Hozzáférési jogosultságszint emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez

Előfordulhat, hogy a Microsoft Entra ID globális rendszergazdájaként nem rendelkezik hozzáféréssel a bérlő összes előfizetéséhez és felügyeleti csoportjához. Ez a cikk azt ismerteti, hogyan emelheti a hozzáférést az összes előfizetéshez és felügyeleti csoporthoz.

Megjegyzés

A személyes adatok megtekintésével vagy törlésével kapcsolatos információkért tekintse meg a GDPR általános adattulajdonosi kérelmeit, a GDPR-ra vonatkozó Azure-beli adattulajdonosi kérelmeket vagy a GDPR-ra vonatkozó Windows-adattulajdonosi kérelmeket az Adott területtől és igényektől függően. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

Miért lenne szüksége a jogosultságszintjének megemelésére?

Ha Ön globális rendszergazda, előfordulhat, hogy a következő műveleteket szeretné végrehajtani:

• Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés visszanyerése, ha egy felhasználó elvesztette a hozzáférését
• Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés engedélyezése más felhasználónak vagy saját részre
• Az összes Azure-előfizetés vagy felügyeleti csoport megtekintése
• Annak engedélyezése, hogy egy automatizálási alkalmazás (például egy számlázási vagy naplózó alkalmazás) hozzáférjen az összes Azure-előfizetéshez vagy felügyeleti csoporthoz

Hogyan működik az emelt szintű hozzáférés?

A Microsoft Entra ID és az Azure erőforrások egymástól függetlenül vannak biztosítva. Vagyis a Microsoft Entra szerepkör-kijelölések nem biztosítanak hozzáférést az Azure-erőforrásokhoz, és az Azure-szerepkör-kijelölések nem biztosítanak hozzáférést a Microsoft Entra ID-hez. Ha azonban Ön globális rendszergazda a Microsoft Entra-azonosítóban, a bérlő összes Azure-előfizetéséhez és felügyeleti csoportjához hozzárendelheti a hozzáférést. Akkor használja ezt a képességet, ha nincs hozzáférése az Azure-előfizetés erőforrásaihoz, például a virtuális gépekhez vagy tárfiókokhoz, és a globális rendszergazdai jogosultságát szeretné használni az erőforrások eléréséhez.

Amikor megemeli a hozzáférést, a felhasználó hozzáférés-rendszergazdai szerepköre lesz hozzárendelve az Azure-ban a gyökérhatókörben (/). Ez lehetővé teszi az összes erőforrás megtekintését és a hozzáférés hozzárendelését a bérlő bármely előfizetésében vagy felügyeleti csoportjában. A Felhasználói hozzáférés adminisztrátora szerepkör-hozzárendeléseket az Azure PowerShell, az Azure CLI vagy a REST API használatával lehet eltávolítani.

Ezt az emelt szintű hozzáférést érdemes eltávolítani, amint végrehajtotta a szükséges módosításokat a gyökérszintű hatókörben.

Lépések végrehajtása a gyökértartományban

Azure Portalra

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az alábbi lépéseket követve emelheti a globális rendszergazda hozzáférését az Azure Portal használatával.

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként.

   A Microsoft Entra Privileged Identity Management használata esetén aktiválja a globális rendszergazdai szerepkör-hozzárendelést.

2. Tallózással keresse meg a Microsoft Entra id Manage Properties (Tulajdonságok kezelése>) lehetőséget.>

   

3. Az Azure-erőforrásokhoz való hozzáférés kezelése területen állítsa a váltókapcsolót az Igen értékre.

   

   Ha igen értékre állítja a kapcsolót, a rendszer a felhasználói hozzáférés-rendszergazdai szerepkört rendeli hozzá az Azure RBAC-ben a gyökérhatókörben (/). Ezzel megkapja a jogosultságot, hogy kiossza a szerepköröket az ehhez a Microsoft Entra-tenanthoz társított összes Azure-előfizetésben és felügyeleti csoportban. Ez a válókapcsoló csak azoknak a felhasználóknak érhető el, akik megkapták a globális rendszergazdai szerepkört a Microsoft Entra ID alatt.

   Ha nem értékre állítja a kapcsolót, az Azure RBAC felhasználói hozzáférés-rendszergazdai szerepköre el lesz távolítva a felhasználói fiókjából. A továbbiakban nem oszthat ki szerepköröket az összes Azure-előfizetésben és felügyeleti csoportban, amelyek ehhez a Microsoft Entra-tenanthoz vannak társítva. Csak azokat az Azure-előfizetéseket és felügyeleti csoportokat tekintheti meg és felügyelheti, amelyekhez megkapta a hozzáférést.

