Hozzáférési jogosultságszint emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez

A Microsoft Entra ID globális rendszergazdájaként előfordulhat, hogy nem rendelkezik hozzáféréssel a címtárában lévő összes előfizetéshez és kezelőcsoporthoz. Ez a cikk azt ismerteti, hogyan emelheti a hozzáférést az összes előfizetéshez és felügyeleti csoporthoz.

Feljegyzés

További információ a személyes adatok megtekintésével vagy törlésével kapcsolatban: Azure érintettek kérelmei a GDPR-rel kapcsolatban. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

Miért lenne szüksége a jogosultságszintjének megemelésére?

Ha Ön globális Rendszergazda istrator, előfordulhat, hogy a következő műveleteket szeretné végrehajtani:

• Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés visszanyerése, ha egy felhasználó elvesztette a hozzáférését
• Azure-előfizetéshez vagy felügyeleti csoporthoz való hozzáférés engedélyezése más felhasználónak vagy saját részre
• A szervezet összes Azure-előfizetésének vagy felügyeleti csoportjának megtekintése
• Automatizálási alkalmazások (például számlázási vagy naplózási alkalmazások) hozzáférésének engedélyezése az összes Azure-előfizetéshez vagy felügyeleti csoporthoz

Hogyan működik az emelt szintű hozzáférés?

A Microsoft Entra ID és az Azure erőforrások egymástól függetlenül vannak biztosítva. Vagyis a Microsoft Entra szerepkör-kijelölések nem biztosítanak hozzáférést az Azure-erőforrásokhoz, és az Azure-szerepkör-kijelölések nem biztosítanak hozzáférést a Microsoft Entra ID-hez. Ha azonban Ön a globális rendszergazda Microsoft Entra ID-ban, akkor hozzáféréssel rendelkezhet a címtárában található összes Azure-előfizetéshez és -kezelői csoporthoz. Akkor használja ezt a képességet, ha nincs hozzáférése az Azure-előfizetés erőforrásaihoz, például a virtuális gépekhez vagy tárfiókokhoz, és a globális rendszergazdai jogosultságát szeretné használni az erőforrások eléréséhez.

Ha emeli a hozzáférést, a rendszer hozzá lesz rendelve a Felhasználói hozzáférés Rendszergazda istrator szerepkörhöz az Azure-ban a gyökérhatókörben (/). Ez lehetővé teszi, hogy megtekinthesse az összes erőforrást, illetve hozzáférést rendelhessen hozzá a címtár bármely előfizetésében és felügyeleti csoportjában. A Felhasználói hozzáférés adminisztrátora szerepkör-hozzárendeléseket az Azure PowerShell, az Azure CLI vagy a REST API használatával lehet eltávolítani.

Ezt az emelt szintű hozzáférést érdemes eltávolítani, amint végrehajtotta a szükséges módosításokat a gyökérszintű hatókörben.

Lépések végrehajtása a gyökértartományban

Azure Portalra

1. lépés: Globális Rendszergazda istrator hozzáférésének emelása

Az alábbi lépéseket követve emelheti a globális Rendszergazda istratorhoz való hozzáférést az Azure Portal használatával.

1. Jelentkezzen be az Azure Portalra globális Rendszergazda istratorként.

   Ha Microsoft Entra Privileged Identity Managementet használ, aktiválja globális Rendszergazda istrator szerepkör-hozzárendelését.

2. Nyissa meg a Microsoft Entra ID-t.

3. A Kezelés területen válassza a Tulajdonságok elemet.

   

4. Az Azure-erőforrások Hozzáférés-kezelése területén állítsa a kapcsolót Igen értékre.

   

   Ha igen értékre állítja a kapcsolót, a rendszer a felhasználói hozzáférés Rendszergazda istrator szerepkört rendeli hozzá az Azure RBAC-ben a gyökérhatókörben (/). Ez engedélyt ad a Szerepkörök hozzárendelésére a Microsoft Entra-címtárhoz társított összes Azure-előfizetésben és felügyeleti csoportban. Ez a kapcsoló csak a Microsoft Entra ID globális Rendszergazda istrator szerepkörével rendelkező felhasználók számára érhető el.

