Hozzáférési jogosultságszint emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez

A Microsoft Entra ID globális rendszergazdájaként előfordulhat, hogy nem rendelkezik hozzáféréssel a címtárában lévő összes előfizetéshez és kezelőcsoporthoz. Ez a cikk azt ismerteti, hogyan emelheti a hozzáférést az összes előfizetéshez és felügyeleti csoporthoz.

Feljegyzés

A személyes adatok megtekintésével vagy törlésével kapcsolatos információkért tekintse meg a GDPR általános adattulajdonosi kérelmeit, a GDPR-ra vonatkozó Azure-beli adattulajdonosi kérelmeket vagy a GDPR-ra vonatkozó Windows-adattulajdonosi kérelmeket az Adott területtől és igényektől függően. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

Miért lenne szüksége a jogosultságszintjének megemelésére?

Ha Ön globális rendszergazda, előfordulhat, hogy a következő műveleteket szeretné végrehajtani:

• Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés visszanyerése, ha egy felhasználó elvesztette a hozzáférését
• Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés engedélyezése más felhasználónak vagy saját részre
• A szervezet összes Azure-előfizetésének vagy felügyeleti csoportjának megtekintése
• Automatizálási alkalmazások (például számlázási vagy naplózási alkalmazások) hozzáférésének engedélyezése az összes Azure-előfizetéshez vagy felügyeleti csoporthoz

Hogyan működik az emelt szintű hozzáférés?

A Microsoft Entra ID és az Azure erőforrások egymástól függetlenül vannak biztosítva. Vagyis a Microsoft Entra szerepkör-kijelölések nem biztosítanak hozzáférést az Azure-erőforrásokhoz, és az Azure-szerepkör-kijelölések nem biztosítanak hozzáférést a Microsoft Entra ID-hez. Ha azonban Ön a globális rendszergazda Microsoft Entra ID-ban, akkor hozzáféréssel rendelkezhet a címtárában található összes Azure-előfizetéshez és -kezelői csoporthoz. Akkor használja ezt a képességet, ha nincs hozzáférése az Azure-előfizetés erőforrásaihoz, például a virtuális gépekhez vagy tárfiókokhoz, és a globális rendszergazdai jogosultságát szeretné használni az erőforrások eléréséhez.

Amikor megemeli a hozzáférést, a felhasználó hozzáférés-rendszergazdai szerepköre lesz hozzárendelve az Azure-ban a gyökérhatókörben (/). Ez lehetővé teszi, hogy megtekinthesse az összes erőforrást, illetve hozzáférést rendelhessen hozzá a címtár bármely előfizetésében és felügyeleti csoportjában. A Felhasználói hozzáférés adminisztrátora szerepkör-hozzárendeléseket az Azure PowerShell, az Azure CLI vagy a REST API használatával lehet eltávolítani.

Ezt az emelt szintű hozzáférést érdemes eltávolítani, amint végrehajtotta a szükséges módosításokat a gyökérszintű hatókörben.

Lépések végrehajtása a gyökértartományban

Azure Portalra

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az alábbi lépéseket követve emelheti a globális rendszergazda hozzáférését az Azure Portal használatával.

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként.

   Ha a Microsoft Entra Privileged Identity Managementet használja, aktiválja a globális rendszergazdai szerepkör-hozzárendelést.

2. Nyissa meg a Microsoft Entra ID-t.

3. A Kezelés területen válassza a Tulajdonságok elemet.

   

4. Az Azure-erőforrások Hozzáférés-kezelése területén állítsa a kapcsolót Igen értékre.

   

   Ha igen értékre állítja a kapcsolót, a rendszer a felhasználói hozzáférés-rendszergazdai szerepkört rendeli hozzá az Azure RBAC-ben a gyökérhatókörben (/). Ez engedélyt ad a Szerepkörök hozzárendelésére a Microsoft Entra-címtárhoz társított összes Azure-előfizetésben és felügyeleti csoportban. Ez a kapcsoló csak azoknak a felhasználóknak érhető el, akik a Microsoft Entra ID-ban globális rendszergazdai szerepkört kapnak.

   Ha nem értékre állítja a kapcsolót, az Azure RBAC felhasználói hozzáférés-rendszergazdai szerepköre el lesz távolítva a felhasználói fiókjából. A továbbiakban nem rendelhet hozzá szerepköröket az összes Azure-előfizetéshez és felügyeleti csoporthoz, amelyek ehhez a Microsoft Entra-címtárhoz vannak társítva. Csak azokat az Azure-előfizetéseket és felügyeleti csoportokat tekintheti meg és kezelheti, amelyekhez hozzáférést kapott.

   Feljegyzés

   Ha Privileged Identity Managementet használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezelésének Nem értékre állítását. A legkevésbé kiemelt hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

5. A beállítás mentéséhez kattintson a Mentés gombra.

   Ez a beállítás nem globális tulajdonság, és csak a jelenleg bejelentkezett felhasználóra vonatkozik. Nem emelheti a globális rendszergazdai szerepkör összes tagjának hozzáférését.