   Megjegyzés

   Ha Privileged Identity Managementet használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezelésének Nem értékre állítását. A legkevésbé kiemelt hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

4. A beállítás mentéséhez válassza a Mentés lehetőséget.

   Ez nem egy globális tulajdonság, és csak az aktuálisan bejelentkezett felhasználóra vonatkozik. Nem emelheti meg a Globális rendszergazda szerepkör összes tagjának a hozzáférését.

5. A hozzáférés frissítéséhez jelentkezzen ki, majd jelentkezzen be ismét.

   Ezt követően hozzá kell férnie a tenant összes előfizetéséhez és felügyeleti csoportjához. Amikor megnyitja a Hozzáférés-vezérlés (IAM) oldalt, látni fogja, hogy megkapta a gyökérszintű Felhasználói hozzáférés adminisztrátora szerepkört.

   

6. Végezze el a szükséges módosításokat az emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos további információkat megtalálja az Azure-szerepkörök hozzárendelése az Azure Portalon című cikkben. A Privileged Identity Managementet használata esetén lásd: Kezelhető Azure-erőforrások felfedezése és Azure-erőforrás-szerepkörök hozzárendelése.

7. Az emelt szintű hozzáférés eltávolításához hajtsa végre a következő szakaszban leírt lépéseket.

2. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelését a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be ugyanazzal a felhasználóval, aki a hozzáférés megemeléséhez volt használva.

2. Tallózással keresse meg a Microsoft Entra id Manage Properties (Tulajdonságok kezelése>) lehetőséget.>

3. Állítsa be az Azure-erőforrások Hozzáférés-felügyeletét, és váltson vissza a Nem értékre. Mivel ez egy felhasználónkénti beállítás, a hozzáférés emeléséhez használt felhasználóval kell bejelentkeznie.

   Ha megpróbálja eltávolítani a Felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést a Hozzáférés-vezérlés (IAM) lapon, a következő üzenet jelenik meg. A szerepkör-hozzárendelés eltávolításához vissza kell állítania a kapcsolót Nem értékre, vagy az Azure PowerShellt, az Azure CLI-t vagy a REST API-t kell használnia.

   

4. Jelentkezzen ki globális rendszergazdaként.

   Ha Privileged Identity Managementet használ, inaktiválja a globális rendszergazdai szerepkör-hozzárendelést.

   Megjegyzés

   Ha Privileged Identity Managementet használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezelésének Nem értékre állítását. A legkevésbé kiemelt hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

PowerShell

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az Azure Portal vagy a REST API használatával emelheti a globális rendszergazda hozzáférését.

2. lépés: Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, a get-AzRoleAssignment paranccsal listázhatja egy felhasználó felhasználói hozzáférés-rendszergazdai szerepkör-hozzárendelését a gyökérhatókörben (/).

Azure PowerShell

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

Example

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

3. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelését saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be felhasználóként, aki eltávolíthatja az emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki a hozzáférés emeléséhez volt használva, vagy egy másik, rendszergazdai jogosultsággal rendelkező globális rendszergazda a legfelső szintű hatókörben.

2. A Remove-AzRoleAssignment paranccsal távolítsa el a Felhasználói hozzáférés rendszergazdája szerepkör-hozzárendelést.

   Azure PowerShell

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális rendszergazda számára az Azure CLI használatával.

1. Az az rest paranccsal hívja meg a elevateAccess végpontot, amely a felhasználó hozzáférés-rendszergazdai szerepkörét biztosítja a gyökérhatókörben (/).

   Azure CLI

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Végezze el a szükséges módosításokat az emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése az Azure CLI használatával.

3. Az emelt szintű hozzáférés eltávolításához hajtsa végre a lépéseket egy későbbi szakaszban.

2. lépés: Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, az az szerepkör-hozzárendelési lista paranccsal listázhatja egy felhasználó felhasználói hozzáférés-rendszergazdai szerepkör-hozzárendelését a gyökérhatókörben (/).

Azure CLI

az role assignment list --role "User Access Administrator" --scope "/"

Example

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

3. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelését saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be felhasználóként, aki eltávolíthatja az emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki a hozzáférés emeléséhez volt használva, vagy egy másik, rendszergazdai jogosultsággal rendelkező globális rendszergazda a legfelső szintű hatókörben.

2. Az az role assignment delete paranccsal távolítsa el a Felhasználói hozzáférés rendszergazda szerepkör-hozzárendelését.