   Ha nem értékre állítja a kapcsolót, a felhasználói hozzáférés Rendszergazda istrator szerepkör az Azure RBAC-ben törlődik a felhasználói fiókból. A továbbiakban nem rendelhet hozzá szerepköröket az összes Azure-előfizetéshez és felügyeleti csoporthoz, amelyek ehhez a Microsoft Entra-címtárhoz vannak társítva. Csak azokat az Azure-előfizetéseket és felügyeleti csoportokat tekintheti meg és kezelheti, amelyekhez hozzáférést kapott.

   Feljegyzés

   Ha Privileged Identity Managementet használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezelésének Nem értékre állítását. A legkevésbé kiemelt hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

5. A beállítás mentéséhez kattintson a Mentés gombra.

   Ez a beállítás nem globális tulajdonság, és csak a jelenleg bejelentkezett felhasználóra vonatkozik. Nem emelheti a globális Rendszergazda istrator szerepkör összes tagjának hozzáférését.

6. Jelentkezzen ki, és jelentkezzen be újra a hozzáférés frissítéséhez.

   Most már hozzá kell férnie a címtárban lévő összes előfizetéshez és felügyeleti csoporthoz. Amikor megtekinti a Hozzáférés-vezérlés (IAM) panelt, látni fogja, hogy a felhasználói hozzáférés Rendszergazda istrator szerepkörhöz lett hozzárendelve a gyökér hatókörben.

   

7. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával. Ha Privileged Identity Managementet használ, tekintse meg az Azure-erőforrások felderítése Azure-erőforrás-szerepkörök kezeléséhez vagy hozzárendeléséhez című témakört.

8. Az emelt szintű hozzáférés eltávolításához hajtsa végre a következő szakaszban leírt lépéseket.

2. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a Felhasználói hozzáférés Rendszergazda istrator szerepkör-hozzárendelést a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be ugyanazzal a felhasználóval, aki a hozzáférés megemeléséhez volt használva.

2. A navigációs listában kattintson a Microsoft Entra-azonosítóra , majd a Tulajdonságok elemre.

3. Állítsa be az Azure-erőforrások Hozzáférés-felügyeletét, és váltson vissza a Nem értékre. Mivel ez egy felhasználónkénti beállítás, a hozzáférés emeléséhez használt felhasználóval kell bejelentkeznie.

   Ha megpróbálja eltávolítani a Felhasználói hozzáférés Rendszergazda istrator szerepkör-hozzárendelést a Hozzáférés-vezérlés (IAM) panelen, a következő üzenet jelenik meg. A szerepkör-hozzárendelés eltávolításához vissza kell állítania a kapcsolót Nem értékre, vagy az Azure PowerShellt, az Azure CLI-t vagy a REST API-t kell használnia.

   

4. Jelentkezzen ki globális Rendszergazda istratorként.

   Ha Privileged Identity Managementet használ, inaktiválja a globális Rendszergazda istrator szerepkör-hozzárendelést.

   Feljegyzés

   Ha Privileged Identity Managementet használ, a szerepkör-hozzárendelés inaktiválása nem módosítja az Azure-erőforrások hozzáférés-kezelésének Nem értékre állítását. A legkevésbé kiemelt hozzáférés fenntartása érdekében javasoljuk, hogy a szerepkör-hozzárendelés inaktiválása előtt állítsa ezt a kapcsolót Nem értékre.

PowerShell

1. lépés: Globális Rendszergazda istrator hozzáférésének emelása

Az Azure Portal vagy a REST API használatával emelheti a globális Rendszergazda istratorok hozzáférését.

2. lépés: Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, a Get-AzRoleAssignment paranccsal listázhatja egy felhasználó felhasználói hozzáférés Rendszergazda istrator szerepkör-hozzárendelését a gyökértartományban (/).

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

3. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a Felhasználói hozzáférés Rendszergazda istrator szerepkör-hozzárendelést saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be felhasználóként, aki eltávolíthatja az emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki a hozzáférés emeléséhez volt használva, vagy egy másik globális Rendszergazda istrator emelt szintű hozzáféréssel a legfelső szintű hatókörben.