6. Jelentkezzen ki, és jelentkezzen be újra a hozzáférés frissítéséhez.

   Most már hozzá kell férnie a címtárban lévő összes előfizetéshez és felügyeleti csoporthoz. Amikor megtekinti a Hozzáférés-vezérlés (IAM) panelt, láthatja, hogy a felhasználó hozzáférés-rendszergazdai szerepköre a gyökérhatókörben van hozzárendelve.

   

7. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával. Ha Privileged Identity Managementet használ, tekintse meg az Azure-erőforrások felderítése Azure-erőforrás-szerepkörök kezeléséhez vagy hozzárendeléséhez című témakört.

8. Az emelt szintű hozzáférés eltávolításához hajtsa végre a következő szakaszban leírt lépéseket.

2. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelését a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be ugyanazzal a felhasználóval, aki a hozzáférés megemeléséhez volt használva.

2. A navigációs listában kattintson a Microsoft Entra-azonosítóra , majd a Tulajdonságok elemre.

3. Állítsa be az Azure-erőforrások Hozzáférés-felügyeletét, és váltson vissza a Nem értékre. Mivel ez egy felhasználónkénti beállítás, a hozzáférés emeléséhez használt felhasználóval kell bejelentkeznie.

   Ha megpróbálja eltávolítani a Felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést a Hozzáférés-vezérlés (IAM) panelen, az alábbi üzenet jelenik meg. A szerepkör-hozzárendelés eltávolításához vissza kell állítania a kapcsolót Nem értékre, vagy az Azure PowerShellt, az Azure CLI-t vagy a REST API-t kell használnia.

   

4. Jelentkezzen ki globális rendszergazdaként.

   Ha Privileged Identity Managementet használ, inaktiválja a globális rendszergazdai szerepkör-hozzárendelést.

   Feljegyzés

   Ha Privileged Identity Managementet használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezelésének Nem értékre állítását. A legkevésbé kiemelt hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

PowerShell

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az Azure Portal vagy a REST API használatával emelheti a globális rendszergazda hozzáférését.

2. lépés: Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, a get-AzRoleAssignment paranccsal listázhatja egy felhasználó felhasználói hozzáférés-rendszergazdai szerepkör-hozzárendelését a gyökérhatókörben (/).

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

3. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelését saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be felhasználóként, aki eltávolíthatja az emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki a hozzáférés emeléséhez volt használva, vagy egy másik, rendszergazdai jogosultsággal rendelkező globális rendszergazda a legfelső szintű hatókörben.

2. A Remove-AzRoleAssignment paranccsal távolítsa el a Felhasználói hozzáférés rendszergazdája szerepkör-hozzárendelést.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális rendszergazda számára az Azure CLI használatával.

1. Az az rest paranccsal hívja meg a elevateAccess végpontot, amely a felhasználó hozzáférés-rendszergazdai szerepkörét biztosítja a gyökérhatókörben (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése az Azure CLI használatával.

3. Az emelt szintű hozzáférés eltávolításához hajtsa végre a lépéseket egy későbbi szakaszban.

2. lépés: Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, az az szerepkör-hozzárendelési lista paranccsal listázhatja egy felhasználó felhasználói hozzáférés-rendszergazdai szerepkör-hozzárendelését a gyökérhatókörben (/).

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

3. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelését saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be felhasználóként, aki eltávolíthatja az emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki a hozzáférés emeléséhez volt használva, vagy egy másik, rendszergazdai jogosultsággal rendelkező globális rendszergazda a legfelső szintű hatókörben.

2. Az az role assignment delete paranccsal távolítsa el a Felhasználói hozzáférés rendszergazda szerepkör-hozzárendelését.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Előfeltételek

A következő verziókat kell használnia:

• 2015-07-01 vagy újabb szerepkör-hozzárendelések listázásához és eltávolításához
• 2016-07-01 vagy újabb verzióval emelheti a hozzáférést
• 2018-07-01-preview vagy újabb verziók a megtagadási hozzárendelések listázásához

További információ: Az Azure RBAC REST API-k API-verziói.

1. lépés: Hozzáférés emelása globális rendszergazda számára

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális rendszergazda számára a REST API használatával.

1. A REST használatával hívja meg a felhasználó elevateAccesshozzáférés-rendszergazdai szerepkörét a gyökérhatókörben (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése a REST API használatával.

3. Az emelt szintű hozzáférés eltávolításához hajtsa végre a lépéseket egy későbbi szakaszban.

2. lépés: Szerepkör-hozzárendelések listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, listázhatja egy felhasználó összes szerepkör-hozzárendelését a gyökérhatókörben (/).

• Hívási szerepkör-hozzárendelések – Hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a szerepkör-hozzárendeléseit le szeretné kérni.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

3. lépés: Megtagadási hozzárendelések listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, listázhatja egy felhasználó összes megtagadási hozzárendelését a legfelső szintű hatókörben (/).

