Hozzáférési jogosultságszint emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez

Az Azure Active Directory (Azure AD) globális rendszergazdájaként előfordulhat, hogy nem fér hozzá a címtárban lévő összes előfizetéshez és felügyeleti csoporthoz. Ez a cikk azokat a módszereket ismerteti, amelyekkel emelheti a hozzáférést az összes előfizetéshez és felügyeleti csoporthoz.

Megjegyzés

További információ a személyes adatok megtekintésével vagy törlésével kapcsolatban: Azure érintettek kérelmei a GDPR-rel kapcsolatban. A GDPR-ről további információt a Microsoft Adatvédelmi központ GDPR szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

Miért lenne szüksége a jogosultságszintjének megemelésére?

Ha Ön globális rendszergazda, előfordulhat, hogy a következő műveleteket szeretné elvégezni:

  • Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés visszanyerése, ha egy felhasználó elveszítette a hozzáférést
  • Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés engedélyezése más felhasználónak vagy saját részre
  • A szervezet összes Azure-előfizetésének vagy felügyeleti csoportjának megtekintése
  • Automatizálási alkalmazások (például számlázási vagy naplózási alkalmazások) hozzáférésének engedélyezése az összes Azure-előfizetéshez vagy felügyeleti csoporthoz

Hogyan működik az emelt szintű hozzáférés?

Az Azure AD- és az Azure-erőforrások védelme egymástól független. Ez azt jelenti, hogy az Azure AD-beli szerepkör-hozzárendelések nem biztosítanak hozzáférést az Azure-erőforrásokhoz, és az Azure-beli szerepkör-hozzárendelések nem biztosítanak hozzáférést az Azure AD-hez. Ha azonban Ön globális rendszergazda a Azure AD, a címtárban lévő összes Azure-előfizetéshez és felügyeleti csoporthoz hozzárendelheti a hozzáférést. Akkor használja ezt a képességet, ha nincs hozzáférése az Azure-előfizetés erőforrásaihoz, például a virtuális gépekhez vagy tárfiókokhoz, és a globális rendszergazdai jogosultságát szeretné használni az erőforrások eléréséhez.

Ha megemeli a hozzáférést, a rendszer a felhasználói hozzáférés rendszergazdai szerepkörét fogja hozzárendelni az Azure-ban a gyökérhatókörben (/). Ez lehetővé teszi, hogy megtekinthesse az összes erőforrást, illetve hozzáférést rendelhessen hozzá a címtár bármely előfizetésében és felügyeleti csoportjában. A Felhasználói hozzáférés adminisztrátora szerepkör-hozzárendeléseket az Azure PowerShell, az Azure CLI vagy a REST API használatával lehet eltávolítani.

Ezt az emelt szintű hozzáférést érdemes eltávolítani, amint végrehajtotta a szükséges módosításokat a gyökérszintű hatókörben.

Hozzáférés emelése

Azure Portal

Globális rendszergazdai hozzáférés emelése

Az alábbi lépéseket követve emelje ki a globális rendszergazdai hozzáférést a Azure Portal használatával.

  1. Jelentkezzen be az Azure Portalra vagy az Azure Active Directory felügyeleti központjába globális rendszergazdaként.

    Ha Azure AD Privileged Identity Management használ, aktiválja a globális rendszergazdai szerepkör-hozzárendelést.

  2. Nyissa meg az Azure Active Directoryt.

  3. A Kezelés területen válassza a Tulajdonságok elemet.

    Az Azure Active Directory tulajdonságainak tulajdonságainak kiválasztása – képernyőkép

  4. Az Azure-erőforrások Hozzáférés-kezelés területén állítsa a kapcsolót Igen értékre.

    Azure-erőforrások hozzáférés-kezelése – képernyőkép

    Ha a váltógombot Igen értékre állítja, a felhasználó hozzáférés-rendszergazdai szerepköre lesz hozzárendelve az Azure RBAC-ben a gyökérhatókörben (/). Ez lehetővé teszi, hogy szerepköröket rendeljen hozzá a Azure AD címtárhoz társított összes Azure-előfizetéshez és felügyeleti csoporthoz. Ez a kapcsoló csak a globális rendszergazdai szerepkörrel rendelkező felhasználók számára érhető el Azure AD.