2. A Remove-AzRoleAssignment paranccsal távolítsa el a User Access Rendszergazda istrator szerepkör-hozzárendelést.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

1. lépés: Globális Rendszergazda istrator hozzáférésének emelása

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális Rendszergazda istratorhoz az Azure CLI használatával.

1. Az az rest paranccsal hívja meg a elevateAccess végpontot, amely a Felhasználói hozzáférés Rendszergazda istrator szerepkört biztosítja a gyökérhatókörben (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése az Azure CLI használatával.

3. Az emelt szintű hozzáférés eltávolításához hajtsa végre a lépéseket egy későbbi szakaszban.

2. lépés: Szerepkör-hozzárendelés listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, a felhasználói hozzáférés Rendszergazda felhasználói szerepkör-hozzárendelésének listájához/ használja az az szerepkör-hozzárendelési lista parancsot.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

3. lépés: Emelt szintű hozzáférés eltávolítása

Ha el szeretné távolítani a Felhasználói hozzáférés Rendszergazda istrator szerepkör-hozzárendelést saját magának vagy egy másik felhasználónak a gyökérhatókörben (/), kövesse az alábbi lépéseket.

1. Jelentkezzen be felhasználóként, aki eltávolíthatja az emelt szintű hozzáférést. Ez lehet ugyanaz a felhasználó, aki a hozzáférés emeléséhez volt használva, vagy egy másik globális Rendszergazda istrator emelt szintű hozzáféréssel a legfelső szintű hatókörben.

2. Az az role assignment delete paranccsal távolítsa el a User Access Rendszergazda istrator szerepkör-hozzárendelést.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Előfeltételek

A következő verziókat kell használnia:

• 2015-07-01 vagy újabb szerepkör-hozzárendelések listázásához és eltávolításához
• 2016-07-01 vagy újabb verzióval emelheti a hozzáférést
• 2018-07-01-preview vagy újabb verziók a megtagadási hozzárendelések listázásához

További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.

1. lépés: Globális Rendszergazda istrator hozzáférésének emelása

Az alábbi alapvető lépésekkel emelhet hozzáférést egy globális Rendszergazda istratorhoz a REST API használatával.

1. A REST használatával hívja meg a felhasználói elevateAccesshozzáférést Rendszergazda istrator szerepkört a gyökérhatókörben (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Végezze el a szükséges módosításokat emelt szintű hozzáféréssel.

   A szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése a REST API használatával.

3. Az emelt szintű hozzáférés eltávolításához hajtsa végre a lépéseket egy későbbi szakaszban.

2. lépés: Szerepkör-hozzárendelések listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, listázhatja egy felhasználó összes szerepkör-hozzárendelését a gyökérhatókörben (/).

• Hívási szerepkör-hozzárendelések – Hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a szerepkör-hozzárendeléseit le szeretné kérni.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

3. lépés: Megtagadási hozzárendelések listázása a gyökérhatókörben (/)

Ha emelt szintű hozzáféréssel rendelkezik, listázhatja egy felhasználó összes megtagadási hozzárendelését a legfelső szintű hatókörben (/).

• Megtagadási hozzárendelések meghívása – Hatókör listája, ahol {objectIdOfUser} annak a felhasználónak az objektumazonosítója, akinek a megtagadási hozzárendeléseit le szeretné kérni.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

4. lépés: Emelt szintű hozzáférés eltávolítása

Amikor meghívjaelevateAccess, létre kell hoznia egy szerepkör-hozzárendelést saját magának, ezért a jogosultságok visszavonásához el kell távolítania a Felhasználói hozzáférés Rendszergazda istrator szerepkör-hozzárendelést saját maga számára a gyökér hatókörben (/).

1. Hívási szerepkör-definíciók – A Felhasználói hozzáférés Rendszergazda istrator értékének meghatározásaroleName a Felhasználói hozzáférés Rendszergazda istrator szerepkör névazonosítójának meghatározásához.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Ebben az esetben 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9mentse az azonosítót a name paraméterből.