   Azure CLI

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Előfeltételek

A következő verziókat kell használnia:

• 2015-07-01 vagy újabb szerepkör-hozzárendelések listázásához és eltávolításához
• 2016-07-01 vagy újabb verzióval emelheti a hozzáférést
• 2018-07-01-preview vagy újabb verziók a megtagadási hozzárendelések listázásához

További információ: Az Azure RBAC REST API-k API-verziói.

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális rendszergazda számára a REST API használatával.

1. A REST használatával hívja meg a felhasználó elevateAccesshozzáférés-rendszergazdai szerepkörét a gyökérhatókörben (/).

   HTTP

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Végezze el a szükséges módosításokat az emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése a REST API használatával.

3. Az emelt szintű hozzáférés eltávolításához hajtsa végre a lépéseket egy későbbi szakaszban.

2. lépés: Szerepkör-hozzárendelések listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, listázhatja egy felhasználó összes szerepkör-hozzárendelését a gyökérhatókörben (/).

• Hívási szerepkör-hozzárendelések – Hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a szerepkör-hozzárendeléseit le szeretné kérni.

  HTTP

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

3. lépés: Megtagadási hozzárendelések listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, listázhatja egy felhasználó összes megtagadási hozzárendelését a legfelső szintű hatókörben (/).

• Megtagadási hozzárendelések meghívása – Hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a megtagadási hozzárendeléseit le szeretné kérni.

  HTTP

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

4. lépés: Emelt szintű hozzáférés eltávolítása

Amikor meghívja elevateAccess, létre kell hoznia egy szerepkör-hozzárendelést saját magának, ezért a jogosultságok visszavonásához el kell távolítania a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést saját maga számára a gyökérhatókörben (/).

1. Szerepkördefiníciók meghívása – A felhasználói hozzáférés-rendszergazdai szerepkör névazonosítójának meghatározásához adja meg , hogy hol roleName van a felhasználói hozzáférés-rendszergazdai rendszergazdai szerepkör.

   HTTP

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   JSON

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Ebben az esetben 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9mentse az azonosítót a name paraméterből.

2. A bérlői rendszergazda szerepkör-hozzárendelését is fel kell sorolnia a bérlő hatókörében. Listázhatja az összes hozzárendelést a bérlő hatókörében annak a principalId bérlői rendszergazdának, aki a hozzáférési hívást kezdeményezte. Ez az objektumazonosító bérlőjének összes hozzárendelését listázni fogja.

   HTTP

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Megjegyzés

   A bérlői rendszergazdáknak nem szabad sok hozzárendeléssel rendelkezniük. Ha az előző lekérdezés túl sok hozzárendelést ad vissza, akkor az összes hozzárendelést is lekérdezheti csak a bérlő hatókörében, majd szűrheti az eredményeket: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Az előző hívások a szerepkör-hozzárendelések listáját ják vissza. Keresse meg azt a szerepkör-hozzárendelést, amelyben a hatókör található "/" , és az roleDefinitionId 1. lépésben talált szerepkörnév-azonosítóval végződik, és principalId megegyezik a bérlői rendszergazda objectId azonosítójával.

   Mintaszerepkör-hozzárendelés:

   JSON

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Mentse ismét az azonosítót a paraméterből, ebben az name esetben a 11111111-1111-1111-1111-11111111111111.

4. Végül a szerepkör-hozzárendelés azonosítójával távolítsa el a következő által elevateAccesshozzáadott feladatot:

   HTTP

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Emelt szintű hozzáféréssel rendelkező felhasználók megtekintése

Ha emelt szintű hozzáféréssel rendelkező felhasználókkal rendelkezik, a szalagcímek az Azure Portal néhány helyén jelennek meg. Ez a szakasz azt ismerteti, hogyan állapíthatja meg, hogy vannak-e emelt szintű hozzáféréssel rendelkező felhasználók a bérlőben. Ez a képesség fázisokban van üzembe helyezve, ezért lehet, hogy még nem érhető el a bérlőben.

1. lehetőség

1. Az Azure Portalon keresse meg a Microsoft Entra ID Manage Properties (Tulajdonságok kezelése>) lehetőséget.>

2. Az Azure-erőforrások Hozzáférés-kezelése területén keresse meg a következő szalagcímet.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Az emelt szintű hozzáférésű felhasználók kezelése hivatkozásra kattintva megtekintheti az emelt szintű hozzáféréssel rendelkező felhasználók listáját.

2\. lehetőség

1. Az Azure Portalon keresse meg az előfizetést.

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Az oldal tetején keresse meg a következő szalagcímet.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Válassza a Szerepkör-hozzárendelések megtekintése hivatkozást az emelt szintű hozzáféréssel rendelkező felhasználók listájának megtekintéséhez.