    Ha a váltógombot Nem értékre állítja, az Azure RBAC felhasználói hozzáférés-rendszergazdai szerepköre el lesz távolítva a felhasználói fiókból. A továbbiakban nem oszthat ki szerepköröket a Azure AD címtárhoz társított összes Azure-előfizetésben és felügyeleti csoportban. Csak azokat az Azure-előfizetéseket és felügyeleti csoportokat tekintheti meg és kezelheti, amelyekhez hozzáférést kapott.

    Megjegyzés

    Ha Privileged Identity Management használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezeléséta Nem értékre. A minimális jogosultsági szintű hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

  5. A beállítás mentéséhez kattintson a Mentés gombra.

    Ez a beállítás nem globális tulajdonság, és csak a jelenleg bejelentkezett felhasználóra vonatkozik. Nem emelheti a globális rendszergazdai szerepkör összes tagjának hozzáférését.

  6. Jelentkezzen ki, és jelentkezzen be újra a hozzáférés frissítéséhez.

    Most már hozzáféréssel kell rendelkeznie a címtárban lévő összes előfizetéshez és felügyeleti csoporthoz. Amikor megtekinti a Hozzáférés-vezérlés (IAM) panelt, láthatja, hogy a gyökérhatókörben felhasználói hozzáférés-rendszergazdai szerepkörrel rendelkezik.

    Előfizetési szerepkör-hozzárendelések gyökérhatókörrel – képernyőkép

  7. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

    További információ a szerepkörök hozzárendeléséről: Azure-szerepkörök hozzárendelése a Azure Portal használatával. Ha Privileged Identity Management használ, lásd: Azure-erőforrások felderítéseAzure-erőforrás-szerepkörök kezeléséhez vagy hozzárendeléséhez.

  8. Az emelt szintű hozzáférés eltávolításához hajtsa végre a következő szakasz lépéseit.

Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a Felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést a gyökérhatókörben (/), kövesse az alábbi lépéseket.

  1. Jelentkezzen be ugyanazzal a felhasználóval, aki a hozzáférés megemeléséhez volt használva.

  2. A navigációs listában kattintson az Azure Active Directory , majd a Tulajdonságok elemre.

  3. Állítsa vissza az Azure-erőforrások hozzáférés-kezelését a Nem értékre. Mivel ez egy felhasználónkénti beállítás, a hozzáférés emeléséhez használt felhasználóval kell bejelentkeznie.

    Ha megpróbálja eltávolítani a Felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést a Hozzáférés-vezérlés (IAM) panelen, a következő üzenet jelenik meg. A szerepkör-hozzárendelés eltávolításához állítsa vissza a kapcsolót Nem értékre, vagy használja Azure PowerShell, az Azure CLI vagy a REST API használatát.

    Szerepkör-hozzárendelések eltávolítása gyökérhatókörrel

  4. Jelentkezzen ki globális rendszergazdaként.

    Ha Privileged Identity Management használ, inaktiválja a globális rendszergazdai szerepkör-hozzárendelést.

    Megjegyzés

    Ha Privileged Identity Management használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezeléséta Nem értékre. A minimális jogosultsági szintű hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

Azure PowerShell

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modullal kommunikáljon az Azure-ral. Az első lépésekért lásd: Azure PowerShell telepítése. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha meg szeretné jeleníteni a felhasználó hozzáférés-rendszergazdai szerepkör-hozzárendelését egy felhasználó gyökérhatókörében (/), használja a Get-AzRoleAssignment parancsot.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a Felhasználói hozzáférés rendszergazdája szerepkör-hozzárendelést saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

  1. Jelentkezzen be olyan felhasználóként, aki eltávolíthat emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki emelte a hozzáférést, vagy egy másik globális rendszergazda emelt szintű hozzáféréssel a gyökérhatókörben.

  2. A Remove-AzRoleAssignment paranccsal távolítsa el a Felhasználói hozzáférés rendszergazdája szerepkör-hozzárendelést.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Azure CLI

Globális rendszergazdai hozzáférés emelése

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális rendszergazda számára az Azure CLI használatával.