2. A címtáradminisztrátor szerepkör-hozzárendelését is fel kell sorolnia a címtár hatókörében. Listázhatja az összes hozzárendelést a címtár hatókörében annak a principalId címtár-rendszergazdának, aki a hozzáférési hívást kezdeményezte. Ez az objektumazonosító könyvtárában lévő összes hozzárendelést listázni fogja.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Feljegyzés

   A címtáradminisztrátornak nem szabad sok hozzárendeléssel rendelkeznie, ha az előző lekérdezés túl sok hozzárendelést ad vissza, akkor az összes hozzárendelést csak a címtár hatókörének szintjén is lekérdezheti, majd szűrheti az eredményeket: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Az előző hívások a szerepkör-hozzárendelések listáját ják vissza. Keresse meg azt a szerepkör-hozzárendelést, amelyben a hatókör található "/" , és az roleDefinitionId 1. lépésben talált szerepkörnév-azonosítóval végződik, és principalId megegyezik a címtáradminisztrátor objektumazonosítójával.

   Mintaszerepkör-hozzárendelés:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Mentse ismét az azonosítót a paraméterből, ebben az name esetben a 11111111-1111-1111-1111-11111111111111.

4. Végül a szerepkör-hozzárendelés azonosítójával távolítsa el a következő által elevateAccesshozzáadott feladatot:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Hozzáférési napló bejegyzéseinek megtekintése a címtártevékenység-naplókban

Ha a hozzáférés emelt szintű, a rendszer hozzáad egy bejegyzést a naplókhoz. A Microsoft Entra ID globális Rendszergazda istratoraként érdemes lehet ellenőrizni, hogy a hozzáférés emelt szintű volt-e, és ki tette azt. A hozzáférési napló bejegyzéseinek emelése nem a szokásos tevékenységnaplókban, hanem a címtártevékenység-naplókban jelenik meg. Ez a szakasz a hozzáférési napló bejegyzéseinek emelésének különböző módjait ismerteti.

Hozzáférési naplóbejegyzések emelése az Azure Portal használatával

1. Jelentkezzen be az Azure Portalra globális Rendszergazda istratorként.

2. Nyissa meg a Figyelési>tevékenységnaplót.

3. Módosítsa a tevékenységlistát címtártevékenységre.

4. Keresse meg a következő műveletet, amely az emelési hozzáférési műveletet jelzi.

   Assigns the caller to User Access Administrator role

   

Hozzáférési naplóbejegyzések emelése az Azure CLI használatával

1. Az az login paranccsal globális Rendszergazda istratorként jelentkezhet be.

2. Az az rest paranccsal a következő hívást indíthatja el, ahol dátum szerint kell szűrnie a példában látható időbélyeggel, és adjon meg egy fájlnevet, ahol a naplókat tárolni szeretné.

   A url rendszer meghív egy API-t a naplók Microsoft.Elemzések-ban való lekéréséhez. A kimenet a fájlba lesz mentve.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. A kimeneti fájlban keresse meg a következőt elevateAccess: .

   A napló a következőhöz hasonló, ahol láthatja a művelet bekövetkezésének időbélyegét, és hogy ki hívta.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Hozzáférés delegálása csoporthoz a hozzáférési napló bejegyzéseinek az Azure CLI használatával való megtekintéséhez

Ha rendszeresen le szeretné szerezni a hozzáférési napló bejegyzéseit, delegálhat hozzáférést egy csoporthoz, majd használhatja az Azure CLI-t.

1. Nyissa meg a Microsoft Entra azonosítócsoportokat>.

2. Hozzon létre egy új biztonsági csoportot, és jegyezze fel a csoport objektumazonosítóját.

3. Az az login paranccsal globális Rendszergazda istratorként jelentkezhet be.

4. Az az role assignment create paranccsal rendelje hozzá az Olvasó szerepkört ahhoz a csoporthoz, amely csak a címtár szintjén tud naplókat olvasni, amelyek a következő helyen Microsoft/Insightstalálhatók: .

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Adjon hozzá egy felhasználót, aki beolvassa a naplókat a korábban létrehozott csoportba.

A csoport egy felhasználója mostantól rendszeresen futtathatja az az rest parancsot a hozzáférési napló bejegyzéseinek megemeléséhez.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Következő lépések

• A különböző szerepkörök ismertetése
• Azure-szerepkörök hozzárendelése a REST API használatával