Emelt szintű hozzáférés eltávolítása a felhasználók számára

Ha emelt szintű hozzáféréssel rendelkező felhasználókkal rendelkezik, azonnal meg kell tennie a szükséges lépéseket, és el kell távolítania a hozzáférést. A szerepkör-hozzárendelések eltávolításához emelt szintű hozzáféréssel is rendelkeznie kell. Ez a szakasz azt ismerteti, hogyan távolíthat el emelt szintű hozzáférést a bérlői felhasználók számára az Azure Portal használatával. Ez a képesség fázisokban van üzembe helyezve, ezért lehet, hogy még nem érhető el a bérlőben.

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként.

2. Tallózással keresse meg a Microsoft Entra id Manage Properties (Tulajdonságok kezelése>) lehetőséget.>

3. Az Azure-erőforrások hozzáférés-kezelésének területén állítsa a kapcsolót Igen értékre az 1. lépésben leírtak szerint: Hozzáférés emelése globális rendszergazda számára.

4. Válassza az Emelt szintű hozzáférésű felhasználók kezelése hivatkozást.

   Megjelenik az emelt szintű hozzáféréssel rendelkező felhasználók panel, amelyen megjelenik a bérlő emelt szintű hozzáféréssel rendelkező felhasználóinak listája.

   

5. Ha el szeretné távolítani a felhasználók emelt szintű hozzáférését, jelöljön be egy pipát a felhasználó mellett, és válassza az Eltávolítás lehetőséget.

Hozzáférési napló bejegyzéseinek emelése

Ha a hozzáférés emelt szintű vagy el lett távolítva, a rendszer hozzáad egy bejegyzést a naplókhoz. A Microsoft Entra ID rendszergazdájaként érdemes lehet ellenőrizni, hogy a hozzáférés mikor volt emelt szintű, és ki tette azt.

A hozzáférési napló bejegyzéseinek emelése a Microsoft Entra címtárnaplóiban és az Azure-tevékenységnaplókban is megjelenik. A címtárnaplók és a tevékenységnaplók emelt szintű hozzáférési naplói hasonló információkat tartalmaznak. A címtárnaplók azonban könnyebben szűrhetők és exportálhatóak. Az exportálási képesség lehetővé teszi a hozzáférési események streamelését is, amelyek felhasználhatók riasztási és észlelési megoldásokhoz, például a Microsoft Sentinelhez vagy más rendszerekhez. A naplók különböző célhelyekre való küldéséhez lásd: A TevékenységnaplókHoz tartozó Microsoft Entra diagnosztikai beállítások konfigurálása.

Ez a szakasz a hozzáférési napló bejegyzéseinek emelésének különböző módjait ismerteti.

Microsoft Entra auditnaplók

Fontos

A Hozzáférési napló bejegyzéseinek emelése a Microsoft Entra címtárnaplóiban jelenleg előzetes verzióban érhető el. Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként.

2. Keresse meg a Microsoft Entra id>monitorozási>naplóit.

3. A szolgáltatásszűrőben válassza az Azure RBAC (Emelt szintű hozzáférés), majd az Alkalmaz lehetőséget.

   A rendszer emelt szintű hozzáférési naplókat jelenít meg.

   

4. Az emelt szintű hozzáférés vagy -eltávolítás részleteinek megtekintéséhez jelölje ki ezeket az auditnapló-bejegyzéseket.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. A naplóbejegyzések hasznos adatainak JSON formátumban való letöltéséhez és megtekintéséhez válassza a Letöltés és a JSON lehetőséget.

   

Azure-tevékenységnaplók

Hozzáférési naplóbejegyzések emelése az Azure Portal használatával

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként.

2. Tallózással keresse meg a Tevékenységnapló figyelése>parancsot.

3. Módosítsa a tevékenységlistát címtártevékenységre.

4. Keresse meg a következő műveletet, amely az emelési hozzáférési műveletet jelzi.

   Assigns the caller to User Access Administrator role

   

Hozzáférési naplóbejegyzések emelése az Azure CLI használatával

1. Az az login paranccsal jelentkezzen be globális rendszergazdaként.

2. Az az rest paranccsal a következő hívást indíthatja el, ahol dátum szerint kell szűrnie a példában látható időbélyeggel, és adjon meg egy fájlnevet, ahol a naplókat tárolni szeretné.

   A url rendszer meghív egy API-t a naplók Microsoft.Insightsban való lekéréséhez. A kimenet a fájlba lesz mentve.

   Azure CLI

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. A kimeneti fájlban keresse meg a következőt elevateAccess: .