  1. Az az rest paranccsal hívja meg a elevateAccess végpontot, amely a felhasználó hozzáférés-rendszergazdai szerepkörét biztosítja a gyökérhatókörben (/).

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

    További információ a szerepkörök hozzárendeléséről: Azure-szerepkörök hozzárendelése az Azure CLI használatával.

  3. Az emelt szintű hozzáférés eltávolításához hajtsa végre egy későbbi szakasz lépéseit.

Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha meg szeretné jeleníteni egy felhasználó felhasználó hozzáférés-rendszergazdai szerepkör-hozzárendelését a gyökérhatókörben (/), használja az az role assignment list parancsot.

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a Felhasználói hozzáférés rendszergazdája szerepkör-hozzárendelést saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

  1. Jelentkezzen be olyan felhasználóként, aki eltávolíthat emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki emelte a hozzáférést, vagy egy másik globális rendszergazda emelt szintű hozzáféréssel a gyökérhatókörben.

  2. Az az role assignment delete paranccsal távolítsa el a Felhasználói hozzáférés rendszergazdája szerepkör-hozzárendelést.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

REST API

Előfeltételek

A következő verziókat kell használnia:

  • 2015-07-01 vagy újabb verzióval listázhatja és eltávolíthatja a szerepkör-hozzárendeléseket
  • 2016-07-01 vagy újabb verzióval emelheti a hozzáférést
  • 2018-07-01-preview vagy újabb verziót a megtagadási hozzárendelések listázásához

További információ: Az Azure RBAC REST API-k API-verziói.

Globális rendszergazdai hozzáférés emelése

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális rendszergazda számára a REST API használatával.

  1. A REST használatával hívja meg a metódust elevateAccess, amely a felhasználó hozzáférés-rendszergazdai szerepkörét biztosítja a gyökérhatókörben (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

    További információ a szerepkörök hozzárendeléséről: Azure-szerepkörök hozzárendelése a REST API használatával.

  3. Az emelt szintű hozzáférés eltávolításához hajtsa végre egy későbbi szakasz lépéseit.

Szerepkör-hozzárendelések listázása a gyökérhatókörben (/)

Egy felhasználó összes szerepkör-hozzárendelését listázhatja a gyökérhatókörben (/).

  • Szerepkör-hozzárendelések meghívása – A hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a szerepkör-hozzárendeléseit le szeretné kérni.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Megtagadási hozzárendelések listázása a gyökérhatókörben (/)

Egy felhasználó összes megtagadási hozzárendelését listázhatja a gyökérhatókörben (/).

  • Hívja meg a GET denyAssignments metódust, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a megtagadási hozzárendeléseit le szeretné kérni.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Emelt szintű hozzáférés eltávolítása

A hívása elevateAccesssorán létre kell hoznia egy szerepkör-hozzárendelést saját magának, hogy visszavonhassa ezeket a jogosultságokat, el kell távolítania a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelést saját maga számára a gyökérhatókörben (/).

  1. Szerepkör-definíciók meghívása – A felhasználói hozzáférés-rendszergazdai szerepkör névazonosítójának meghatározásához adja meg, hogy hol roleName található a felhasználói hozzáférés rendszergazdája.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Mentse az azonosítót a name paraméterből, ebben az esetben 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. A címtár-rendszergazda szerepkör-hozzárendelését is listáznia kell a címtár hatókörében. Listázhatja az összes hozzárendelést a címtár hatókörében annak a principalId címtár-rendszergazdának, aki a hozzáférési hívást kezdeményezte. Ezzel listázni fogja az objectid könyvtárának összes hozzárendelését.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
    

    Megjegyzés

    A címtáradminisztrátor nem rendelkezhet sok hozzárendeléssel, ha az előző lekérdezés túl sok hozzárendelést ad vissza, akkor az összes hozzárendelést lekérdezheti csak a címtár hatókörének szintjén, majd szűrheti az eredményeket: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

  3. Az előző hívások a szerepkör-hozzárendelések listáját ják vissza. Keresse meg azt a szerepkör-hozzárendelést, amelyben a hatókör található "/" , és a roleDefinitionId végződés az 1. lépésben talált szerepkörnév-azonosítóval végződik, és principalId megegyezik a címtáradminisztrátor objectId azonosítójával.

