateur de l’accès utilisateur pour vous-même au niveau de l’étendue racine (/).

1. Appelez Définitions de rôle - Obtenir, où roleName est l’Administrateur de l’accès utilisateur, pour déterminer l’ID de nom du rôle Administrateur de l’accès utilisateur.

   HTTP

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   JSON

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Enregistrez l’ID à partir du paramètre name, en l’occurrence 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Vous devez également lister l’attribution de rôle pour l’administrateur du locataire au niveau de l’étendue du locataire. Répertoriez toutes les attributions dans l’étendue du client pour le principalId de l’administrateur client qui a effectué l’appel d’élévation d’accès. Cela a pour effet de répertorier toutes les attributions dans le client pour l’objectid.

   HTTP

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Notes

   Un administrateur de locataire ne doit pas avoir de nombreuses attributions. Si la requête précédente retourne un trop grand nombre d’attributions, vous pouvez aussi interroger toutes les attributions seulement au niveau de l’étendue du locataire, puis filtrer les résultats : GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Les appels précédents retournent une liste des attributions de rôle. Recherchez l’attribution de rôle pour laquelle l’étendue est « "/" », roleDefinitionId se termine par l’ID du nom de rôle trouvé à l’étape 1 et principalId correspond à l’ID objet de l’administrateur client.

   Exemple d’attribution de rôle :

   JSON

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Là encore, enregistrez l’ID à partir du paramètre name, en l’occurrence 11111111-1111-1111-1111-111111111111.

4. Enfin, utilisez l’ID d’attribution de rôle pour supprimer l’attribution ajoutée par elevateAccess :

   HTTP

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Voir les utilisateurs avec un accès élevé

Si vous avez des utilisateurs disposant d’un accès élevé, des bannières s’affichent dans deux emplacements du portail Azure. Cette section explique comment déterminer si vous avez des utilisateurs disposant d’un accès élevé dans votre locataire. Cette fonctionnalité étant déployée en plusieurs phases, il est possible qu’elle ne soit pas encore disponible dans votre locataire.

Option 1 :

1. Dans le portail Azure, accédez à Microsoft Entra ID>Gérer>Propriétés.

2. Sous Gestion de l’accès pour les ressources Azure, recherchez la bannière suivante.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Sélectionnez le lien Gérer les utilisateurs avec un accès élevé pour voir la liste des utilisateurs disposant d’un accès élevé.

Option 2 :

1. Dans le portail Azure, accédez à un abonnement.

2. Sélectionnez Contrôle d’accès (IAM) .

3. En haut de la page, recherchez la bannière suivante.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Sélectionnez le lien Afficher les attributions de rôles pour voir la liste des utilisateurs disposant d’un accès élevé.

Supprimer l’accès élevé pour des utilisateurs

Si vous avez des utilisateurs disposant d’un accès élevé, vous devez agir immédiatement et supprimer cet accès. Pour supprimer ces attributions de rôles, vous devez également disposer d’un accès élevé. Cette section explique comment supprimer l’accès élevé pour des utilisateurs de votre locataire en utilisant le portail Azure. Cette fonctionnalité étant déployée en plusieurs phases, il est possible qu’elle ne soit pas encore disponible dans votre locataire.

1. Connectez-vous au portail Azure en tant qu’administrateur général.

2. Accédez à Microsoft Entra ID>Gérer>Propriétés.

3. Sous Gestion de l’accès pour les ressources Azure, définissez le bouton bascule sur Oui, comme décrit précédemment dans Étape 1 : Élever l’accès pour un administrateur général.

4. Sélectionnez le lien Gérer les utilisateurs avec un accès élevé.

   Le volet Utilisateurs avec un accès élevé s’affiche avec une liste d’utilisateurs disposant d’un accès élevé dans votre locataire.

   

5. Pour supprimer l’accès élevé pour des utilisateurs, ajoutez une coche en regard de l’utilisateur, puis sélectionnez Supprimer.

Afficher les entrées du journal d'accès élevé

Lorsque l'accès est élevé ou supprimé, une entrée est ajoutée aux journaux. En tant qu’administrateur dans Microsoft Entra ID, vous souhaiterez peut-être vérifier quand l’accès a été élevé et qui l’a fait.

Les entrées du journal d’accès élevé apparaissent à la fois dans les journaux d’audit de l’annuaire Microsoft Entra et dans les journaux d’activité Azure. Les entrées de journal d'accès élevé pour les journaux d'audit de répertoire et les journaux d'activité incluent des informations similaires. Cependant, les journaux d’audit du répertoire sont plus faciles à filtrer et à exporter. De plus, la capacité d'exportation vous permet de diffuser des événements d'accès, qui peuvent être utilisés pour vos solutions d'alerte et de détection, telles que Microsoft Sentinel ou d'autres systèmes. Pour plus d’informations sur la façon d’envoyer des journaux vers différentes destinations, voir Configurer les paramètres de diagnostic Microsoft Entra pour les journaux d’activité.

Cette section décrit les différentes façons dont vous pouvez afficher les entrées du journal d’accès élevé.

Journaux d'audit Microsoft Entra

Important

L'élévation des entrées du journal d'accès dans les journaux d'audit du répertoire Microsoft Entra est actuellement en version préliminaire. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

1. Connectez-vous au portail Azure en tant qu’administrateur général.

2. Accédez aux journaux d’audit de>surveillance>Microsoft Entra ID.

3. Dans le filtre Service, sélectionnez Azure RBAC (accès élevé), puis sélectionnez Appliquer.

   Les journaux d’accès élevés sont affichés.