• Megtagadási hozzárendelések meghívása – Hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a megtagadási hozzárendeléseit le szeretné kérni.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

4. lépés: Emelt szintű hozzáférés eltávolítása

Amikor meghívja elevateAccess, létre kell hoznia egy szerepkör-hozzárendelést saját magának, ezért a jogosultságok visszavonásához el kell távolítania a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést saját maga számára a gyökérhatókörben (/).

1. Szerepkördefiníciók meghívása – A felhasználói hozzáférés-rendszergazdai szerepkör névazonosítójának meghatározásához adja meg , hogy hol roleName van a felhasználói hozzáférés-rendszergazdai rendszergazdai szerepkör.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Ebben az esetben 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9mentse az azonosítót a name paraméterből.

2. A címtáradminisztrátor szerepkör-hozzárendelését is fel kell sorolnia a címtár hatókörében. Listázhatja az összes hozzárendelést a címtár hatókörében annak a principalId címtár-rendszergazdának, aki a hozzáférési hívást kezdeményezte. Ez az objektumazonosító könyvtárában lévő összes hozzárendelést listázni fogja.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Feljegyzés

   A címtáradminisztrátornak nem szabad sok hozzárendeléssel rendelkeznie, ha az előző lekérdezés túl sok hozzárendelést ad vissza, akkor az összes hozzárendelést csak a címtár hatókörének szintjén is lekérdezheti, majd szűrheti az eredményeket: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Az előző hívások a szerepkör-hozzárendelések listáját ják vissza. Keresse meg azt a szerepkör-hozzárendelést, amelyben a hatókör található "/" , és az roleDefinitionId 1. lépésben talált szerepkörnév-azonosítóval végződik, és principalId megegyezik a címtáradminisztrátor objektumazonosítójával.

   Mintaszerepkör-hozzárendelés:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Mentse ismét az azonosítót a paraméterből, ebben az name esetben a 11111111-1111-1111-1111-11111111111111.

4. Végül a szerepkör-hozzárendelés azonosítójával távolítsa el a következő által elevateAccesshozzáadott feladatot:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Hozzáférési napló bejegyzéseinek megtekintése a címtártevékenység-naplókban

Ha a hozzáférés emelt szintű, a rendszer hozzáad egy bejegyzést a naplókhoz. A Microsoft Entra-azonosító globális rendszergazdájaként érdemes lehet ellenőrizni, hogy a hozzáférés mikor volt emelt szintű, és ki tette azt. A hozzáférési napló bejegyzéseinek emelése nem a szokásos tevékenységnaplókban, hanem a címtártevékenység-naplókban jelenik meg. Ez a szakasz a hozzáférési napló bejegyzéseinek emelésének különböző módjait ismerteti.

Hozzáférési naplóbejegyzések emelése az Azure Portal használatával

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként.

2. Nyissa meg a Figyelési>tevékenységnaplót.

3. Módosítsa a tevékenységlistát címtártevékenységre.

4. Keresse meg a következő műveletet, amely az emelési hozzáférési műveletet jelzi.

   Assigns the caller to User Access Administrator role

   

Hozzáférési naplóbejegyzések emelése az Azure CLI használatával

1. Az az login paranccsal jelentkezzen be globális rendszergazdaként.

2. Az az rest paranccsal a következő hívást indíthatja el, ahol dátum szerint kell szűrnie a példában látható időbélyeggel, és adjon meg egy fájlnevet, ahol a naplókat tárolni szeretné.

   A url rendszer meghív egy API-t a naplók Microsoft.Insightsban való lekéréséhez. A kimenet a fájlba lesz mentve.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. A kimeneti fájlban keresse meg a következőt elevateAccess: .

   A napló a következőhöz hasonló, ahol láthatja a művelet bekövetkezésének időbélyegét, és hogy ki hívta.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Hozzáférés delegálása csoporthoz a hozzáférési napló bejegyzéseinek az Azure CLI használatával való megtekintéséhez

Ha rendszeresen le szeretné szerezni a hozzáférési napló bejegyzéseit, delegálhat hozzáférést egy csoporthoz, majd használhatja az Azure CLI-t.

1. Nyissa meg a Microsoft Entra azonosítócsoportokat>.

2. Hozzon létre egy új biztonsági csoportot, és jegyezze fel a csoport objektumazonosítóját.

3. Az az login paranccsal jelentkezzen be globális rendszergazdaként.

4. Az az role assignment create paranccsal rendelje hozzá az Olvasó szerepkört ahhoz a csoporthoz, amely csak a címtár szintjén tud naplókat olvasni, amelyek a következő helyen Microsoft/Insightstalálhatók: .

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Adjon hozzá egy felhasználót, aki beolvassa a naplókat a korábban létrehozott csoportba.

A csoport egy felhasználója mostantól rendszeresen futtathatja az az rest parancsot a hozzáférési napló bejegyzéseinek megemeléséhez.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Következő lépések

• A különböző szerepkörök ismertetése
• Azure-szerepkörök hozzárendelése a REST API használatával