   A napló a következőhöz hasonló, ahol láthatja a művelet bekövetkezésének időbélyegét, és hogy ki hívta.

   JSON

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Hozzáférés delegálása csoporthoz a hozzáférési napló bejegyzéseinek az Azure CLI használatával való megtekintéséhez

Ha rendszeresen le szeretné szerezni a hozzáférési napló bejegyzéseit, delegálhat hozzáférést egy csoporthoz, majd használhatja az Azure CLI-t.

1. Keresse meg a Microsoft Entra azonosítócsoportokat>.

2. Hozzon létre egy új biztonsági csoportot, és jegyezze fel a csoport objektumazonosítóját.

3. Az az login paranccsal jelentkezzen be globális rendszergazdaként.

4. Az az role assignment create paranccsal rendelje hozzá az Olvasó szerepkört ahhoz a csoporthoz, amely csak a bérlő szintjén tudja olvasni a naplókat, amelyek a következő helyen Microsoft/Insightstalálhatók: .

   Azure CLI

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Adjon hozzá egy felhasználót, aki beolvassa a naplókat a korábban létrehozott csoportba.

A csoport egy felhasználója mostantól rendszeresen futtathatja az az rest parancsot a hozzáférési napló bejegyzéseinek megemeléséhez.

Azure CLI

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Hozzáférési események emelése a Microsoft Sentinel használatával

A microsoft Sentinel használatával észlelheti a hozzáférési eseményeket, és betekintést nyerhet a potenciálisan hamis tevékenységekbe. A Microsoft Sentinel egy biztonsági információ- és eseménykezelési (SIEM) platform, amely biztonsági elemzési és fenyegetéskezelési képességeket biztosít. Ez a szakasz bemutatja, hogyan csatlakoztathatja a Microsoft Entra naplózási naplóit a Microsoft Sentinelhez, hogy észlelhesse a szervezeten belüli hozzáférést.

1. lépés: A Microsoft Sentinel engedélyezése

Első lépésként vegye fel a Microsoft Sentinelt egy meglévő Log Analytics-munkaterületre, vagy hozzon létre egy újat.

• Engedélyezze a Microsoft Sentinelt a Microsoft Sentinel engedélyezésének lépéseit követve.

  

2. lépés: Microsoft Entra-adatok csatlakoztatása a Microsoft Sentinelhez

Ebben a lépésben telepíti a Microsoft Entra ID-megoldást , és a Microsoft Entra ID-összekötő használatával gyűjt adatokat a Microsoft Entra-azonosítóból.

Előfordulhat, hogy a szervezet már konfigurált egy diagnosztikai beállítást a Microsoft Entra naplózási naplóinak integrálásához. Az ellenőrzéshez tekintse meg a diagnosztikai beállításokat a diagnosztikai beállítások elérésének módjában leírtak szerint.

1. Telepítse a Microsoft Entra ID-megoldást a Microsoft Sentinel beépített tartalmak felderítésének és kezelésének lépéseit követve.

   

2. A Microsoft Entra ID-összekötővel adatokat gyűjthet a Microsoft Entra-azonosítóból a Microsoft Entra-adatok Microsoft Sentinelhez való csatlakoztatásának lépéseit követve.

3. Az Adatösszekötők lapon adjon meg egy pipát az auditnaplókhoz.

   

3. lépés: Emelt hozzáférési szabály létrehozása

Ebben a lépésben létrehoz egy sablonon alapuló ütemezett elemzési szabályt, amely megvizsgálja a Microsoft Entra naplózási naplóit a hozzáférési események emelése érdekében.

1. Hozzon létre egy hozzáférési elemzési szabályt a szabály létrehozása sablonból című témakörben leírt lépésekkel.

2. Válassza ki az Azure RBAC -sablont (Elevate Access), majd válassza a Szabály létrehozása gombot a részletek panelen.

   Ha nem látja a részletek panelt, a jobb oldalon válassza a kibontás ikont.

   

3. Az Elemzési szabály varázslóban az alapértelmezett beállításokkal hozzon létre egy új ütemezett szabályt.

   

4. lépés: Az emelt hozzáférés incidenseinek megtekintése

Ebben a lépésben megtekintheti és megvizsgálhatja a hozzáférési incidensek megemelt értékét.

• Az Incidensek lapon megtekintheti az emelt hozzáférésű incidenseket a Navigálás és az incidensek kivizsgálása a Microsoft Sentinelben című szakasz lépéseit követve.

  

Következő lépések

• A különböző szerepkörök ismertetése
• Azure-szerepkörök hozzárendelése a REST API használatával