   

4. Pour afficher les détails lorsque l’accès a été élevé ou supprimé, sélectionnez ces entrées du journal d’audit.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Pour télécharger et afficher la charge utile des entrées de journal au format JSON, sélectionnez Télécharger et JSON.

   

Journaux d’activité Azure

Afficher les entrées du journal d’accès élevé à l’aide du Portail Azure

1. Connectez-vous au portail Azure en tant qu’administrateur général.

2. Accédez à Surveiller>Journal des activités.

3. Définissez la liste Activité sur Activité d’annuaire.

4. Recherchez l’opération suivante, qui signifie l’action d’accès avec élévation de privilèges.

   Assigns the caller to User Access Administrator role

   

Afficher les entrées du journal d’accès élevé à l’aide d’Azure CLI

1. Utilisez la commande az login pour vous connecter en tant qu’administrateur général.

2. Utilisez la commande az rest pour effectuer l’appel suivant, dans lequel vous devrez filtrer par une date comme indiqué dans l’exemple de tampon et spécifier un nom de fichier où vous souhaitez stocker les journaux.

   L’url appelle une API pour récupérer les journaux dans Microsoft.Insights. La sortie sera enregistrée dans votre fichier.

   Azure CLI

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Dans le fichier de sortie, recherchez elevateAccess.

   Le journal ressemble à ce qui suit, dans lequel vous pouvez voir l’horodatage du moment où l’action s’est produite et qui l’a appelée.

   JSON

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Déléguer l’accès à un groupe pour afficher les entrées du journal d’accès élevé à l’aide d’Azure CLI

Si vous souhaitez être en mesure d’obtenir régulièrement les entrées du journal d’accès élevé, vous pouvez déléguer l’accès à un groupe, puis utiliser Azure CLI.

1. Accédez à Microsoft Entra ID>Groupes.

2. Créez un groupe de sécurité et notez l’ID d’objet de groupe.

3. Utilisez la commande az login pour vous connecter en tant qu’administrateur général.

4. Utilisez la commande az role assignment create pour attribuer le rôle Lecteur au groupe qui peut seulement lire les journaux au niveau du locataire, qui se trouvent dans Microsoft/Insights.

   Azure CLI

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Ajoutez un utilisateur qui lira les journaux dans le groupe créé précédemment.

Un utilisateur du groupe peut maintenant exécuter régulièrement la commande az rest pour afficher les entrées du journal d’accès élevé.

Azure CLI

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Détecter les événements d’accès avec élévation de privilèges à l’aide de Microsoft Sentinel

Pour détecter les événements d’accès avec élévation de privilèges et gagner en visibilité sur les activités potentiellement frauduleuses, vous pouvez utiliser Microsoft Sentinel. Microsoft Sentinel est une plateforme SIEM (Security Information and Event Management) qui fournit des fonctionnalités d’analytique de sécurité et de réponse aux menaces. Cette section explique comment connecter les journaux d’audit Microsoft Entra à Microsoft Sentinel afin que vous puissiez détecter l’accès avec élévation de privilèges dans votre organisation.

Étape 1: Activer Microsoft Sentinel

Pour commencer, ajoutez Microsoft Sentinel à un espace de travail Log Analytics existant ou créez-en un.

• Activez Microsoft Sentinel en suivant les étapes de l’article Activer Microsoft Sentinel.

  

Étape 2 : Connecter les données Microsoft Entra à Microsoft Sentinel

Au cours de cette étape, vous installez la solution Microsoft Entra ID et utilisez le connecteur Microsoft Entra ID pour collecter des données de Microsoft Entra ID.

Votre organisation a peut-être déjà configuré un paramètre de diagnostic pour intégrer les journaux d’audit Microsoft Entra. Pour vérifier, consultez vos paramètres de diagnostic comme décrit dans Comment accéder aux paramètres de diagnostic.

1. Installez la solution Microsoft Entra ID en suivant les étapes de Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi.

   

2. Utilisez le connecteur Microsoft Entra ID pour collecter des données de Microsoft Entra ID en suivant les étapes de Connecter les données Microsoft Entra à Microsoft Sentinel.

3. Sur la page Connecteurs de données, ajoutez une coche pour Journaux d’audit.

   

Étape 3 : Créer une règle d’accès avec élévation de privilèges

Durant cette étape, vous créez une règle d’analytique planifiée basée sur un modèle pour examiner les journaux d’audit Microsoft Entra pour obtenir des événements d’accès avec élévation de privilèges.

1. Créez une règle d’analyse d’accès avec élévation de privilèges en suivant les étapes de l’article Créer une règle à partir d’un modèle.

2. Sélectionnez le modèle Contrôle d’accès en fonction du rôle Azure (Accès avec élévation de privilèges), puis sélectionnez le bouton Créer une règle dans le volet d’informations.

   Si vous ne voyez pas le volet d’informations, sur le bord droit, sélectionnez l’icône Développer.

   

3. Dans l’Assistant Règle analytique, utilisez les paramètres par défaut pour créer une règle planifiée.

   

Étape 4 : Afficher les incidents d’accès avec élévation de privilèges

Dans cette étape, vous affichez et examinez les incidents d’accès avec élévation de privilèges.

• Utilisez la page Incidents pour afficher les incidents d’accès avec élévation de privilèges en suivant les étapes de Naviguer et examiner les incidents dans Microsoft Sentinel.

  

Étapes suivantes

• Comprendre les différents rôles
• Attribuer des rôles Azure à l’aide de l’API REST