    Mintaszerepkör-hozzárendelés:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Mentse ismét az azonosítót a name paraméterből, ebben az esetben a 11111111-1111-1111-1111-1111111111111 paraméterből.

  4. Végül használja a szerepkör-hozzárendelés azonosítóját a által elevateAccesshozzáadott hozzárendelés eltávolításához:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
    

Hozzáférési naplók emelése

Ha a hozzáférés emelt szintű, a rendszer hozzáad egy bejegyzést a naplókhoz. A Azure AD globális rendszergazdájaként érdemes lehet ellenőrizni, hogy a hozzáférés mikor volt emelt szintű, és ki tette meg. A hozzáférési napló bejegyzéseinek emelése nem jelenik meg a szokásos tevékenységnaplókban, hanem a címtártevékenység-naplókban. Ez a szakasz a hozzáférési naplók megemelésének különböző módjait ismerteti.

Hozzáférési naplók emelése a Azure Portal

  1. A hozzáférés növeléséhez kövesse a cikk korábbi lépéseit.

  2. Jelentkezzen be a Azure Portal globális rendszergazdaként.

  3. Nyissa meg a Figyelési>tevékenységnaplót.

  4. Módosítsa a Tevékenység listát címtártevékenységre.

  5. Keresse meg a következő műveletet, amely a jogosultságszint-emelési műveletet jelenti.

    Assigns the caller to User Access Administrator role

    Képernyőkép a címtártevékenység-naplókról a Monitorban.

  6. Az emelt szintű hozzáférés eltávolításához kövesse a cikk korábbi lépéseit.

Hozzáférési naplók emelése az Azure CLI használatával

  1. A hozzáférés növeléséhez kövesse a cikk korábbi lépéseit.

  2. Az az login paranccsal jelentkezzen be globális rendszergazdaként.

  3. Az az rest paranccsal hajtsa végre a következő hívást, ahol dátum szerint kell szűrnie a példában látható időbélyeggel, és adjon meg egy fájlnevet, ahol a naplókat tárolni szeretné.

    A url meghív egy API-t, hogy lekérje a naplókat a Microsoft.Insightsban. A kimenet a fájlba lesz mentve.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
    
  4. A kimeneti fájlban keresse meg a következőt elevateAccess: .

    A napló az alábbihoz hasonló lesz, ahol láthatja a művelet előfordulásának időbélyegét, valamint azt, hogy ki hívta fel.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
      "subscriptionId": "",
      "tenantId": "33333333-3333-3333-3333-333333333333"
    },
    {
      "authorization": {
        "action": "Microsoft.Authorization/elevateAccess/action",
        "scope": "/providers/Microsoft.Authorization"
      },
      "caller": "user@example.com",
      "category": {
        "localizedValue": "Administrative",
        "value": "Administrative"
      },
    
  5. Az emelt szintű hozzáférés eltávolításához kövesse a cikk korábbi lépéseit.

Hozzáférés delegálása egy csoporthoz a hozzáférési naplók emelése érdekében az Azure CLI használatával

Ha rendszeresen szeretné lekérni az emelt hozzáférési naplókat, delegálhat hozzáférést egy csoportnak, majd használhatja az Azure CLI-t.

  1. Nyissa meg az Azure Active Directory-csoportokat>.

  2. Hozzon létre egy új biztonsági csoportot, és jegyezze fel a csoport objektumazonosítóját.

  3. A hozzáférés növeléséhez kövesse a cikk korábbi lépéseit.

  4. Az az login paranccsal jelentkezzen be globális rendszergazdaként.

  5. Az az role assignment create paranccsal rendelje hozzá az Olvasó szerepkört ahhoz a csoporthoz, amely csak a címtár szintjén képes naplókat olvasni, amelyek a következő helyen találhatók: Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
    
  6. Adjon hozzá egy felhasználót, aki beolvassa a naplókat a korábban létrehozott csoportba.

  7. Az emelt szintű hozzáférés eltávolításához kövesse a cikk korábbi lépéseit.

A csoport egy felhasználója mostantól rendszeres időközönként futtathatja az az rest parancsot a hozzáférési naplók megemeléséhez.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Következő lépések